La nouvelle fait forcément lever un sourcil, voire deux, car quand on parle d’IBAN, on pense immédiatement “argent”. Pourtant, la réalité est plus nuancée : ce n’est pas un accès à vos comptes, mais c’est un vrai carburant à arnaques si nous n’êtes pas attentifs. Voici ce qu’il faut comprendre et surtout, quoi faire.
Piratage : ce qui a été exposé et ce qui ne l’a pas été
D’abord, rappelons un élément important : Ficoba n’est pas un relevé bancaire géant. C’est un fichier administratif qui liste les comptes (courants, épargne, titres, etc.) et certains éléments liés à leur ouverture/fermeture. Il ne donne pas le détail des opérations et ne permet pas de connaître un solde.
« Ce fichier ne fournit aucune information sur les opérations effectuées sur le compte ou sur son solde » précise la CNIL.
Sur les données potentiellement consultées et extraites, Bercy évoque les éléments suivants :
- RIB ou numéro IBAN,
- identité du titulaire,
- adresse
- et parfois l’identifiant fiscal.
Les contribuables concernés doivent recevoir une information individuelle dans les prochains jours.
Autre point important : les autorités indiquent avoir coupé des accès dès détection, notifié la CNIL, travaillé avec l’ANSSI, et déposé une plainte dans le même temps. Cette partie est plutôt le “volet institutionnel”, mais pour vous, l’enjeu est surtout le “volet terrain” : comment des fraudeurs peuvent exploiter ces informations bancaires ?
Qu’est-il possible de faire avec un IBAN ?
Un IBAN ne suffit pas à déclencher un virement depuis votre compte comme par magie. En revanche, il peut servir dans trois grands scénarios (les plus plausibles).
Le premier, ce sont les prélèvements SEPA indus. Les banques et la réglementation prévoient des garde-fous, mais dans la pratique, des prélèvements peuvent passer – surtout quand un escroc habille son dossier (mandat, identité, faux créancier, etc.). C’est le risque le plus cité par les sources qui ont suivi l’affaire : l’IBAN peut être utilisé pour tenter de faire débiter des prélèvements ou pour souscrire des services facturés sur votre compte.
Le deuxième, c’est un abonnement payé par le mauvais compte : téléphone, services en ligne… Là encore, l’IBAN sert de moyen de paiement dans un parcours de souscription.
Le troisième et souvent le plus dangereux, c’est l’arnaque personnalisée : faux conseiller bancaire, faux service des impôts, faux support sécurité… Avec votre nom, votre adresse et un contexte “Ficoba”, l’escroc peut sonner très crédible et essayer de vous soutirer ce qui manque vraiment pour voler : vos codes, vos accès, une validation par SMS, etc. Bercy insiste d’ailleurs sur ce point : l’administration fiscale ne vous demandera jamais identifiants ou numéro de carte bancaire par message, et au moindre doute il faut repasser par les canaux officiels et faire opposition.
Les réflexes simples à adopter dès maintenant
La bonne stratégie, c’est de se protéger contre les usages possibles, même si vous ne savez pas encore si vous faites partie des 1,2 million de contribuables. Et si vous recevez un message officiel vous indiquant que vous êtes concerné, vous appliquez la même méthode, mais avec encore plus de rigueur.
1. Surveillez vos comptes bancaires
Commencez par le plus efficace : la surveillance intelligente, pas l’angoisse. Activez les notifications de votre application bancaire si ce n’est pas déjà fait, et prenez l’habitude de vérifier vos opérations (notamment les prélèvements) régulièrement. Plusieurs médias relaient ce conseil très concret : dans les jours qui suivent, un contrôle plus fréquent est une bonne idée.
2. Mettez en place une liste blanche des prélèvements
Ensuite, regardez ce que votre banque propose côté gestion des prélèvements : selon les établissements, vous pouvez bloquer un créancier, en autoriser certains, ou mettre en place des contrôles plus stricts. Ce n’est pas toujours au même endroit dans l’appli, mais ça existe souvent et ça peut faire la différence.
Petit piège à éviter : si vous bloquez trop large, vous pouvez provoquer des rejets et des frais, ou une coupure de service.
Prélèvement douteux : bloquez et contestez
Si un prélèvement suspect apparaît, n’attendez-pas : vous contestez tout de suite auprès de votre banque. La règle SEPA protège les clients dans de nombreux cas, et les articles qui couvrent l’affaire rappellent qu’un remboursement peut être obtenu dans certains délais (souvent jusqu’à 8 semaines pour une contestation standard).
Dernier bonus : depuis janvier 2025, il est possible d’obtenir la liste de ses comptes Ficoba via le site impots.gouv.fr (espace particulier, rubrique “Autres services”). Ce n’est pas une parade anti-fraude, mais ça peut aider à vérifier qu’aucun compte fantôme n’existe à votre nom.
