E-mail falso do IRN: como identificar o phishing que ameaça cancelar a sua empresa
Recebeu um e-mail do IRN a exigir a atualização urgente de dados sob ameaça de cancelamento da empresa? É phishing. Veja como o identificar e proteger o seu negócio.
Chegou-nos à caixa de entrada da Equipetec um e-mail em nome do Instituto dos Registos e do Notariado (IRN). Dizia que uma carta enviada para a morada da empresa tinha sido devolvida, que os dados no Registo Comercial podiam estar desatualizados e que, se não confirmássemos tudo em poucos dias, avançariam com um pedido de cancelamento da empresa.
À primeira vista, parecia credível: linguagem formal, referência ao Registo Comercial e até um "número de referência" no canto. Mas é falso. Trata-se de uma campanha de phishing que está a circular por todo o país — e o próprio IRN já emitiu um alerta oficial sobre ela.
Como este é um caso real que recebemos, decidimos abri-lo ao detalhe. Se gere uma empresa, é muito provável que uma mensagem parecida chegue também à sua caixa de entrada.
O que o IRN já veio dizer publicamente
A 30 de junho de 2026, o IRN publicou um alerta de phishing exatamente sobre este tipo de mensagem. O organismo é claro: estes e-mails não são enviados pelo IRN nem por qualquer serviço de registo oficial, e o objetivo é levar a vítima a clicar num link malicioso para roubar dados e credenciais.
Um pormenor revelador: o alerta oficial identifica o remetente info@glcode.com, mas o e-mail que nós recebemos partia de info@mishcollection.com. Ou seja, é a mesma campanha a usar domínios diferentes e rotativos para escapar aos filtros. Não se prenda apenas a um endereço específico — é o padrão que importa.
O e-mail que recebemos, sinal a sinal
Estes são os indícios que, juntos, não deixam margem para dúvidas. Servem para qualquer mensagem suspeita, não só para as que usam o nome do IRN.
1. O domínio do remetente não pertence à entidade
A mensagem vinha de um domínio comercial .com sem qualquer relação com o Estado português. As comunicações verdadeiras do IRN usam domínios oficiais como irn.justica.gov.pt, justica.gov.pt ou gov.pt. Se o endereço termina noutra coisa, desconfie de imediato. Atenção: o nome apresentado ("IRN Suporte", por exemplo) é facilmente falsificável — o que interessa é o endereço real por trás dele.
2. Urgência e ameaça de cancelamento
O e-mail pressionava com um prazo curto e a ameaça de cancelar a empresa no Registo Comercial. A urgência combinada com o medo é a assinatura clássica do phishing: quer que aja depressa, antes de pensar. Organismos públicos comunicam prazos e obrigações, mas não ameaçam encerrar o negócio por e-mail com um contador a correr.
3. Uma incoerência que o denuncia
No caso recebido, o prazo estava escrito assim: "no prazo de três (7) dias úteis". Três ou sete? Este tipo de descuido — um número que não bate certo com o extenso — é típico de mensagens montadas à pressa ou mal traduzidas. Pequenas incoerências como esta valem mais do que mil suspeitas.
4. Um link genérico que esconde o destino
O texto convidava a "iniciar o processo" através de uma ligação, mas sem mostrar para onde levava. É aí que mora o perigo: o link parece oficial, mas conduz a um site falso feito para capturar credenciais. Antes de clicar em qualquer ligação, passe o rato por cima (ou mantenha o dedo pressionado no telemóvel) e leia o endereço real. Se não corresponder ao domínio oficial, não clique.
5. Saudação genérica
A mensagem começava com "A quem possa interessar". Comunicações oficiais costumam identificar o destinatário ou a empresa pelo nome. Uma saudação impessoal é um sinal de que a mesma mensagem foi disparada para milhares de endereços.
6. Detalhes que não fazem sentido
O rodapé afirmava que "as respostas a este e-mail não serão tidas em consideração". Uma entidade pública real disponibiliza canais de contacto e aceita esclarecer dúvidas — não fecha a porta ao diálogo. O "número de referência" apresentado também não prova nada: é apenas mais um adereço para dar ar de legitimidade.
Como confirmar se é mesmo do IRN
A regra de ouro é simples: verifique pelos canais oficiais, nunca pelos contactos que vêm no e-mail suspeito.
- Escreva o endereço diretamente no navegador: irn.justica.gov.pt. Não use o link da mensagem.
- Em caso de dúvida, ligue para a Linha Registos: 211 950 500.
- Confirme a situação da empresa com o contabilista ou com quem trata da gestão administrativa.
Se a mensagem fosse verdadeira, esta verificação confirmá-lo-ia. Como é falsa, o contacto oficial vai simplesmente esclarecer que nada consta.
Já recebeu um e-mail destes? Faça isto
1. Não clique em nenhum link e não descarregue anexos.
2. Não introduza credenciais nem dados bancários em lado nenhum.
3. Elimine a mensagem depois de a reportar.
4. Reporte às autoridades. A Polícia Judiciária e o Ministério Público disponibilizam formulários online para denúncia de cibercrime; também é possível apresentar queixa presencialmente na PSP ou na GNR.
5. Avise a equipa. Basta um colaborador distraído para comprometer a empresa inteira.
E se já clicou ou introduziu dados?
Sem pânico, mas com rapidez:
1. Altere de imediato a palavra-passe da conta afetada (e de qualquer outra onde use a mesma).
2. Ative a autenticação em dois passos (2FA) onde ainda não estiver ativa.
3. Contacte o fornecedor de informática para verificar acessos e atividade suspeita.
4. Monitorize as contas nos dias seguintes.
5. Se houver dados bancários envolvidos, contacte de imediato o banco.
A verdadeira proteção não é uma ferramenta. É um hábito.
Nenhum destes ataques exige um hacker sofisticado. Exigem apenas um descuido e um dia mau. E é por isso que a defesa mais eficaz numa PME não é o antivírus mais caro — é a cultura de verificação:
- Uma equipa treinada para parar cinco segundos antes de clicar.
- Autenticação em dois passos em todas as contas críticas (e-mail, Microsoft 365, banca).
- Filtros de e-mail e regras anti-spoofing bem configurados.
- Um plano de recuperação testado, para o caso de algo correr mal.
Estas medidas resolvem-se com método, não com grandes orçamentos. São exatamente o tipo de trabalho que a Equipetec faz com as pequenas e médias empresas do Porto e de Vila Nova de Gaia: fechar as portas que ficaram abertas por hábito, antes que alguém as encontre.
Perguntas frequentes
O IRN envia e-mails a pedir a atualização de dados?
O IRN não solicita dados pessoais nem credenciais através de e-mails não solicitados com links. Qualquer mensagem nesse sentido deve ser tratada como suspeita e confirmada pelos canais oficiais.
Qual é o domínio oficial do IRN?
As comunicações e serviços oficiais usam domínios do Estado, como irn.justica.gov.pt, justica.gov.pt e gov.pt. Endereços terminados em domínios comerciais aleatórios não pertencem ao IRN.
Cliquei no link mas não introduzi dados. Há risco?
O risco é menor, mas não nulo — algumas páginas tentam instalar software. Convém correr uma verificação de segurança ao equipamento, estar atento a comportamentos estranhos e, na dúvida, pedir apoio ao fornecedor de informática.
Como reportar um e-mail de phishing em Portugal?
É possível denunciar à Polícia Judiciária e ao Ministério Público através dos formulários de cibercrime, ou presencialmente na PSP ou GNR. Também vale alertar a entidade cujo nome está a ser usado, através dos seus contactos oficiais.