IRS 2026: como não cair nas armadilhas digitais nesta temporada fiscal

Com a abertura do prazo de entrega das declarações de IRS marcada para 1 de abril, regressa também uma ameaça que se tem tornado cada vez mais sofisticada: as fraudes digitais direcionadas aos contribuintes. Entramos num dos períodos de maior vulnerabilidade para os portugueses no que diz respeito a esquemas de engenharia social.

Os números deixam antever um perigo silencioso. Em Portugal, o phishing respondeu por um em cada quatro ataques digitais registados em 2025, segundo a telemetria da ESET, empresa europeia de cibersegurança. Não se trata de coincidência, pois os cibercriminosos exploram a pressa das obrigações fiscais e o fluxo constante de comunicações legítimas nesta época, para enganar os menos vigilantes.

O papel da inteligência artificial nas fraudes de IRS

A novidade preocupante deste ano está na crescente utilização de ferramentas de inteligência artificial por parte dos atacantes.

As mensagens fraudulentas estão a tornar-se mais convincentes, com linguagem mais natural, logótipos bem reproduzidos e páginas falsas quase indistinguíveis das originais. Distinguir uma comunicação legítima da Autoridade Tributária e Aduaneira de uma tentativa de fraude exige hoje mais atenção do que nunca.

O alerta da Autoridade Tributária

A própria Autoridade Tributária e Aduaneira já alertou para a circulação de mensagens fraudulentas enviadas em nome do fisco. Segundo a entidade:

• Todas as operações devem ser feitas exclusivamente no Portal das Finanças
• Deves confirmar sempre que o endereço começa por https://
• As comunicações digitais só são enviadas a quem tem esse serviço ativado

Isto significa que qualquer contacto inesperado deve ser tratado como suspeito.

O que precisas de saber sobre as fraudes fiscais?

Durante a época fiscal, os esquemas multiplicam-se. Os mais frequentes incluem:

• Phishing (email): mensagens falsas com links para páginas fraudulentas;
• Smishing (SMS): alertas de reembolsos ou dívidas enviados por telemóvel;
• Vishing (chamadas): contactos telefónicos a simular apoio oficial.

Outros esquemas a ter em conta:

• Falsos reembolsos de IRS para roubo de dados bancários;
• Roubo de credenciais do Portal das Finanças;
• “Dicas fiscais” enganosas nas redes sociais;
• Falsos serviços de apoio ao preenchimento do IRS.

O objetivo é sempre o mesmo: aceder aos teus dados ou induzir pagamentos indevidos.

Como posso reconhecer uma tentativa de fraude?

Há sinais que deveriam ativar imediatamente o sentido crítico de qualquer contribuinte. No entanto, nem sempre é assim. Presta atenção a

• Contactos não solicitados em nome da Autoridade Tributária e pedidos urgentes de pagamento ou ameaças de penalizações imediatas; 
• Solicitações de dados bancários, pessoais ou credenciais de acesso; 
• Links ou anexos em emails e SMS de origem desconhecida;
• Pedidos para pagar fora dos canais habituais. 

Vale a pena relembrar que a Autoridade Tributária não envia links por email ou SMS para inserção ou confirmação de dados pessoais, nem solicita pagamentos através desses meios.

Boas práticas para te protegeres?

A proteção começa com atenção e postura cuidadosa. Se delegas a contabilidade a terceiros, certifica-te de que a partilha de credenciais é feita com máxima segurança. Os profissionais que gerem as contas de vários clientes devem adotar práticas rigorosas, já que a concentração de informação fiscal sensível aumenta o risco de exposição.

Na prática, os contribuintes devem:

• Aceder sempre ao Portal das Finanças diretamente, nunca por links recebidos por email ou SMS
• Não tomar decisões sob pressão ou urgência criada artificialmente
• Manter os seus dispositivos móveis, os motores de pesquisa predefinidos e as aplicações sempre atualizados; 
• Utilizar software de segurança com capacidades antimalware e anti-phishing. 

A tecnologia pode ajudar, mas a primeira linha de defesa continua a ser a atenção de cada utilizador. Durante este período de entrega da declaração do IRS 2026, convém não clicar, não partilhar e confirmar sempre diretamente na fonte oficial. Além disso, pode ser relevante ativar o segundo fator de autenticação  na conta fiscal, como explicamos em seguida. 

Como ativar o Segundo Fator de Autenticação no Portal das Finanças? 

Ativar o Segundo Fator de Autenticação (2FA) é uma das formas mais eficazes de proteger a tua conta no Portal das Finanças. 

Além da tua senha habitual, passas a ter de confirmar cada acesso com um código único enviado por SMS, reforçando significativamente a segurança dos teus dados pessoais e fiscais.

1. Aceder ao Portal das Finanças: começa por entrar no Portal das Finanças com o teu Número de Identificação Fiscal (NIF) e a respetiva senha;
2. Aceder à área de segurança: Depois de iniciares sessão, segue este caminho no menu: Serviços > Autenticação de Contribuintes > Dados de Acesso > Segundo Fator de Autenticação; 
3. Iniciar o processo de adesão: clica em “Adira aqui” e, de seguida, em “Iniciar Adesão”;
4. Confirmar ou inserir o número de telemóvel: se já tiveres um número confirmado, vais receber automaticamente um código por SMS. Se ainda não tiveres um contacto registado, introduz o teu número de telemóvel, clica em “Iniciar Adesão” e confirma em “Continuar”.
5. Validar com código SMS: Introduz o código que recebeste no telemóvel. Este código é temporário e tem uma validade de 5 minutos, por isso deves inseri-lo rapidamente; 
6. Concluir a ativação: depois de validares o código com sucesso, vais ver uma mensagem a confirmar que o 2FA está ativo. A partir desse momento, a tua conta fica mais protegida.

O que muda depois de ativares o 2FA?

Sempre que iniciares sessão no Portal das Finanças, além do NIF e da senha, vais receber um novo código por SMS para confirmar a tua identidade. Isto garante que só tu consegues aceder à tua conta, mesmo que alguém tenha a tua senha. Deves saber que: 

• O código SMS é único e válido por 5 minutos;
• Tens até 5 tentativas para inserir o código corretamente;
• Se falhares várias vezes, o acesso fica bloqueado durante 1 hora;
• Se não receberes o código, podes pedir o reenvio.

Se precisares de atualizar o teu contacto, acede a Serviços > Dados Cadastrais > Dados de Contacto. Após atualizares o número, certifica-te de que recebes o código SMS e confirma a alteração para manter a tua conta totalmente segura.

Com todas estas dicas, estás pronto para preencher a declaração de IRS e não cair em armadilhas digitais.