Ficoba piraté : 1,2 million de comptes exposés, les 3 réflexes indispensables des impôts pour éviter que votre compte bancaire soit vidé

Un piratage massif vient de frapper le fichier national des comptes bancaires Ficoba : 1,2 million de comptes consultés illégalement, des identités complètes associées à des IBAN, et en toile de fond la crainte de voir son compte vidé sans s’en rendre compte. Révélée par la Direction générale des Finances publiques (DGFiP), cette intrusion fait planer un risque bien réel d’arnaques bancaires ciblées, alors que les fraudeurs disposent désormais de données très précises sur certains contribuables.

Pour rassurer et guider les personnes concernées, l’administration fiscale a mis en ligne une foire aux questions dédiée et prépare l’envoi d’un message d’information personnalisé aux titulaires des comptes visés, par mail ou par courrier selon les coordonnées disponibles. Dans ce document, la DGFiP rappelle qu' »une consultation illégale ne signifie pas une intervention ou une fraude sur un compte bancaire » et précise que « tous les usagers concernés ont reçu ou vont recevoir dans les jours qui viennent un message d’information directement par la Direction générale des Finances publiques, », selon cette FAQ citée par MoneyVox. Reste à comprendre, très concrètement, quels réflexes adopter pour que ces données volées ne se transforment pas en mauvaises surprises sur votre relevé.

Fichier Ficoba piraté : ce que l’on sait de l’accès illégal

Entre le 28 janvier et le 13 février 2026, la DGFiP indique qu’un « acteur malveillant » a accédé de manière illicite au fichier national Ficoba en usurpant les identifiants d’un agent habilité. Dans cette même communication, l’administration parle d' »Un acteur malveillant » qui a ainsi pu consulter les données de quelque 1,2 million de comptes, soit environ 0,4 % de l’ensemble. La fuite reste donc limitée au regard des dizaines de millions de comptes recensés, mais elle touche tout de même un volume important de particuliers.

Ficoba centralise des informations sensibles sur chaque compte : état civil complet, adresse postale et coordonnées bancaires, mais ni le solde, ni l’historique des opérations, ni vos mots de passe, qui sont restés protégés lors de cette intrusion. Dans sa foire aux questions, la DGFiP résume que les conséquences de ces consultations illégales « portent principalement sur de possibles tentatives d’escroqueries par l’intermédiaire de messages (‘hameçonnage’) ou d’appels frauduleux. Plus marginalement, les personnes concernées par ces consultations malveillantes peuvent être victimes de tentatives d’usurpation d’identité ou de prélèvements bancaires non autorisés ». Disposant de votre nom et de votre IBAN, un fraudeur peut alors vous appeler en se faisant passer pour votre banquier ; « Le discours est crédible car l’interlocuteur connaît votre établissement bancaire et une partie de votre IBAN », analyse Droit et Technologies. D’où l’appel de la DGFiP à la prudence « face à tout appel téléphonique ou message (mail, SMS, messageries instantanées, réseaux sociaux…) de personnes ou d’organismes qui prétendraient vous connaître à partir des informations dérobées ».

Les trois conseils des impôts pour sécuriser votre compte bancaire

Premier réflexe mis en avant par la DGFiP : ne faites confiance à aucun appel, mail, SMS ou message sur les réseaux sociaux qui vous demanderait des codes, des mots de passe ou des coordonnées bancaires, même si votre interlocuteur connaît votre banque et une partie de votre IBAN. L’administration fiscale rappelle qu’elle ne demande jamais ce type d’informations par message et invite, en cas de doute, à vérifier toute sollicitation uniquement via votre « messagerie sécurisée sur le site impots.gouv.fr ». Dans sa FAQ consacrée au piratage de Ficoba, elle recommande enfin à tous les usagers informés par courriel ou courrier de :

• prévenir leur banque afin qu’elle mette le compte concerné sous vigilance renforcée ;
• surveiller régulierement les mouvements pour demander à la banque le remboursement de toute opération non autorisée, ainsi que la suppression de l’autorisation de prélèvement concernée ;
• conserver toutes les preuves possibles en cas de suspicion d’utilisation frauduleuse des données (messages, adresses de sites, captures d’écran).

Ces trois gestes doivent aller de pair avec un suivi rapproché de votre banque : la DGFiP insiste sur la nécessité de placer le compte touché sous vigilance renforcée, tandis que la Fédération bancaire française conseille de vérifier vos relevés « au moins une fois par semaine » pour détecter sans attendre tout débit inconnu. Pour limiter encore davantage le risque de prélèvements frauduleux, la Banque de France suggère de demander à votre conseiller la mise en place d’une « liste blanche » de prélèvements, qui provoquera le rejet automatique de tout débit émanant d’un créancier que vous n’aurez pas autorisé explicitement au préalable.