Fonctionnaire de la DGIFP piégé, 1,2 million d'IBAN piraté : êtes-vous concerné ?

Par Fabrice Crozier | Publié le 21/02/2026 à 07:47

Le fichier national des comptes bancaires a été piraté pendant près d'un mois avant que Bercy ne s'en aperçoive. IBAN, identité, adresse, identifiant fiscal : les données de 1,2 million de comptes sont désormais entre les mains d'un pirate. La DGFiP a déposé plainte et les personnes concernées seront contactées dans les prochains jours. En attendant, chaque titulaire de compte en France a intérêt à vérifier dès maintenant ses prélèvements et à activer une protection que peu de banques proposent spontanément.

Ce qu'il faut retenir

Le fichier FICOBA, qui recense les 300 millions de comptes bancaires ouverts en France, a été piraté depuis fin janvier 2026 via les identifiants volés d'un fonctionnaire
Les données de 1,2 million de comptes ont été aspirées : IBAN, identité, adresse, date de naissance, et parfois numéro fiscal
Les soldes bancaires n'ont pas été consultés et aucune opération n'a pu être effectuée directement
Le risque principal : des prélèvements frauduleux via de faux mandats, et des arnaques au faux conseiller bancaire rendues plus crédibles par ces données
Les personnes concernées seront informées individuellement par la DGFiP et leur banque
Vous pouvez vous protéger dès maintenant en activant la « liste blanche » de créanciers autorisés dans votre espace bancaire en ligne
En cas de prélèvement frauduleux, vous avez 13 mois pour le contester auprès de votre banque et obtenir un remboursement intégral

Un retraité inquiet du piratage de ses données personnelles devant un distributeur automatique © SeniorActu

Ce que le pirate a trouvé dans le fichier de Bercy

Le mercredi 18 février 2026, la Direction Générale des Finances Publiques (DGFiP) — autrement dit l'administration des impôts — a rendu publique une intrusion dans l'un des fichiers les plus sensibles de l'État : le FICOBA, le Fichier des Comptes Bancaires et assimilés. Ce registre recense la totalité des 300 millions de comptes ouverts dans les établissements bancaires français : comptes courants, livrets d'épargne, comptes-titres, et même les coffres-forts loués.

L'attaque n'a rien d'un film de science-fiction. Un individu a simplement usurpé les identifiants professionnels d'un fonctionnaire disposant d'un accès au fichier dans le cadre des échanges d'information entre ministères. Avec ces identifiants volés, il s'est connecté comme un agent ordinaire — et a consulté le fichier pendant près d'un mois, depuis fin janvier 2026, avant que la DGFiP ne détecte l'anomalie.

Résultat : les données de 1,2 million de comptes ont été consultées et probablement copiées. Concrètement, le pirate a eu accès aux informations suivantes pour chaque compte touché :

Les coordonnées bancaires complètes : RIB et IBAN (le numéro de compte bancaire international, celui qui figure sur votre relevé d'identité bancaire)
L'identité du titulaire : nom, prénom, date et lieu de naissance
L'adresse postale
Dans certains cas, l'identifiant fiscal (le numéro qui figure sur votre avis d'impôt)

Un point important souligné par la DGFiP : le fichier des comptes bancaires ne contient ni les soldes, ni l'historique des opérations. Le pirate ne sait pas combien vous avez sur votre compte, et il n'a pas pu effectuer de virement ou de paiement à partir de ces données. Mais ce qu'il détient suffit à alimenter des fraudes ciblées, comme on va le voir.

Pourquoi votre IBAN entre de mauvaises mains est un problème

Un IBAN seul ne permet pas de vider un compte. C'est la bonne nouvelle. La mauvaise, c'est qu'un IBAN associé à une identité, une adresse et une date de naissance ouvre la porte à plusieurs types de fraude que la Fédération bancaire française (FBF) a détaillés dans son communiqué du 19 février.

Le risque numéro un : les prélèvements frauduleux. Un escroc qui dispose de votre IBAN peut se faire enregistrer comme émetteur de prélèvements auprès d'un prestataire de paiement, puis fabriquer un faux mandat de prélèvement à votre nom. À partir de là, il peut débiter votre compte automatiquement — pour payer des abonnements, des services, ou simplement pour siphonner de l'argent. Vous ne vous en apercevez qu'en consultant votre relevé, parfois plusieurs semaines plus tard.

Le risque numéro deux : l'arnaque au faux conseiller bancaire. C'est la fraude qui explose depuis deux ans. Un individu vous appelle en se présentant comme votre banque. Jusqu'ici, ces escrocs bluffaient avec des informations génériques. Désormais, grâce aux données du fichier des comptes bancaires, ils peuvent citer votre nom, votre adresse, votre IBAN — ce qui rend l'appel beaucoup plus crédible. L'objectif : vous faire valider une opération, communiquer un code reçu par SMS, ou transférer de l'argent vers un « compte sécurisé » qui n'existe pas.

Le risque numéro trois : le phishing ciblé. Avec votre identité et votre adresse, un escroc peut fabriquer un faux courrier de la DGFiP, un faux mail de votre banque ou un faux SMS de l'Assurance Maladie parfaitement personnalisé. Le piège est d'autant plus redoutable que le message vous appelle par votre nom et cite des données réelles.

Le président de l'association France Conso Banque a résumé la situation : ces données seront revendues sur le dark web et serviront de base à des opérations de fraude de grande envergure. C'est la première fois qu'un fichier fiscal de cette nature est attaqué en France.

Comment savoir si vous êtes concerné

À ce stade, il n'existe aucun moyen de vérifier soi-même si son compte fait partie des 1,2 million de comptes touchés. La CNIL (Commission Nationale de l'Informatique et des Libertés) le dit clairement sur sa page dédiée aux fuites de données : elle n'est pas en mesure de confirmer à un particulier si ses données figurent parmi celles qui ont été piratées. Elle déconseille par ailleurs d'utiliser des sites tiers qui prétendent pouvoir vous répondre.

La DGFiP s'est engagée à informer individuellement chaque personne concernée dans les prochains jours. Les établissements bancaires ont également été contactés pour sensibiliser leurs clients. Si vous recevez un courrier officiel de la DGFiP vous informant que vos données ont été consultées, ce n'est pas une arnaque — à condition que ce courrier ne vous demande aucune action immédiate, aucun code, aucun clic.

Attention au piège dans le piège : des escrocs pourraient justement profiter de cette situation pour envoyer de faux courriers ou de faux mails se faisant passer pour la DGFiP, vous demandant de « sécuriser votre compte » en cliquant sur un lien. Rappel absolu : l'administration fiscale ne demande jamais vos identifiants, vos mots de passe ou votre numéro de carte bancaire par message, mail ou téléphone. En cas de doute, connectez-vous directement à votre espace sur impots.gouv.fr ou appelez votre centre des impôts via le numéro habituel.

Les 4 gestes à faire dès maintenant pour protéger votre compte

Que vous fassiez partie des 1,2 million de comptes exposés ou non, ces précautions s'appliquent à tous. La Fédération bancaire française et l'Observatoire de la sécurité des moyens de paiement les recommandent explicitement.

1 Urgence

🔒

Activez la « liste blanche » de créanciers

Dans votre espace bancaire en ligne, rubrique prélèvements : autorisez uniquement vos créanciers habituels (EDF, mutuelle, impôts…). Tout prélèvement d'un créancier absent de cette liste sera automatiquement rejeté par votre banque.

2 Chaque semaine

📱

Vérifiez vos prélèvements au moins une fois par semaine

Connectez-vous à votre application bancaire ou votre espace en ligne. Repérez tout prélèvement que vous n'avez pas autorisé : un nom de créancier inconnu, un montant inhabituel, une fréquence anormale.

3 Réflexe permanent

📞

Ne communiquez jamais vos codes, même à votre « banquier »

Un vrai conseiller bancaire ne vous demandera jamais vos identifiants, mots de passe ou codes SMS. Si quelqu'un vous appelle en citant votre IBAN ou votre adresse : raccrochez et rappelez votre agence au numéro qui figure sur votre carte bancaire.

4 En cas de fraude

⚖️

Contestez dans les 13 mois et exigez le remboursement

Si vous constatez un prélèvement frauduleux, signalez-le immédiatement à votre banque. Le Code monétaire et financier vous protège : votre banque doit vous rembourser intégralement toute opération non autorisée, à condition de la contester dans un délai de 13 mois.

👉 Si vous n'êtes pas à l'aise avec les outils en ligne, demandez à votre conseiller bancaire d'activer la liste blanche pour vous lors d'un rendez-vous en agence. Vous pouvez aussi lui envoyer un courrier recommandé en précisant les noms des créanciers que vous autorisez.

👉 En cas de doute sur un message ou un appel, vous pouvez signaler la tentative sur la plateforme gouvernementale cybermalveillance.gouv.fr ou appeler le numéro d'aide aux victimes 17Cyber (accessible sur 17cyber.gouv.fr).

Sources :
- Direction Générale des Finances Publiques (DGFiP), communiqué du 18 février 2026
- Fédération bancaire française (FBF), communiqué du 19 février 2026
- Commission Nationale de l'Informatique et des Libertés (CNIL), fiche « Fuite de données et vol de votre IBAN »
- France Info, 19 février 2026

Pour aller plus loin :

- Faux conseillers bancaires : 130 000 € volés à 7 retraités franciliens, le mode opératoire enfin dévoilé
- QR codes piégés dans les boîtes aux lettres : cette arnaque qui cible les seniors explose en 2026

La rédaction vous conseille

Jeudi 19 Mars 2026 - 08:17 Arnaque au colis : ce SMS avec une photo à votre nom peut vider votre compte bancaire

Samedi 14 Mars 2026 - 13:58 Pourquoi votre banque peut refuser de vous rembourser même si vous êtes victime d'arnaque

La Newsletter de Senioractu.com

Chaque vendredi, l'essentiel de l'actualité des seniors dans votre boite mail !