En février 2026, Bercy a annoncé qu’un acteur malveillant avait eu accès au fichier national des comptes bancaires (Ficoba). Le pirate aurait ainsi pu accéder aux informations de plus de 1,2 million de comptes, avec, parmi les données les plus consultées, l’IBAN.
Quelles arnaques sont possibles avec un IBAN ? Comment s’en prémunir ? Êtes vous concernés par cette fuite de données ?
Comment savoir si vous êtes concernés par la fuite FICOBA ?
L’intrusion dans le fichier national des comptes bancaires aurait eu lieu fin janvier. Le pirate informatique aurait usurpé les identifiants d’un agent habilité à consulter le fichier Ficoba pour accéder aux données présentes.
Ce registre recense tous les comptes ouverts dans les banques françaises, avec notamment les identités des titulaires, leurs coordonnées, parfois l’identifiant fiscal et les RIB/ IBAN. Ce qui fait peser la menace de prélèvements frauduleux à grande échelle. En effet, un IBAN seul permet d’envoyer de l’argent vers un compte, sans autorisation préalable.
Afin de limiter l’impact de ce piratage, la DGFIP a mis en place plusieurs actions :
- Si la DGFIP identifie que vous êtes concerné par un accès à vos données, alors vous recevrez un mail direct via le site des impôts.gouv.fr
- Par ailleurs, la DGFIP est en lien avec les différents établissements bancaires afin d’alerter les clients et de les inciter à la plus grande vigilance.
A noter qu’un piratage à l’automne 2024 chez l’opérateur Free, a déjà permis à un autre groupe de pirates de récupérer 5,1 millions d’IBAN. Bouygues a également subi une fuite de données à l’été 2025
Quelles sont les arnaques possibles, avec un simple IBAN ?
Un IBAN seul permet d’envoyer de l’argent vers un compte sans autorisation préalable, mais pas de le vider. Combiné à d’autres données volées ou disponibles sur le web, il devient une mine d’or pour des acteurs malveillants.
Le risque le plus important c’est la mise en place de faux mandats SEPA
Avec un IBAN volé, un hacker peut initier des prélèvements SEPA frauduleux, sans votre consentement préalable. La fraude la plus simple consiste à inscrire la victime à un faux service pour prélever chaque mois de petits montants. Ces sommes, indolores, passent inaperçues.
Autre possibilité, ajouter un prélèvement SEPA à des plateformes légitimes (Amazon, Fnac Darty, etc.) pour effectuer des paiements en ligne.
Usurpations d’identité et phishing
Il est également possible qu’un courrier, un mail ou un appel de phishing gagne en crédibilité. L’interlocuteur connaît votre IBAN et peut le mentionner. Il peut alors très bien se faire passer pour votre conseiller bancaire.
Si votre boite mail est compromise, sans que vous ne le sachiez, un pirate peut utiliser l’IBAN comme preuve de légitimité et demander un changement de RIB pour un futur paiement, par exemple, pour le versement de votre futur salaire.
Comment se prémunir de toute fraude ?
Afin d’éviter d’avoir à contester une dépense non autorisée :
- Surveillez vos comptes bancaires et analysez l’ensemble de vos transactions.
- Mettez en place une liste blanche : plusieurs banques proposent le principe de liste blanche pour filtrer les prélèvements. En dehors des comptes présents dans la liste, tous les prélèvements sont rejetés. Ce type de protection dépend de votre banque.
Vous êtes victime d’un prélèvement frauduleux ?
- Contactez en urgence votre banque.
- (Attention, si vous recevez un appel de votre conseiller bancaire vous indiquant que vous êtes victime d’un prélèvement frauduleux, ayez le réflexe de raccrocher, pour ensuite le rappeler avec le numéro que vous connaissez (numéro de téléphone, voix, etc. : tout peut être maquillé).
- Désactivez (même temporairement) la fonction de prélèvement.
- Contestez le prélèvement bancaire. La réglementation vous donne jusqu’à 13 mois pour contester un prélèvement non autorisé.
- Mettez en place une liste blanche (cf. ci-dessus).
Pour aller plus loin :
- Risques liés à l’usage de l’IA en entreprise : tous concernés ! (février 2026)
- Améliorer la cybersécurité de votre entreprise en 8 points clés (septembre 2024)
- NIS2 – Vers un renforcement des obligations en cybersécurité (Août 2024)
Sources :
- Accès illégitimes au fichier national des comptes bancaires FICOBA – FAQ – (Impots.gouv.Fr – février 2026)
- Accès illégitimes au fichier national des comptes bancaires (FICOBA) – communiqué – (Impots.gouv.Fr – février 2026)
- Fuite Ficoba : voici ce qu’un hacker peut faire avec votre IBAN (Numerama – février 2026)
- Comment créer une liste blanche pour bloquer les prélèvements bancaires frauduleux ou inconnus (Numérama – février 2026)
