A época em que o engano se disfarça de reembolso

Com a chegada de abril, entra também em cena uma das épocas mais sensíveis do calendário digital e financeiro português: a entrega do IRS. Todos os anos, milhões de contribuintes acedem ao portal das finanças para cumprir a sua obrigação – e é precisamente nesse momento de rotina e confiança que os riscos aumentam.

Em 2025, os ataques de phishing continuam a crescer. Multiplicam-se os e-mails falsos a circular em nome de entidades públicas, com promessas de reembolsos imediatos, alertas de multas ou notificações de penhoras. O objectivo é sempre o mesmo: levar o cidadão a clicar num link malicioso, a revelar dados bancários ou a entregar as suas credenciais de acesso.

Mas o que torna este fenómeno ainda mais preocupante é a utilização crescente da inteligência artificial generativa. Os atacantes usam esta tecnologia para criar mensagens que imitam, quase na perfeição, a linguagem, estrutura e aspecto de comunicações oficiais. Em muitos casos, são personalizadas com nome, NIF ou outros dados básicos obtidos a partir de fontes públicas. Isto significa que já não basta estar atento a erros ortográficos ou mensagens mal escritas – o engano, agora, é altamente sofisticado e personalizado.

É também preciso reconhecer que as fragilidades não vêm apenas de fora. Não nos esqueçamos que, no final de 2024, foram reportadas situações em que credenciais de acesso de cidadãos ao portal da Autoridade Tributária (AT) foram expostas publicamente, forçando intervenções urgentes de segurança.

Mais recentemente, surgiram novos alertas, por parte da mesma entidade, sobre comunicações falsas – o segundo divulgado pela AT desde o início de 2025. Estas situações reforçam duas evidências: a segurança digital não pode continuar assente apenas em passwords, muitas vezes simples, previsíveis ou reutilizadas, e o aumento deste tipo de ciber ataques em períodos de maior urgência e utilização dos serviços digitais.

Felizmente, há alternativas seguras e disponíveis a todos os cidadãos. Todos os contribuintes têm hoje acesso à Chave Móvel Digital ou podem utilizar o Cartão de Cidadão com autenticação forte. Estas formas de acesso evitam o uso de palavras-passe tradicionais e reduzem significativamente o risco de acesso indevido à conta pessoal no Portal das Finanças.

Para se proteger, é fundamental nunca fornecer dados pessoais, bancários ou códigos de acesso por e-mail, SMS ou telefone. Sempre que quiser aceder ao Portal das Finanças, digite directamente o endereço no navegador. Se receber uma mensagem suspeita, evite clicar em ligações – entre na sua conta e confirme se existe algum aviso oficial. Mantenha os dispositivos actualizados e com software de segurança activo, e evite utilizar redes Wi-Fi públicas quando estiver a tratar de questões fiscais.

A cibersegurança é uma responsabilidade tanto individual quanto coletiva. Cabe ao Estado, sim, continuar a garantir plataformas seguras e a investir em literacia digital, mas é também responsabilidade de cada cidadão estar atento, informado e ser proactivo. Hoje, não é preciso ser-se especialista para comprometer a segurança de alguém – muitas vezes, basta uma vítima distraída e um esquema bem construído para o prejuízo ser real.

Se houver suspeita de fraude, o mais importante é agir de imediato. Denunciar às autoridades competentes e contactar os serviços financeiros para bloquear movimentos suspeitos pode fazer a diferença entre um susto e um problema sério. Nunca é tarde para reagir, embora quanto mais cedo melhor.

A verdade é que, durante o período do IRS, estamos todos mais propensos a confiar. É quando estamos mais sensíveis a comunicações oficiais, mais disponíveis para acreditar, que ficamos menos predispostos a desconfiar. Por isso, este ano, proteja-se. Use autenticação segura, desconfie de urgências e não ignore sinais de alerta. Porque proteger os seus dados é, hoje, tão importante como cumprir prazos fiscais.