IBAN piratés : cette protection européenne que votre banque ne propose pas

Entre le 28 janvier et le 13 février 2026, un pirate a consulté les données de 1,2 million de comptes bancaires dans le fichier national FICOBA, géré par la Direction générale des Finances publiques (DGFiP). L'intrusion a été rendue possible par l'usurpation des identifiants d'un fonctionnaire habilité à consulter ce fichier dans le cadre des échanges entre ministères.

Les données exposées sont précises : IBAN, identité complète du titulaire et adresse postale. La FAQ officielle de la DGFiP, mise à jour en février 2026, précise que les soldes des comptes et les mots de passe n'ont pas été compromis, mais que l'identifiant fiscal a pu l'être dans certains cas.

FICOBA recense l'ensemble des quelque 300 millions de comptes ouverts dans les établissements bancaires français. La fuite touche donc environ 0,4 % du fichier. Un chiffre qui semble faible — sauf quand on est dans les 0,4 %.

La DGFiP a déposé plainte et notifié l'incident à la CNIL. Les personnes concernées reçoivent ou vont recevoir un courrier ou un courriel d'information directement de l'administration fiscale. Attention : la DGFiP ne demande jamais de cliquer sur un lien, de fournir un mot de passe ou un numéro de carte bancaire dans ces messages.

La Fédération bancaire française (FBF) a voulu rassurer : un IBAN seul ne permet ni de faire un virement ni un paiement par carte. C'est exact. Mais c'est incomplet.

Depuis l'entrée en vigueur du système de prélèvement SEPA en 2014, le fonctionnement a radicalement changé. Avant, votre banque devait obtenir votre autorisation pour laisser passer un prélèvement. Aujourd'hui, c'est le créancier — celui qui veut prélever — qui adresse directement l'ordre à la banque. C'est aussi lui qui conserve le mandat signé. La banque, elle, exécute sans vérifier.

Conséquence concrète : toute personne disposant d'un IBAN et enregistrée comme émetteur de prélèvements SEPA auprès d'un prestataire de paiement peut débiter un compte, sans contrôle préalable de l'établissement bancaire.

Les fraudeurs exploitent cette faille de deux manières. Soit ils créent de faux mandats de prélèvement pour ponctionner directement les comptes. Soit ils souscrivent des abonnements ou des services en renseignant un IBAN volé — et c'est la victime qui paie.

Selon l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France, la fraude au prélèvement a atteint 16,3 millions d'euros au premier semestre 2024, en hausse de 31 % par rapport au premier semestre 2023. Le montant moyen par opération frauduleuse est passé de 188 € à 300 € sur la même période. Et la quasi-totalité de ces fraudes provient de faux prélèvements émis par des créanciers fraudeurs.
 

Pour un retraité qui reçoit sa pension par virement et règle ses charges courantes par prélèvement, un débit frauduleux de quelques euros peut passer inaperçu pendant des semaines. Et quand le montant augmente, le mal est fait.

Face à cette faille, le règlement européen SEPA a prévu un garde-fou. L'article 5-3.d) du règlement (UE) n° 260/2012 du 14 mars 2012 permet à tout titulaire de compte de demander à sa banque de n'autoriser que les prélèvements provenant de créanciers qu'il a lui-même désignés. C'est ce qu'on appelle la « liste blanche » de prélèvements.

Le principe est simple. Vous transmettez à votre banque la liste de vos créanciers habituels : fournisseur d'énergie, opérateur téléphonique, mutuelle, assurance, impôts. Tout prélèvement provenant d'un émetteur qui ne figure pas sur cette liste est automatiquement rejeté.

Résultat : même si votre IBAN circule sur le dark web, aucun fraudeur ne peut prélever un centime sur votre compte. Le prélèvement est bloqué avant d'être exécuté, sans que vous ayez besoin de surveiller vos relevés chaque jour.

La Banque de France confirme ce droit dans sa foire aux questions sur le prélèvement SEPA. L'OSMP invite explicitement les banques à mettre à disposition de leurs clients des moyens de consultation des créanciers actifs et à proposer ces outils de protection sur les espaces de banque en ligne.

Pourtant, dans la pratique, la plupart des conseillers bancaires ne mentionnent jamais cette possibilité. L'UFC-Que Choisir a documenté des cas de refus illégaux, des conseillers prétextant ne pas connaître le dispositif ou affirmant qu'il n'existait pas. Or un refus de la banque est illégal : le règlement européen s'impose directement.
 

La démarche varie selon les établissements, mais le droit est le même pour tous.

Étape 1 : lister vos créanciers réguliers. Consultez vos trois derniers relevés de compte. Notez chaque organisme qui vous prélève : EDF ou Engie, opérateur téléphonique, mutuelle, assurance habitation, assurance auto, impôts (prélèvement à la source ou mensualisation), cantine ou aide à domicile si concerné. Pour chaque créancier, vous aurez besoin de son ICS (Identifiant Créancier SEPA) — un code à 13 caractères qui commence par « FR ». Il figure sur vos mandats de prélèvement ou sur vos factures.

Étape 2 : demander l'activation à votre banque. Certaines banques proposent l'option directement dans l'espace client en ligne, à la rubrique « Mandats de prélèvement » ou « Créanciers autorisés ». C'est le cas notamment au Crédit Mutuel. D'autres exigent un passage en agence ou un courrier. Si votre banque ne propose pas l'option en ligne, envoyez un courrier recommandé avec accusé de réception en citant l'article 5-3.d) du règlement (UE) n° 260/2012.

Étape 3 : mettre à jour la liste à chaque changement. Si vous changez de fournisseur d'énergie ou souscrivez un nouvel abonnement, pensez à ajouter le nouveau créancier à votre liste blanche avant la date du premier prélèvement. Sans cela, le prélèvement légitime sera rejeté.

Point de vigilance sur les frais. Pour les particuliers, la mise en place d'une liste blanche est en principe gratuite. Cependant, certains établissements facturent la gestion de cette liste — jusqu'à 12,80 € par créancier à La Banque Postale ou 15,25 € par opération à la Caisse d'Épargne selon les témoignages recueillis par l'UFC-Que Choisir. Vérifiez la brochure tarifaire de votre banque. Si les frais sont dissuasifs, une alternative existe : la liste noire, qui bloque uniquement les créanciers que vous désignez comme indésirables, est généralement gratuite.

La Banque de France détaille les trois options de protection (liste blanche, liste noire, blocage total) dans sa FAQ sur le prélèvement SEPA.

La liste blanche est la protection la plus radicale, mais elle ne dispense pas des gestes de base recommandés par la DGFiP et la Fédération bancaire française.

Vérifier ses relevés chaque semaine. La FBF recommande une surveillance au moins hebdomadaire des prélèvements débités. Un débit inconnu, même de quelques euros, doit être signalé sans attendre à votre banque.

Ne jamais répondre à un message demandant des codes ou mots de passe. L'administration fiscale ne demande jamais d'identifiants par courriel ou SMS. Si un message vous y invite — même s'il affiche le logo de la DGFiP ou de votre banque — c'est une tentative d'hameçonnage. Vérifiez toute sollicitation via la messagerie sécurisée de votre espace sur impots.gouv.fr.

Contester un prélèvement frauduleux : les délais à connaître. Si un prélèvement a été passé sans votre autorisation (pas de mandat signé), vous disposez de 13 mois à compter de la date du débit pour le contester auprès de votre banque. Celle-ci doit vous rembourser au plus tard le jour ouvrable suivant la réception de votre demande. Si le prélèvement était autorisé mais que vous le contestez (montant erroné, service non fourni), le délai est de 8 semaines, avec remboursement sous 10 jours ouvrables.
 

Conserver toutes les preuves. Messages suspects, captures d'écran, relevés montrant des opérations douteuses. Ces éléments seront indispensables pour un dépôt de plainte ou une contestation auprès de la banque.