La Direction Générale des Finances publiques (DGFiP) a alerté le 18 février dernier sur des accès illégitimes au fichier national des comptes bancaires (FICOBA) selon communiqué de presse n°401.
En fin janvier 2026, un acteur malveillant a pu consulter une partie de ce fichier qui recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel : coordonnées bancaires (RIB / IBAN), identité du titulaire, adresse et, dans certains cas, l’identifiant fiscal de l’usager.
Dès la détection de cet incident, des mesures immédiates de restriction d’accès ont été mises en œuvre afin de stopper l’attaque, de limiter l’ampleur des données consultées et extraites de cette base – qui concernerait 1,2 millions de comptes –, et de prévenir toute nouvelle consultation illégitime. Des travaux sont en cours pour rétablir
le service dans les meilleures conditions de protection. Les usagers concernés recevront dans les prochains jours une information individuelle les alertant qu’un accès à leurs données a pu être constaté. Un contact a d’ores et déjà été établi avec les établissements bancaires afin de sensibiliser les clients à la plus grande vigilance.
Le journal Le Monde du 18/02/2026 indique que le principal danger est que le pirate se serve des RIB pour autoriser des prélèvements – pour des bonnements (téléphoniques, par exemple), le plus souvent – sur le compte des victimes … Même si le pirate n’a pas eu accès au détail des comptes, les informations qu’il a pu récupérer
peuvent permettre de rendre des tentatives d’escroqueries plus crédibles. Par exemple, une victime potentielle serait contactée par un escroc se faisant passer pour son banquier et capable de citer son adresse et son RIB avec pour but de se faire fournir l’accès à ses comptes bancaires sous prétexte de mettre leurs fonds à l’abri en les virant vers des comptes qu’il contrôle.
Une telle mésaventure est relatée dans le journal La Tribune – Le progrès, édition de St Etienne, du 01 février 2026. C’est un quinquagénaire lyonnais de 56 ans qui s’est fait arnaquer de 16 000 Euros. Pour les détenteurs de compte, il est conseillé de consulter régulièrement ses comptes bancaires et de contacter son conseiller en cas de doute ou de mouvement inhabituel. De plus, il est rappelé de ne jamais répondre directement, ni cliquer sur un lien fourni, et encore moins à des courriels ou SMS alarmistes ou suspects.
En aucun cas, votre banque, votre assurance ou un service adminsitratif quelconque, ne vous demanderont par message (ou oralement) vos identifiants ou votre numéro de carte bancaire.
À réception d’un tel message (ou d’un appel téléphonique), contactez directement le supposé émetteur, votre conseiller habituel ou le service administratif censé être l’émetteur du message.
En cas de suspicion de l’utilisation frauduleuse de vos données personnelles, conservez toutes les preuves (messages, adresse du site web, captures d’écran…). Vous pouvez également vous appuyer sur les ressources du site cybermalveillance.gouv.fr.
En tout état de cause, un dépôt de plainte devra être fait afin de faire valoir vos droits.
