La Agència Tributària ha emès un comunicat d'urgència per advertir la ciutadania sobre l'augment dels casos de phishing que utilitzen el seu nom i la seva imatge per enganyar els contribuents. L'objectiu d'aquests ciberdelinqüents és obtenir informació personal o bancària —com números de compte o dades de targetes— i, en molts casos, sol·licitar la realització de transferències a través de mètodes fraudulents.
D'aquesta manera, fingeixen ser Hisenda i envien correus electrònics, missatges de text (SMS) o trucades telefòniques en què s'insta el contribuent a facilitar les seves dades o, fins i tot, a obrir enllaços que condueixen a pàgines web falses.
Els mecanismes darrere d'aquestes estafes són cada vegada més sofisticats i busquen despertar la urgència o la preocupació de les víctimes. Els qui cauen en el parany solen proporcionar voluntàriament les seves credencials per creure que estan atenent un requeriment oficial.
Tanmateix, l'Agència Tributària sotmet que mai no sol·licita informació confidencial, econòmica o personal a través de missatges digitals ni requereix la descàrrega de fitxers adjunts relatius a factures o altres dades. Qualsevol gestió d'aquest tipus ha de realitzar-se, segons el criteri de l'organisme, de forma personal i oficial en els seus canals reconeguts.
Increment de les estafes en els últims mesos
En els últims mesos, Hisenda ha observat un increment de missatges que es presenten sota el seu nom i que podrien acabar en robatori de dades o estafes monetàries. Un dels casos més cridaners es dirigia específicament a mutualistes jubilats, a qui se'ls demanava el número de les seves targetes bancàries amb el pretext d'obtenir una suposada devolució de l'IRPF per aportacions a mutualitats realitzades entre 2020 i 2023.
Els estafadors es posaven en contacte telefònic amb les víctimes perquè fessin transferències en nom de l'Agència Tributària, aprofitant la confiança i la manca de verificació per part dels afectats.
Un altre exemple freqüent són els correus electrònics o SMS en què es comunica una “incidència greu” en la declaració de la renda. El contribuent rep missatges amenaçadors en què se l'insta a enviar documentació de forma immediata, sota l'advertència d'una possible sanció si no es resol el tema en un termini molt curt (a vegades 24 o 48 hores). Aquesta tàctica pretén generar pànic i precipitació, disminuint la capacitat de les víctimes per pensar amb claredat i verificar l'autenticitat del missatge.
Importes estafats com a pèrdua patrimonial
A més d'advertir sobre aquestes campanyes, Hisenda recorda que els contribuents que hagin patit pèrdues econòmiques a causa d'estafes basades en phishing poden imputar aquests imports com una pèrdua patrimonial en la declaració de la renda. Tanmateix, l'Agència Tributària sotmet que és imprescindible justificar adequadament aquesta situació, per a la qual cosa es recomana denunciar en cossos de seguretat com la Guàrdia Civil o la Policia Nacional.
El Registre d'Economistes Assessors Fiscals (REAF) coincideix en aquesta postura i assenyala que s'ha de demostrar que el perjudici econòmic s'ha produït realment per l'estafa, motiu pel qual la denúncia formal és un pas clau per procedir amb la declaració.
Segons les autoritats fiscals, la imputació de la pèrdua patrimonial ha de realitzar-se en l'exercici en què hagi ocorregut l'estafa. D'aquesta manera, si algú pateix l'engany el 2025, haurà de reflectir-ho adequadament en presentar la declaració corresponent a aquell any. Amb això, Hisenda busca establir un marc que permeti mitigar en la mesura del possible el perjudici per a les víctimes, alhora que promou la prevenció i la conscienciació sobre aquest tipus de fraus.
Recomanacions principals per evitar el phishing
Per evitar caure en el phishing, l'Agència Tributària recomana tenir sempre presents les següents pautes:
En primer lloc. Desconfiar de missatges de remitents desconeguts o que no s'hagin sol·licitat prèviament. És preferible eliminar-los directament sense arribar a obrir-los.
En segon lloc. No respondre mai de la vida aquests missatges ni accedir a possibles enllaços adjunts.
En tercer lloc. Verificar la procedència de correus fins i tot si semblen provenir de contactes habituals; els estafadors poden utilitzar adreces falsificades o suplantar identitats.
En quart lloc. Evitar la descàrrega de fitxers adjunts en correus o SMS no confirmats; fer-ho pot instal·lar malware o virus en el dispositiu.