Montrer le sommaire Cacher le sommaire
- Qu’est‑ce que contient réellement FICOBA et qui peut y avoir accès?
- Quels types d’escroqueries résultent le plus souvent d’une fuite d’IBAN ?
- Quelles erreurs éviter après avoir reçu une notification de la DGFiP ?
- Que faire en priorité si votre IBAN apparaît dans le fichier compromis ?
- Comment repérer une tentative de prélèvement frauduleux et révoquer un mandat SEPA ?
- Quelles protections techniques et comportementales mettre en place pour limiter les risques ?
- Que peut et ne peut pas faire la DGFiP après une violation de FICOBA ?
- Quand faire appel à la police, à sa banque ou à la CNIL ?
- Que faire si vous n’avez pas reçu la notification de la DGFiP mais craignez d’être touché ?
Entre le 28 janvier et le 13 février 2026, la DGFiP a découvert des consultations non autorisées du fichier national des comptes bancaires (FICOBA) et a informé les personnes concernées conformément à l’article 34 du RGPD. Moins de 1 % des coordonnées bancaires ont été affectées, mais même une fuite limitée peut provoquer des escroqueries ciblées : voici comment interpréter le risque et agir concrètement si vous êtes concerné.
Qu’est‑ce que contient réellement FICOBA et qui peut y avoir accès?
FICOBA recense les titulaires de comptes ouverts en France avec des informations d’état civil, l’adresse postale et les coordonnées bancaires — notamment le IBAN. Il n’y figure ni solde ni historique des opérations, ni mots de passe. En pratique, ce fichier sert aux administrations et à certaines autorités (fiscales, judiciaires) pour identifier ou contacter des titulaires de comptes. Une fuite ne donne donc pas accès aux services bancaires en ligne, mais fournit des éléments utiles pour des techniques d’ingénierie sociale.
Quels types d’escroqueries résultent le plus souvent d’une fuite d’IBAN ?
Les criminels exploitent l’IBAN et les données personnelles pour rendre leurs messages plus crédibles : appels, SMS ou e‑mails prétendant venir de votre banque, de l’administration fiscale ou d’un fournisseur. On observe trois scénarios courants :
– le phishing personnalisé qui vise à obtenir vos identifiants ou codes ;
– la tentative de mandat SEPA frauduleux permettant des prélèvements non autorisés ;
– la préparation d’une usurpation d’identité quand d’autres documents sont disponibles.
Important : l’IBAN seul n’autorise pas un virement sortant depuis votre compte, mais il facilite les arnaques qui vous poussent à transférer de l’argent ou à communiquer des codes sensibles.
Que devient l’avis d’imposition papier en 2026 si vous déclarez vos revenus en ligne ?
Lean product development : comment le définir et l’implémenter en pratique
Quelles erreurs éviter après avoir reçu une notification de la DGFiP ?
Quand on est informé d’un accès illégitime, l’émotion pousse souvent à des réactions précipitées. Évitez ces erreurs fréquentes :
– ne répondez pas à des SMS ou courriels demandant des codes ;
– ne divulguez jamais vos identifiants bancaires ni les codes reçus par SMS ;
– ne transférez pas d’argent « pour vérifier » ou « pour sécuriser » un compte à la demande d’un tiers.
Gardez plutôt des preuves (captures d’écran, courriels) et suivez la procédure recommandée ci‑dessous.
Que faire en priorité si votre IBAN apparaît dans le fichier compromis ?
1) Contactez votre banque dès que possible et demandez une « vigilance renforcée » sur le compte (surveillance des prélèvements, alertes).
2) Consultez attentivement vos relevés et activez les notifications d’opérations en temps réel si votre banque les propose.
3) Si une opération suspecte apparaît, signalez‑la immédiatement à l’établissement et demandez le remboursement et la révocation du mandat en vous appuyant, le cas échéant, sur l’article L.133‑24 du CMF.
4) Déposez une plainte auprès des services de police ou de gendarmerie si vous constatez une fraude.
5) Conservez toutes les preuves et utilisez les ressources publiques (par exemple cybermalveillance.gouv.fr) pour vous orienter.
Ces étapes sont pratiques et souvent efficaces : en situation réelle, les banques peuvent bloquer ou contester un prélèvement frauduleux si vous agissez rapidement.
Comment repérer une tentative de prélèvement frauduleux et révoquer un mandat SEPA ?
Signes d’un prélèvement frauduleux : description du bénéficiaire incohérente, montants inattendus, fréquence inhabituelle. Pour révoquer un mandat SEPA, procédez ainsi :
– informez le créancier que le mandat est révoqué ;
– informez votre banque pour qu’elle bloque des prélèvements futurs et vous aide à contester les opérations passées ;
– en cas de prélèvement non autorisé, demandez la procédure de remboursement auprès de votre banque (contestations SEPA).
Une pratique observée : garder un tableau simple de toutes les opérations suspectes (date, montant, libellé) facilite les démarches auprès de la banque et de la police.
Quelles protections techniques et comportementales mettre en place pour limiter les risques ?
Il n’existe pas de parade parfaite, mais plusieurs mesures réduisent nettement le danger :
– activez les alertes bancaires et limitez les montants autorisés par défaut ;
– utilisez des mots de passe uniques et un gestionnaire de mots de passe ;
– évitez l’envoi d’un IBAN par des canaux non sécurisés (SMS, messagerie publique) ;
– préférez les cartes virtuelles ou un porte‑monnaie tiers pour les paiements en ligne.
Liste rapide de vérifications à faire régulièrement :
– relevés bancaires : une fois par semaine ;
– paramètres de sécurité (e‑mail, banque) : tous les trois mois ;
– renouvellement des cartes si activité suspecte : immédiatement.
Que peut et ne peut pas faire la DGFiP après une violation de FICOBA ?
La DGFiP a l’obligation d’alerter les personnes concernées et la CNIL en cas de fuite, ce qui a été fait conformément au RGPD. Elle peut renforcer les protections internes et coopérer aux enquêtes judiciaires. En revanche, la DGFiP ne rembourse pas les opérations frauduleuses : la prise en charge financière relève principalement de la banque et des procédures de contestation des prélèvements. Si vous estimez que vos droits liés aux données personnelles ont été portés atteinte, vous pouvez signaler l’incident à la CNIL.
| Type d’information | Présent dans FICOBA | Risque principal |
|---|---|---|
| IBAN | Oui | Phishing, prélèvements frauduleux |
| État civil et adresse | Oui | Rendre les arnaques plus crédibles |
| Solde, opérations, mots de passe | Non | Pas d’accès direct aux services bancaires |
Quand faire appel à la police, à sa banque ou à la CNIL ?
Contactez immédiatement votre banque dès la première opération suspecte. Déposez plainte auprès des forces de l’ordre si vous subissez un préjudice financier ou si des éléments d’usurpation d’identité sont utilisés. Saisissez la CNIL si vous jugez que vos droits liés à la protection des données ont été violés (délai, réponse insatisfaisante de l’administration). Pour une aide pratique en matière de cybersécurité, cybermalveillance.gouv.fr propose des guides et des contacts utiles.
Que faire si vous n’avez pas reçu la notification de la DGFiP mais craignez d’être touché ?
Même sans notification formelle, adoptez des comportements prudents : surveillez vos comptes, demandez à votre banque une vigilance accrue, signalez toute communication suspecte. La notification administrative est une information utile, mais la protection de vos finances repose avant tout sur la rapidité de vos réactions et la mise en place d’habitudes sécurisées.
FAQ
- Qu’est‑ce que FICOBA ?
FICOBA est le fichier national recensant les comptes bancaires ouverts en France avec les coordonnées des titulaires et l’IBAN. - Un IBAN divulgué met‑il mon argent en danger ?
Pas directement : un IBAN ne permet pas de retirer de l’argent seul, mais il facilite des arnaques et des prélèvements frauduleux si d’autres manipulations sont réussies. - Comment révoquer un prélèvement SEPA frauduleux ?
Contactez le créancier et votre banque pour contester le prélèvement et demandez le remboursement en vous appuyant sur la procédure SEPA et l’article L.133‑24 du CMF si nécessaire. - Dois‑je porter plainte ?
Oui, si une fraude financière a eu lieu ou si vous suspectez une usurpation d’identité : la plainte facilite les démarches de remboursement et l’enquête. - La DGFiP va‑t‑elle me prévenir ?
Oui, lorsqu’une violation impacte des données personnelles elle doit informer les personnes concernées, conformément au RGPD (article 34). - Où trouver de l’aide pratique en cas de cyberattaque ?
Les ressources publiques comme cybermalveillance.gouv.fr offrent des guides et des contacts pour vous assister.
