IA generativa eleva o nível dos golpes no Imposto de Renda e expõe falhas na segurança digital do brasileiro
Com a abertura oficial do período de entrega das declarações do Imposto de Renda, o ambiente digital no Brasil entra em uma das fases mais críticas do ano em termos de tentativas de fraude. Em 2026, esse cenário ficou ainda mais complexo: criminosos passaram a usar de forma intensa a inteligência artificial generativa para criar golpes muito mais convincentes, difíceis de identificar até mesmo por usuários experientes.
Thiago Tanaka, diretor de Cibersegurança da TIVIT, explica que a grande virada não está apenas no aumento do número de ataques, mas na sofisticação das iscas digitais. A IA generativa permite que golpistas produzam e-mails, mensagens, formulários e páginas falsas com linguagem extremamente próxima da utilizada por órgãos oficiais, reproduzindo tom, logotipos, cores, ícones e até a estrutura visual dos canais do governo. Isso reduz o estranhamento do cidadão e aumenta drasticamente a chance de ele cair no golpe.
Os números mostram a gravidade do problema. Dados recentes da Serasa Experian apontam que, no início de 2026, o Brasil passou a registrar uma tentativa de fraude financeira a cada 2,2 segundos. O uso de bases de dados vazadas, combinado com estratégias de engenharia social hiperpersonalizadas apoiadas por IA, resultou em um salto próximo de 30% nas tentativas de fraude em relação ao ciclo anterior. Hoje, mais da metade da população afirma já ter sido alvo de algum tipo de golpe digital nos últimos 12 meses.
No contexto do Imposto de Renda, os ataques seguem um roteiro conhecido, mas agora com um acabamento tecnológico mais refinado. As fraudes aparecem principalmente em páginas que imitam o portal oficial, em mensagens sobre supostos problemas na malha fina, promessas falsas de restituição antecipada ou cobranças indevidas supostamente feitas pela Receita Federal. A diferença é que, com IA, esses conteúdos se tornaram mais bem escritos, alinhados às regras gramaticais e à linguagem técnica, o que reduz os sinais tradicionais de alerta usados pelo cidadão para identificar golpes.
Tanaka ressalta que o grande desafio não é apenas bloquear tentativas de invasão ou fraudes pontuais, mas garantir que toda a jornada digital do contribuinte – desde o acesso às informações até o envio da declaração e consulta da restituição – ocorra em um ambiente de confiança. Para isso, é fundamental que o usuário reconheça quais são os canais oficiais e como eles se comportam. Uma pista importante: comunicações legítimas não costumam utilizar gatilhos emocionais de urgência extrema, como “pagamento imediato sob pena de bloqueio do CPF” ou “última chance de evitar multa hoje”.
Segundo o diretor da TIVIT, a proteção nesse cenário depende da combinação de vários elementos: uma arquitetura digital segura, autenticação robusta, monitoramento constante de atividades suspeitas e, sobretudo, educação do usuário. Não basta investir em tecnologia se o cidadão continua clicando em qualquer link que chega por e-mail ou aplicativo de mensagem. Em períodos como o do Imposto de Renda, a atenção precisa ser redobrada.
Entre as camadas mais importantes de defesa estão o uso de ambientes autenticados, como o portal e-CAC e o aplicativo oficial Meu Imposto de Renda, e a adoção de múltiplos fatores de autenticação. Esses mecanismos dificultam que o criminoso acesse contas mesmo que consiga roubar senhas ou dados pessoais. Tanaka lembra que o login apenas com CPF e uma senha simples já não é suficiente diante do nível de sofisticação das quadrilhas, que muitas vezes usam IA para testar combinações de senhas, analisar padrões de comportamento e até simular conversas com as vítimas.
Quando a confiança na comunicação oficial é abalada, a consequência vai além dos prejuízos individuais. A eficiência do Governo Digital sofre um retrocesso: cidadãos passam a desconfiar de mensagens legítimas, atrasam processos, evitam usar canais online e aumentam a demanda por atendimento presencial ou telefônico. Na visão do especialista, a segurança da informação deixou de ser apenas um requisito técnico e se tornou um pilar de sustentabilidade do próprio serviço público digital.
Um dos pontos mais preocupantes é a capacidade da IA generativa de produzir mensagens extremamente personalizadas. Com base em dados vazados – como nome completo, endereço, histórico de emprego, bancos utilizados e até informações de redes sociais -, os criminosos constroem e-mails ou mensagens que parecem ter sido feitos sob medida para cada vítima. Isso inclui, por exemplo, citar corretamente o nome do contador, da empresa onde a pessoa trabalha ou um valor aproximado de renda, o que cria uma falsa sensação de legitimidade.
Além disso, a IA já é usada para automatizar conversas em tempo real. Chatbots maliciosos se passam por atendentes da Receita Federal, orientando o contribuinte a “corrigir” a declaração em sites falsos ou a enviar documentos sensíveis, como cópia do RG, comprovantes de renda e dados bancários. Em casos mais avançados, criminosos simulam atendentes por voz, usando sistemas capazes de imitar sotaque, entonação e até reproduzir falas anteriores capturadas em gravações públicas.
Na prática, os golpes ligados ao Imposto de Renda seguem alguns padrões recorrentes:
– Mensagens informando que o CPF entrou na malha fina, com um link “para regularização imediata”.
– E-mails prometendo restituição em prazo recorde, desde que o usuário “confirme dados bancários” em um formulário.
– Notificações de “débito em aberto” com ameaça de bloqueio de CPF ou impedimento de financiamento, exigindo pagamento instantâneo via PIX.
– Alertas falsos dizendo que houve erro na declaração enviada e que é necessário baixar um “novo programa” ou “complemento”, que na verdade é um malware.
A inteligência artificial não cria apenas o texto desses golpes, mas também a parte visual. Em poucos minutos, ferramentas de IA conseguem gerar layouts que lembram o site da Receita Federal, com brasões, ícones e menus muito parecidos. Quando o usuário acessa essas páginas falsas, costuma encontrar formulários que pedem uma quantidade exagerada de informações pessoais – um sinal clássico de fraude, apesar de muitas pessoas ainda não perceberem.
Para o cidadão, algumas medidas simples ajudam a reduzir consideravelmente o risco durante a temporada do Imposto de Renda:
1. Digitar o endereço do site oficial no navegador, em vez de clicar em links enviados por e-mail, redes sociais ou aplicativos de mensagem.
2. Desconfiar de qualquer comunicação que gere pressa extrema ou medo, especialmente quando envolve pagamentos imediatos.
3. Conferir se o aplicativo utilizado para declarar o imposto é o oficial, baixado apenas nas lojas de aplicativos reconhecidas e sob o nome correto do desenvolvedor governamental.
4. Ativar múltiplos fatores de autenticação sempre que a opção estiver disponível.
5. Nunca compartilhar códigos de acesso, senhas ou tokens recebidos por SMS ou aplicativos, nem com supostos atendentes.
Do lado das empresas – especialmente escritórios de contabilidade, consultorias tributárias e plataformas financeiras -, o período de declaração também exige reforço de blindagem. Como concentram dados de muitos contribuintes, esses negócios se tornam alvos preferenciais de ataques. A recomendação é reforçar o controle de acesso aos sistemas, revisar rotinas de backup, ampliar o monitoramento de anomalias e treinar equipes para reconhecer sinais de engenharia social, como pedidos incomuns de alteração de dados bancários de clientes.
A IA generativa, por outro lado, não é usada apenas pelos criminosos. As mesmas tecnologias que alimentam golpes também podem apoiar a defesa. Ferramentas de análise comportamental, sistemas de detecção de anomalias em tempo real e filtros avançados de e-mail utilizam inteligência artificial para identificar padrões suspeitos, bloquear mensagens maliciosas e sinalizar ações fora do comum no acesso a portais fiscais. A diferença está em quem controla a tecnologia e com quais objetivos.
A tendência é que, nos próximos anos, a batalha entre fraudadores e defensores se torne ainda mais baseada em IA. De um lado, quadrilhas usando modelos generativos para produzir ataques mais complexos e personalizados; de outro, empresas e governo investindo em algoritmos de detecção, correlação de eventos e autenticação avançada, como biometria comportamental e análise de risco em tempo real. Nesse contexto, confiar apenas na percepção humana para identificar golpes será cada vez mais arriscado.
Apesar da sofisticação dos ataques, alguns princípios continuam válidos. Órgãos oficiais não pedem confirmação de senha por e-mail, não exigem pagamento via canais informais e não enviam arquivos executáveis para “atualizar o sistema”. Da mesma forma, mensagens com erros gritantes de português podem estar diminuindo em quantidade, graças à IA, mas ainda existem; e qualquer pedido de dado sensível deve acender um sinal amarelo.
A temporada do Imposto de Renda deixou de ser apenas um compromisso fiscal anual e passou a ser também um teste de maturidade digital para cidadãos, empresas e governo. Em um cenário em que golpes são tentados a cada poucos segundos e em que mais da metade da população já foi alvo de ataques, criar uma cultura de desconfiança saudável e de verificação constante é tão importante quanto manter antivírus ou atualizar o sistema operacional.
No fim, a mensagem central é clara: a tecnologia que impulsiona a transformação digital do Estado e facilita a vida do contribuinte também está disponível para o crime organizado. A diferença entre cair ou não em um golpe, especialmente em períodos críticos como o do Imposto de Renda, passa por três pilares: uso exclusivo de canais oficiais, fortalecimento da autenticação e, principalmente, um olhar crítico sobre tudo o que chega por e-mail, mensagem ou rede social em nome da Receita Federal.