06 jul. Hisenda alerta: autònoms reben missatges falsos sobre deutes i sancions a la renda
La recta final de la campanya de la renda s’ha convertit en un dels moments de major activitat per als ciberdelinqüents que suplanten l’Agència Estatal d’Administració Tributària. Amb el termini de presentació tancant-se el 30 de juny del 2026, estan augmentant els intents de frau a través de correus electrònics, SMS i fins i tot trucades en les quals es reclamen suposats pagaments pendents o s’adverteix de presumptes incidències fiscals que requereixen actuació immediata.
El risc afecta especialment els autònoms i pimes, que gestionen directament bona part de les seves obligacions tributàries i reben amb freqüència comunicacions reals de les administracions. Aquesta familiaritat amb els tràmits fiscals pot convertir-se en un factor de vulnerabilitat quan els missatges fraudulents repliquen amb fidelitat el format oficial.
El canvi d’estratègia: de prometre devolucions a amenaçar amb deutes
Durant anys, les campanyes de phishing que suplantaven Hisenda seguien un patró reconeixible: un missatge que prometia una devolució pendent i sol·licitava dades bancàries per tramitar-la. Aquell esquema continua existint, però els experts han detectat un canvi significatiu en les últimes setmanes de la campanya fiscal del 2026.
Ara proliferen els missatges que adverteixen de suposats deutes tributaris, errors en la declaració ja presentada o pagaments urgents per evitar sancions. El gir és important: si abans l’esquer era la promesa d’un benefici econòmic, ara és la por a un perjudici. Segons David Blanch, director digital de Cdmon, empresa proveïdora de serveis d’allotjament web, aquest enfocament genera una urgència que redueix la capacitat d’anàlisi del receptor abans d’actuar.
L’estratègia resulta especialment efectiva durant les últimes setmanes de juny, quan molts contribuents ja coneixen el resultat de la seva declaració. Els qui han de pagar són més receptius a qualsevol comunicació relacionada amb obligacions tributàries, i els qui esperen devolució temen que algun error pugui haver-la bloquejat.
Com funcionen aquestes estafes: el recorregut del frau
El procés habitual segueix aquests passos:
- El receptor rep un correu electrònic, un SMS o una trucada que aparenta procedir de l’Agència Tributària. El remitent, el número o la presentació visual imiten amb detall els canals oficials.
- El missatge informa d’una incidència tributària urgent: un deute pendent, un error detectat en la declaració o un pagament que s’ha de fer abans d’una data concreta per evitar recàrrecs o bloqueig de comptes.
- S’inclou un enllaç que dirigeix a una pàgina web visualment quasi idèntica a la Seu Electrònica de l’Agència Tributària. El disseny, els logotips i l’estructura repliquen amb precisió el portal oficial.
- Un cop a la pàgina falsa, es demana a l’usuari que introdueixi les seves credencials d’accés (certificat electrònic, Cl@ve o dades del DNI), dades personals o informació bancària per resoldre la suposada incidència.
- Amb aquestes dades, els delinqüents poden accedir a la Seu Electrònica real del contribuent, presentar declaracions en el seu nom, sol·licitar devolucions fraudulentes o buidar comptes bancaris vinculats.
Segons les dades de l’Institut Nacional de Ciberseguretat (Incibe), el 2025 es van gestionar 122.223 incidents de ciberseguretat a Espanya, un 26% més que l’any anterior. Els casos de phishing van superar els 25.000.
Per què els autònoms són un objectiu prioritari
Els autònoms reuneixen característiques que els converteixen en un blanc atractiu per a aquest tipus de fraus. Realitzen de forma habitual tràmits amb les administracions públiques, reben comunicacions oficials amb freqüència i solen gestionar pagaments, impostos i notificacions electròniques de manera recurrent i directa, sovint sense el filtre d’un departament de seguretat informàtica.
A més, durant la campanya de la renda la càrrega de gestió augmenta: cal seguir l’estat de la declaració, revisar l’esborrany, gestionar possibles pagaments o devolucions i atendre comunicacions de l’assessor. En aquest context, un missatge que alerta d’una incidència fiscal pot passar fàcilment per una comunicació legítima més entre la dotzena de tràmits pendents.
Els canals reals d’Hisenda: com es comunica l’Agència Tributària
L’Agència Tributària ha reiterat en nombroses ocasions els principis bàsics sobre com es comunica amb els contribuents. Conèixer-los és la millor forma de distingir el real del fals:
- L’AEAT mai sol·licita informació personal, claus d’accés ni dades bancàries per correu electrònic o SMS.
- L’Agència Tributària no remet enllaços perquè els contribuents introdueixin dades confidencials fora de la seva seu electrònica oficial (sede.agenciatributaria.gob.es).
- Les notificacions tributàries oficials es tramiten a través de la Direcció Electrònica Habilitada (DEH) o del sistema Cl@ve. El contribuent rep un avís que té una notificació pendent, però ha d’accedir pel seu compte a la Seu Electrònica per llegir-la, no a través de cap enllaç inclòs en l’avís.
- Les comunicacions urgents que impliquin terminis o pagaments sempre es poden verificar accedint directament a la Seu Electrònica, sense necessitat de seguir cap enllaç extern.
Com identificar un missatge fraudulent: senyals d’alerta
Aquestes són les característiques més freqüents dels missatges de phishing que suplanten Hisenda:
- Urgència extrema: el missatge insta a actuar en hores o en poques hores, sota amenaça de sanció, bloqueig de compte o recàrrec automàtic.
- Enllaç inclòs en el missatge: Hisenda no envia enllaços perquè el contribuent accedeixi a tràmits sensibles. Qualsevol enllaç en un correu o SMS que porti a una pantalla d’introducció de credencials s’ha de considerar sospitós.
- Remitent amb domini inusual: l’AEAT utilitza únicament dominis @agenciatributaria.gob.es. Qualsevol variant és fraudulenta.
- Errors gramaticals o de format: encara que els missatges fraudulents són cada vegada més sofisticats, continua sent habitual trobar inconsistències en el text o un to lleugerament diferent de l’oficial.
- Sol·licitud de dades que Hisenda ja té: l’Agència Tributària disposa de totes les dades identificatives del contribuent. Mai sol·licitarà per email o SMS que les torni a facilitar.
Què fer si reps un missatge sospitós
Si reps un correu, SMS o trucada que afirma ser d’Hisenda i et genera dubtes, el procediment recomanat és el següent:
- No facis clic a cap enllaç inclòs en el missatge ni descarreguis cap fitxer adjunt.
- No truquis a cap número de telèfon que aparegui en el missatge, especialment si és un número de tarifació especial.
- Accedeix directament a la Seu Electrònica de l’AEAT escrivint l’adreça al navegador (sede.agenciatributaria.gob.es) i comprova si tens notificacions o avisos pendents. Si no hi ha res al teu bústia oficial, el missatge era fals.
- Si tens dubtes, consulta amb el teu assessor fiscal abans de realitzar cap acció.
- Si ja has clicat a un enllaç o has introduït dades, canvia immediatament les contrasenyes afectades i contacta amb el teu banc si has facilitat informació bancària. Pots reportar l’incident a l’Incibe a través del telèfon d’ajuda en ciberseguretat 017.
La regla més senzilla és també la més fiable: davant qualsevol comunicació fiscal que generi urgència i demani actuar a través d’un enllaç, la primera acció sempre ha de ser accedir directament a la Seu Electrònica pel teu compte, sense fer servir l’enllaç rebut. Si el problema és real, hi serà. Si no apareix res, el missatge era fraudulent.
Preguntes freqüents sobre el phishing d’Hisenda i les estafes fiscals
Com sé si un correu d’Hisenda és real o fals?
L’AEAT només utilitza el domini @agenciatributaria.gob.es en les seves comunicacions per correu electrònic. Qualsevol altre domini és fraudulent. A més, Hisenda mai inclou enllaços per introduir claus ni sol·licita dades bancàries per email. Davant el dubte, accedeix directament a la Seu Electrònica escrivint l’adreça al navegador.
L’Agència Tributària envia SMS?
Sí, però únicament com a avís de notificació pendent, sense incloure enllaços per tramitar res. Qualsevol SMS que inclogui un enllaç per introduir dades o realitzar un pagament s’ha de considerar sospitós.
Què passa si he introduït les meves dades a una pàgina falsa d’Hisenda?
Has d’actuar de forma immediata: canvia la contrasenya de Cl@ve i qualsevol altra credencial que hagis facilitat, revisa el teu bústia de la Seu Electrònica per comprovar si s’han realitzat gestions no autoritzades, i contacta amb el teu banc si has facilitat dades bancàries. Reporta l’incident a l’Incibe trucant al 017.
Per què els autònoms són especialment vulnerables a aquest tipus de fraus?
Perquè realitzen de forma habitual tràmits fiscals, reben comunicacions reals d’Hisenda amb freqüència i, durant la campanya de la renda, gestionen una major càrrega d’obligacions. Aquesta familiaritat pot fer que un missatge fraudulent passi inadvertit entre la documentació legítima.
On puc reportar un intent d’estafa que suplanti Hisenda?
A l’Incibe a través del telèfon 017 (gratuït, de dilluns a diumenge de 8h a 23h) o a través del formulari de la web incibe.es. També pots notificar-ho directament a l’Agència Tributària a través de la seva Seu Electrònica.