Les 1,2 million de titulaires de comptes bancaires touchés par le piratage du fichier Ficoba vont recevoir une notification piratage individuelle de la DGFiP dans les prochains jours. Le problème, c’est que les escrocs le savent aussi, et ils vont en profiter. Voici comment faire la différence entre la vraie notification et une tentative d’arnaque, puis comment réagir concrètement.
Pourquoi cette notification piratage Ficoba va créer une deuxième vague de risques
La DGFiP a l’obligation légale d’informer individuellement chaque personne concernée (article 34 du RGPD). Cette communication doit décrire la nature de la violation, les données exposées, les conséquences possibles et les mesures prises.
Mais les cybercriminels connaissent parfaitement ce mécanisme. Ils vont exploiter la fenêtre de quelques jours entre l’annonce publique et la réception effective des notifications pour envoyer de faux courriers et de faux emails imitant la DGFiP. Leur objectif : vous pousser à cliquer sur un lien, communiquer vos identifiants ou valider une opération bancaire.
C’est ce que les spécialistes appellent le « phishing de rebond » : une vraie fuite de données sert de prétexte à une seconde attaque, encore plus ciblée.
Les 4 critères pour reconnaître la vraie notification de la DGFiP
1. Le vrai courrier ne contient JAMAIS de lien cliquable urgent. La DGFiP ne vous demandera pas de « vérifier votre compte immédiatement » via un bouton ou un lien. Si un message vous presse de cliquer, c’est une arnaque.
2. Le vrai courrier ne demande AUCUNE information personnelle en retour. Ni mot de passe, ni numéro de carte bancaire, ni code reçu par SMS. La notification est purement informative : elle vous alerte et vous conseille, elle ne vous demande rien.
3. Le vrai courrier mentionne des éléments vérifiables. Il fera référence au fichier Ficoba, à la violation détectée fin janvier 2026, et vous renverra vers les ressources officielles (impots.gouv.fr, cybermalveillance.gouv.fr). Vous pouvez vérifier ces éléments par vous-même en tapant directement l’adresse dans votre navigateur.
4. Le vrai courrier ne propose AUCUNE « indemnisation » ni « remboursement ». Tout message évoquant une compensation financière liée au piratage est frauduleux. L’administration ne verse aucune indemnité dans ce cadre.
Les 5 gestes à adopter dès réception de la notification piratage Ficoba
Vérifiez vos mandats de prélèvement. Connectez-vous à votre espace bancaire en ligne et consultez la liste des créanciers autorisés. Si un organisme inconnu y figure, contestez le mandat immédiatement. Mieux encore : demandez à votre banque de mettre en place une liste blanche de créanciers autorisés. Tout prélèvement émanant d’un créancier absent de cette liste sera automatiquement rejeté. C’est la protection la plus efficace et pourtant la moins connue.
Surveillez vos comptes chaque semaine. Pendant les trois à six prochains mois, soyez particulièrement attentif aux petits montants inhabituels. Les fraudeurs testent souvent avec des prélèvements de quelques euros avant de passer à des sommes plus importantes.
Vérifiez qu’aucun compte n’a été ouvert à votre nom. Connectez-vous sur impots.gouv.fr, rubrique « Autres services », puis « Accéder au fichier Ficoba ». Vous verrez la liste de tous les comptes bancaires ouverts à votre nom en France.
Signalez tout prélèvement suspect à votre banque sans attendre. Vous disposez d’un délai de 13 mois pour contester un prélèvement non autorisé. Dans les 8 semaines suivant le débit, le remboursement est inconditionnel, même si un mandat existait.
Conservez toutes les preuves. Messages suspects, captures d’écran, relevés montrant des opérations douteuses. Ces éléments seront indispensables en cas de dépôt de plainte.
Pour les DPO et responsables conformité : anticipez la gestion interne
Si vous êtes DPO, RSSI ou responsable RH, préparez-vous : des salariés de votre organisation font statistiquement partie des 1,2 million de personnes concernées. Ils vont recevoir cette notification et se tourner vers vous avec des questions.
Anticipez en diffusant dès maintenant une note interne rappelant les bons réflexes. Rappelez que la DGFiP ne contactera jamais les salariés via leur adresse email professionnelle pour cette notification. Et si votre organisation traite des prélèvements SEPA sur les comptes de salariés (avances, acomptes, remboursements de frais), attendez-vous à des demandes de vérification de mandats.
C’est aussi l’occasion de tester votre propre procédure de gestion des violations de données : si demain votre organisation est victime d’une fuite similaire, êtes-vous prêt à notifier la CNIL sous 72 heures et à informer les personnes concernées ?
