João SantosA época de entrega do IRS 2026 está a ser explorada por cibercriminosos com uma intensidade sem precedentes em Portugal. Segundo dados da Check Point Research, 1 em cada 10 novos domínios associados a impostos criados em março de 2026 é malicioso — o dobro da taxa registada nos meses anteriores.
O que está a acontecer agora
A Autoridade Tributária e Aduaneira (AT) abriu o prazo de entrega do IRS 2026 em abril, e os atacantes prepararam-se com antecedência. Desde setembro de 2025, investigadores de cibersegurança identificaram centenas de domínios fraudulentos que imitam o Portal das Finanças, com um pico registado em novembro e março de 2026.
Em Portugal, o phishing representou 1 em cada 4 ataques digitais em 2025, segundo dados de telemetria da ESET. Este ano, a ameaça está a crescer: campanhas de email, SMS e chamadas falsas prometem reembolsos elevados ou alertam para dívidas fiscais urgentes — sempre com um link para uma página fraudulenta que rouba credenciais.
O alvo não são apenas os particulares. Em fevereiro de 2026, a Check Point identificou uma campanha de emails maliciosos dirigida especificamente a organizações, utilizando a identidade de autoridades fiscais para infiltrar redes empresariais e instalar malware de tipo ransomware.
Por que as empresas são os alvos mais valiosos
Para um cibercriminoso, invadir os sistemas de uma empresa durante a época fiscal é uma oportunidade de ouro. As organizações lidam com volumes elevados de documentação sensível — folhas de vencimento, extratos bancários, dados de fornecedores e de clientes — precisamente nesta altura do ano.
Os ataques mais comuns dirigidos a empresas incluem:
- Phishing de credenciais: emails que imitam a AT ou a Segurança Social, direcionando funcionários para páginas falsas de login
- Ransomware fiscal: malware que encripta os ficheiros contabilísticos e exige resgate para os desbloquear
- Comprometimento de email empresarial (BEC): o atacante assume o controlo de uma conta de email legítima para desviar pagamentos ou extrair dados
- Ataques a ferramentas de contabilidade: software de gestão fiscal desatualizado pode conter vulnerabilidades que são exploradas neste período
Segundo o Centro Nacional de Cibersegurança (CNCS), Portugal registou 2.051 ciberataques semanais em média no primeiro trimestre de 2026, mantendo-se acima da média europeia pelo terceiro ano consecutivo.
O que um especialista em informática recomenda
Um consultor de segurança informática experiente avalia o estado das defesas da sua organização e identifica as brechas antes que os atacantes as encontrem. Para a época do IRS 2026, as medidas prioritárias incluem:
Revisão de acessos e autenticação: Qualquer funcionário com acesso ao portal fiscal ou às plataformas de contabilidade deve ter autenticação multifator (MFA) ativa. Esta única medida bloqueia mais de 99% dos ataques de roubo de credenciais, segundo dados da Microsoft.
Simulações de phishing internas: Antes de um ataque real, é possível testar a resiliência da equipa com campanhas de phishing simuladas. Quem clica nos links de teste recebe formação imediata — sem danos reais.
Atualização de software crítico: Versões desatualizadas de software contabilístico e de gestão de IRS são vetores de entrada frequentes. Um técnico de informática verifica se todas as aplicações têm os patches de segurança mais recentes instalados.
Segmentação de rede: Em caso de intrusão, a segmentação de rede limita o movimento lateral do atacante — impedindo que um computador comprometido dê acesso a toda a infraestrutura.
O que a AT nunca faz — e como identificar fraudes
A Autoridade Tributária confirma que não envia links de confirmação de credenciais por email ou SMS, e nunca solicita pagamentos através destes canais. Qualquer comunicação que peça dados de acesso ao Portal das Finanças ou dados bancários é fraudulenta, independentemente do aspeto profissional que apresente.
Os atacantes recorrem cada vez mais a ferramentas de inteligência artificial para criar mensagens e páginas fraudulentas mais convincentes, tornando mais difícil distinguir comunicações legítimas de falsas. Em 2026, foram detetados emails de phishing em português europeu praticamente sem erros ortográficos — algo que até recentemente era um sinal de alerta claro.
Se receber um email suspeito em nome da AT, não clique em nenhum link. Aceda diretamente a portaldasfinancas.gov.pt através do browser e verifique o estado da sua declaração. Em caso de dúvida, contacte o número de apoio oficial da AT: 217 206 707.
Quando deve consultar um especialista
Se a sua empresa lida com dados de clientes, tem funcionários em teletrabalho, ou usa software de contabilidade instalado localmente (e não apenas na cloud), este é o momento certo para uma auditoria de segurança informática. Os incidentes desta natureza aumentam significativamente entre abril e junho — e a maioria poderia ser evitada com uma revisão prévia.
Um técnico de informática certificado pode realizar uma avaliação de vulnerabilidades em 48 horas e apresentar um plano de ação concreto. Na ExpertZoom, pode comparar perfis de especialistas em cibersegurança e informática na sua área e solicitar uma consulta. Proteger os dados da sua empresa durante a época fiscal não é um luxo — é uma responsabilidade legal.
Nota: Este artigo tem carácter informativo. Para uma avaliação personalizada dos riscos de cibersegurança da sua organização, consulte um especialista certificado.
