À medida que nos aproximamos do período de entrega do IRS, há um fenómeno que se repete todos os anos e que, infelizmente, tende a agravar-se com a proliferação da IA, que é o aumento significativo de campanhas de phishing e de fraudes digitais. Enquanto Engenheiro Informático que atua profissionalmente na área da cibersegurança, observo com preocupação como este momento do calendário fiscal se tornou um terreno cada vez mais apetecível para os cibercriminosos.
“Enquanto Engenheiro Informático que atua profissionalmente na área da cibersegurança, observo com preocupação como este momento do calendário fiscal se tornou um terreno cada vez mais apetecível para os cibercriminosos.”
E a razão é simples, enquanto humanos, estamos sempre emocionalmente expostos, principalmente no que toca a temas que envolvam dinheiro. Uns aguardam com expectativa um possível reembolso do IRS, outros receiam ter de pagar, e esta combinação de ansiedade, urgência e expectativa financeira cria o cenário perfeito para decisões impulsivas da nossa parte, e é precisamente aqui que entram os cibercriminosos.
Hoje, a diferença face a anos anteriores está na utilização da Inteligência Artificial, as mensagens fraudulentas já não têm erros ortográficos evidentes nem construções frásicas estranhas, são por isso textos bem escritos, personalizados e muitas vezes adaptados ao contexto do utilizador, simulam comunicações da Autoridade Tributária e Aduaneira (mas não só) com logótipos credíveis, linguagem formal e endereços eletrónicos visualmente semelhantes aos legítimos, neste caso e como em muitos outros, a tecnologia está a trabalhar também do lado errado, e isto vai acontecer sempre.
“Hoje em dia, a Inteligência Artificial permite criar campanhas altamente personalizadas, explorando dados públicos que nós partilhamos livremente nas nossas redes sociais (…)”
A maior parte destes ataques conduz-nos a sites falsos que replicam com enorme fidelidade os portais institucionais ou plataformas de pagamento do Estado, sob o pretexto de uma “regularização urgente” ou de um “reembolso pendente”, nós utilizadores, somos levados a introduzir as nossas credenciais, dados pessoais ou dados bancários como números dos cartões de crédito.
Mas o problema não se limita às comunicações fiscais, as mesmas técnicas estão presentes nas compras online, com falsos sites de lojas, promoções demasiado atrativas ou campanhas direcionadas, hoje em dia, a Inteligência Artificial permite criar campanhas altamente personalizadas, explorando dados públicos que nós partilhamos livremente nas nossas redes sociais, ou dados previamente expostos em fugas de informação em serviços que já foram atacados.
“Alguns destes sites fraudulentos não se limitam a roubar dados, podem também tentar instalar software malicioso nos nossos dispositivo (…)“
Quantas vezes já vimos uma oferta imperdível, com contagem decrescente e poucas unidades disponíveis? A pressão psicológica e a exploração das nossas vulnerabilidades humanas é deliberada, a Engenharia Social não é um acaso, é uma técnica, e está cada vez mais sofisticada, automatizada e presente no nosso dia a dia.
Outro vetor preocupante é a utilização de ficheiros maliciosos supostamente associados a comprovativos ou notificações fiscais, alguns destes sites fraudulentos não se limitam a roubar dados, podem também tentar instalar software malicioso nos nossos dispositivo, uma simples distração, como um clique errado pode abrir a porta a um problema muito maior.
Até os serviços de apoio ao cliente estão a ser simulados com recurso a chatbots baseados em IA, aqui, a conversa parece cada vez mais natural, convincente e estruturada, sentimos que estamos a falar com alguém que sabe o que está a fazer, mas, na realidade, estamos apenas a ser conduzidos de forma deliberada a fornecermos mais dados pessoais e muitas vezes sensíveis.
Perante este cenário, a questão que coloco muitas vezes é: o que podemos fazer, de forma realista, para reduzir estes riscos?
“Para quem tem maior literacia digital, a resposta passa por (mas não só) práticas como ativar o MFA (autenticação multifator) (…) Há regras simples que fazem uma enorme diferença, como por exemplo nunca clicar em links suspeitos recebidos por SMS ou e-mails relacionados com IRS e outros assuntos”
Para quem tem maior literacia digital, a resposta passa por (mas não só) práticas como ativar o MFA (autenticação multifator), ou seja, um segundo fator de confirmação além da password, manter os sistemas sempre atualizados, utilizar sempre cartões virtuais (podemos criar na aplicação MB Way ou no nosso HomeBanking) para compras online e verificar sempre o domínio dos sites antes de introduzir dados.
Mas é importante reconhecer que nem todos os cidadãos estão familiarizados com estes conceitos mais técnicos, e a segurança digital não pode ser apenas para especialistas.
Para quem tem menos proximidade com tecnologia, há regras simples que fazem uma enorme diferença, como por exemplo nunca clicar em links suspeitos recebidos por SMS ou e-mails relacionados com IRS e outros assuntos, em caso de dúvida, devemos abrir sempre o browser e escrevermos manualmente o endereço do site, desconfiar de mensagens ou e-mails com urgência excessiva, ou ameaçam penalizações imediatas, e em caso de dúvida, confirmar sempre junto de um familiar ou amigo antes de introduzir dados bancários se algo parecer estranho ou minimamente suspeito.
“Falar sobre o tema, alertarmos pais, irmãos, avós, amigos, etc., explicarmos que o facto de uma mensagem parecer oficial não significa que seja legítima”
Outra medida simples é falarmos sobre o tema, alertarmos pais, irmãos, avós, amigos, etc., explicarmos que o facto de uma mensagem parecer oficial não significa que seja legítima, a maioria das fraudes digitais bem-sucedidas não acontece por falta de inteligência ou conhecimento, mas por confiança excessiva num momento de distração, e todos vamos ter esse momento de distração, é factual!
Vivemos numa era em que a Inteligência Artificial potencia inovação extraordinária e sem precedentes, mas também amplifica a escala e sofisticação dos cibercrimes e fraudes digitais. O problema não é a tecnologia em si, mas a forma como é utilizada.
“Neste período de IRS que se aproxima, mais do que nunca, a prudência é essencial”
A segurança digital, não é apenas uma configuração técnica, é acima de tudo, um comportamento, é uma postura crítica, é a capacidade de pararmos alguns segundos antes de clicarmos em algo, é percebermos que, num mundo cada vez mais digital, a pressa é frequentemente o maior aliado dos cibercriminosos.
Neste período de IRS que se aproxima, mais do que nunca, a prudência é essencial. Porque, no final, a melhor tecnologia de defesa continua a ser uma combinação de informação, consciência e responsabilidade partilhada.
NUNO NUNES
Engenheiro Informático e Vogal da Ordem dos Engenheiros da Região Norte
Publicado em 24 Fevereiro 2026
Comentários