A Autoridade Tributária e Aduaneira (AT) alertou esta segunda-feira, 2 de fevereiro de 2026, para a circulação de e-mails e mensagens SMS falsas que se fazem passar pela instituição e tentam roubar dados pessoais e bancários através de links maliciosos.
As mensagens integram um esquema conhecido como phishing (e, no caso de SMS, muitas vezes smishing), com o objetivo de levar o contribuinte a clicar numa ligação e a introduzir informação sensível fora dos canais oficiais.
A AT sublinha que estas comunicações fraudulentas podem imitar o tom e o grafismo de notificações reais, precisamente para criar sensação de urgência e aumentar a probabilidade de erro.
Como reconhecer mensagens falsas da Autoridade Tributária
Segundo a AT, há três regras simples que ajudam a identificar tentativas de burla: a instituição só envia e-mails de endereços terminados em @at.gov.pt, nunca envia links para inserir/alterar/confirmar dados pessoais ou fiscais e nunca solicita pagamentos através de links recebidos por e-mail ou SMS.
Na prática, sempre que receber uma mensagem com um link “para atualizar dados”, “validar a conta” ou “regularizar um pagamento”, a recomendação é não clicar e não responder, mesmo que o texto pareça credível.
Todas as operações digitais devem ser feitas apenas no Portal das Finanças, confirmando que o endereço começa por “https://” antes de inserir credenciais.
Como confirmar comunicações oficiais da AT
A AT lembra que as comunicações enviadas “centralmente” ficam disponíveis na área reservada do Portal, permitindo ao contribuinte confirmar se existe, ou não, uma notificação verdadeira associada ao seu NIF.
Para consultar, basta entrar no Portal, autenticar-se e selecionar “Comunicações” no menu lateral, onde ficam reunidas as mensagens oficiais.
Este passo é relevante porque, mesmo quando recebe um aviso por e-mail/SMS, a validação segura deve ser feita sempre “de dentro para fora”: primeiro no Portal, e nunca a partir de links recebidos.
Quem recebe avisos por e-mail e SMS
De acordo com a AT, só recebe comunicações informativas por e-mail e SMS quem ativou esse envio e tem os contactos (e-mail e telemóvel) confirmados no Portal.
Ainda assim, a recomendação mantém-se: se houver dúvida sobre uma mensagem, deve ignorá-la e confirmar diretamente no Portal, sem clicar em anexos ou ligações.
O Centro Nacional de Cibersegurança reforça esta lógica de prevenção, aconselhando a verificar a origem, desconfiar de pedidos inesperados e confirmar sempre pelos canais oficiais quando existe pressão para agir “já”.
Se clicou num link ou forneceu dados
Se chegou a introduzir dados bancários ou detetou movimentos suspeitos, o Banco de Portugal recomenda contactar imediatamente o seu banco/prestador de pagamentos para limitar danos e sinalizar operações não autorizadas.
Em paralelo, pode apresentar queixa junto das autoridades, incluindo através dos canais indicados no gov.pt, e reunir provas como SMS/e-mails recebidos, capturas de ecrã e datas/horas.
O essencial, sublinha a AT, é simples: não clique em links, não forneça dados por mensagens e trate sempre de assuntos fiscais exclusivamente no Portal das Finanças.
Leia também: Atenção portugueses: se levantar dinheiro desta forma no Multibanco o seu banco pode (e vai) pedir-lhe explicações
