Estafes de la Renda 2026: detecta els fraus de l'Agència Tributària
La Campanya de la Renda 2025 (que es presenta al 2026) arranca oficialment a internet el 8 d’abril de 2026, però els ciberdelinqüents fa setmanes que estan treballant. Des de mitjans de març, l’Agència Tributària i l’INCIBE ja han alertat de onades massives d’atacs amb tècniques que enguany són més sofisticades que mai.
A GuardianHubX portem setmanes monitoritzant aquestes campanyes i, lamentablement, el 2026 porta “novetats” tecnològiques que fan que sigui més difícil que mai distingir la realitat de la ficció. Aquesta guia t’explica què està passant i com protegir-te.
Per què el perill augmenta l’abril, maig i juny?
L’èxit del phishing (estafes per email) i el smishing (estafes per SMS) resideix en el context. Els atacants aprofiten que milions de catalans estan pendents del seu esborrany per llançar cebos que encaixen perfectament amb les nostres preocupacions:
- El desig de cobrar: “La vostra devolució de 263,45€ ha estat aprovada”.
- La por a la sanció: “Notificació urgent: incidència detectada en la vostra declaració”.
- La burocràcia: “Falta documentació per processar l’expedient”.
En plena campanya, baixem la guàrdia perquè esperem notícies de Hisenda. I aquest és exactament el que busquen els atacants.
Noves tècniques detectades al 2026: més enllà del SMS
Ja no només hem de preocupar-nos dels missatges mal escrits. Els delinqüents han evolucionat de forma notable.
1. Phishing redactat amb IA (adéu a les faltes d’ortografia)
Abans, una pista clau eren els errors gramaticals. Avui, els atacants usen models de llenguatge avançats per redactar correus amb un to institucional impecable: terminologia legal correcta i estructures que imiten perfectament la Gaseta Oficial de l’Estat o les comunicacions oficials de l’Agència Tributària. Ja vam analitzar aquest fenomen quan els ciberdelinqüents van començar a usar IA per generar anuncis fraudulents convincents; la mateixa tecnologia s’aplica ara a les estafes fiscals.
2. Quishing: la trampa del codi QR
És la tendència en alça enguany. Reps un correu electrònic que sembla una notificació oficial, però en lloc d’un enllaç inclou un codi QR. Et demanen que l’escanejis amb el mòbil per “accedir de forma segura”. En fer-ho, et dirigeixen a una passarel·la de pagaments falsa dissenyada per capturar les teves dades bancàries i biomètriques. Els filtres antiphishing de correu no detecten l’URL maliciosa perquè està codificada a la imatge.
3. Vishing amb IA (clonació de veu)
Malgrat que és menys freqüent, s’han detectat trucades automàtiques que utilitzen veus clonades d’assistents oficials de l’administració, informant d’una deuta pendent que ha de ser abonada “mitjançant una passarel·la segura que s’enviarà per SMS”. Si no coneixes bé aquests atacs, consulta el nostre diccionari de ciberseguretat on expliquem vishing, smishing i altres termes clau.
Anatomia d’un SMS fals de l’Agència Tributària al 2026
Els missatges d’enguany són curts i directes per forçar la impulsivitat:
Exemple A: “AT: S’ha ordenat el pagament de la vostra devolució de l’exercici 2025. Quantitat: 263,45 EUR. Obteniu la vostra reembossament aquí: [Enllaç escurçat]”
Exemple B: “Hisenda: Teniu una notificació administrativa urgent. Termini de resposta: 24h. Accediu a la seu: [Enllaç fals]”
Com detectar l’estafa a l’instant
| Senyals d'alerta | Realitat a l'Agència Tributària | Risc |
|---|---|---|
| Enllaç extern al SMS | L'Agència Tributària mai envia enllaços directes per cobrar diners | ALT |
| Sol·licitud de dades de targeta | Hisenda ja té el teu IBAN; mai et demana els 16 dígits de la teva targeta | CRÍTIC |
| Domini sospitós | L'oficial és sempre .gob.es. Desconfia de .com, .net o subdominis rars | ALT |
| Urgència extrema | Les administracions tenen terminis legals; mai demanen actuar en "15 minuts" | MITJÀ-ALT |
| Codi QR en lloc d'enllaç | Les comunicacions oficials de l'Agència Tributària no inclouen QR per a pagaments | ALT |
Per ampliar la teva capacitat de identificació, et recomanem la nostra guia sobre com identificar un correu sospitós de phishing: aplica exactament els mateixos criteris als missatges de Hisenda.
Com verificar si una comunicació és real
Si reps quelcom i tens dubtes, segueix aquest protocol:
Ignora l’enllaç: No facis clic. Tanca el missatge.
Entrada manual: Escriu tu mateix al navegador
agenciatributaria.gob.es.App oficial: Utilitza l’aplicació oficial de l’Agència Tributària descarregada de botigues oficials (Google Play / App Store). Aquí apareixeran totes les teves notificacions reals.
Cotex de CSV: Si et arriba una carta o email amb un Codi Segur de Verificació (CSV), pots comprovar la seva autenticitat directament a la Seu Electrònica de l’Agència Tributària.
Què fer si ja has caigut a l’estafa
Si has fet clic i, pitjor encara, has introduït les teves dades, cada segon compta. No et bloquejis per la vergonya; li ocorre a milers de persones cada campanya.
Acció immediata (primers 10 minuts)
Trucar al teu banc: Demana el bloqueig de les teves targetes i de les transferències sortints. Informa que has estat víctima de frau.
Canviar contrasenyes: Si vas usar la mateixa clau que en altres serveis (banca, email, empresa), canvia-les totes de immediat.
Acció de contenció (següents hores)
Desconnexió: Si vas descarregar un fitxer, desconnecta el dispositiu d’internet per evitar que un possible malware envií les teves dades a un servidor extern.
Recopila evidències: Captures de pantalla del SMS, del número de telèfon, de l’historial del navegador i de la web falsa.
Acció legal
Denúncia: Acudeix a la Policia Nacional o Guàrdia Civil. Sense denúncia, serà molt més difícil reclamar qualsevol càrrec al banc o a l’assegurança.
Reporta a l’INCIBE: Pots trucar al 017 per rebre assessorament gratuït.
Si ets autònom o tens una PIME: el risc és doble
Les estafes de la Renda no afecten només els particulars. Si gestions un negoci, els teus empleats també són objectius, i un sol clic en un equip corporatiu pot obrir la porta a un atac de ransomware que paralitzi tota la teva infraestructura.
Els autònoms són especialment vulnerables durant aquesta època perquè gestionen tant la seva declaració personal com la de la seva activitat. Si vas començar fa poc, a la nostra guia de ciberseguretat per a autònoms des de zero trobaràs els passos bàsics per protegir la teva activitat.
A més, durant la campanya de la Renda proliferen també les estafes tipus CEO fraud i BEC on els atacants usurpen la identitat d’un directiu o de la mateixa gestoría per sol·licitar transferències urgents o dades fiscals.
Checklist per a empreses durant la campanya fiscal
✅ Comunica a l’equip que l’Agència Tributària no sol·licita dades bancàries per email ni SMS
✅ Activa la verificació en dos passos en tots els correus corporatius
✅ Configura filtres antiphishing a la passarel·la de correu
✅ Estableix un protocol clar: qualsevol comunicació “urgent” de Hisenda ha de ser verificada per telèfon abans d’actuar
✅ Realitza una simulació de phishing per comprovar el nivell d’alerta del teu equip
Conclusió: la prudència digital és la teva millor defensa
Les estafes de la Renda al 2026 demostren que els atacants no descansen i que usen la tecnologia a favor. La millor defensa no és un software, sinó l’hàbit de desconfiar per defecte.
Regla d’or de GuardianHubX: Si l’administració “et contacta” per donar-te diners de forma fàcil i ràpida través d’un enllaç o un codi QR, el 99,9% de les vegades és un frau.
¿Et preocupa l’exposició digital de la teva empresa durant aquesta campanya fiscal? Podem ajudar-te de dues formes:
Amb formació i simulacions de phishing per al teu equip, perquè els teus empleats sàpiguen detectar aquests atacs abans de caure-hi.
Amb GuardianRadar, la nostra solució de monitorització d’identitat digital que detecta si les dades de la teva empresa apareixen exposades antes que sigui massa tard.