Golpes no Imposto de Renda 2026: como identificar sites e aplicativos falsos antes de cair no prejuízo

A Receita Federal emitiu alerta oficial. Mais de 60 sites e 10 apps fraudulentos foram identificados só em abril. Veja como se proteger.

Você recebeu uma mensagem dizendo que seu CPF está em risco por causa de uma pendência no Imposto de Renda? Cuidado. Provavelmente é golpe.

A temporada do IRPF 2026, cujo prazo vai até 29 de maio, virou território fértil para fraudes digitais sofisticadas. A empresa de cibersegurança Kaspersky identificou mais de 61 páginas fraudulentas criadas só em março, todas estruturadas para simular serviços do Imposto de Renda e capturar dados dos contribuintes. Um aplicativo que imitava o sistema da Receita Federal chegou a ultrapassar 16 mil downloads antes de ser removido de uma loja não oficial.

Como os golpes funcionam

Os criminosos usam dois caminhos principais:

1. Aplicativos falsos

Os apps circulam em lojas não oficiais, fora da Google Play Store e da App Store, e usam nomes de órgãos oficiais, linguagem técnica e canais de suporte falsos para parecerem legítimos. Uma vez instalados, roubam CPF, senhas salvas, cookies de sessão bancária e documentos armazenados no dispositivo. Em casos mais graves, instalam vírus de acesso remoto (RATs), que dão ao criminoso controle total sobre o aparelho, câmera, teclado, arquivos e tela em tempo real.

2. Sites fraudulentos

A vítima informa o CPF em uma suposta "consulta gratuita". A página exibe um aviso de alto risco fiscal com prazo curto para regularização e apresenta um relatório falso com valores, juros e multas, tudo para simular uma dívida ativa real. O detalhe que assusta: os dados exibidos podem ser reais, obtidos de vazamentos anteriores, o que aumenta a aparência de legitimidade da fraude.

3. Mensagens de WhatsApp e SMS

Os golpistas enviam mensagens com links suspeitos que direcionam para páginas que imitam o ambiente oficial do governo, informando supostas pendências que podem levar ao bloqueio do Pix, restrições em contas bancárias e inclusão no Serasa ou SPC. A Receita Federal não envia links por SMS ou WhatsApp para regularização de pendências. Isso já é suficiente para desconfiar de qualquer mensagem com esse perfil.

Os sinais de alerta

Antes de clicar em qualquer link ou baixar qualquer aplicativo relacionado ao IR, verifique:

• A mensagem usa linguagem urgente, ameaçadora ou fala em "bloqueio imediato"?

• O link não termina em .gov.br?

• O app foi baixado fora da loja oficial do seu celular?

• A "cobrança" oferece desconto para pagamento rápido?

Se a resposta for sim a qualquer um desses, não clique, não pague e não forneça dados.

O que fazer se você já caiu no golpe

Se você suspeita que forneceu dados ou fez um pagamento indevido, aja rápido:

1. Bloqueie imediatamente os cartões e o acesso às contas bancárias

2. Troque as senhas do e-mail, do gov.br e dos demais serviços afetados

3. Registre um boletim de ocorrência, isso documenta o fato e pode ser necessário para eventual ressarcimento

4. Guarde prints de todas as comunicações recebidas

5. Procure orientação jurídica: dependendo do prejuízo sofrido, há caminhos legais para buscar a responsabilização de plataformas e buscar reparação

Onde declarar com segurança

A Receita Federal disponibiliza três canais oficiais e gratuitos:

• App oficial: disponível somente na Google Play Store ou App Store

• PGD (Programa Gerador da Declaração): download direto em gov.br/receitafederal

• e-CAC (Centro de Atendimento Virtual);

Se tiver dúvidas sobre sua situação fiscal, malha fina, pendências reais ou direitos em caso de fraude, o caminho certo é falar com um profissional, não clicar no link que chegou no WhatsApp.