Des investigations menées par la Direction Générale des Finances publiques (DGFiP) ont permis d’identifier des accès illégitimes au fichier national des comptes bancaires (FICOBA).

À compter de la fin janvier 2026, un acteur malveillant, qui a usurpé les identifiants d’un fonctionnaire disposant d’accès dans le cadre de l’échange d’information entre ministères, a pu consulter une partie de ce fichier qui recense l'ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel : coordonnées bancaires (RIB / IBAN), identité du titulaire, adresse et, dans certains cas, l'identifiant fiscal de l'usager.

Dès la détection de cet incident, des mesures immédiates de restriction d'accès ont été mises en œuvre afin de stopper l’attaque, de limiter l’ampleur des données consultées et extraites de cette base – qui concernerait 1,2 millions de comptes –, et de prévenir toute nouvelle consultation illégitime. Des travaux sont en cours pour rétablir le service dans les meilleures conditions de protection. Les usagers concernés recevront dans les prochains jours une information individuelle les alertant qu’un accès à leurs données a pu être constaté.

Un contact a d’ores et déjà été établi avec les établissements bancaires afin de sensibiliser les clients à la plus grande vigilance.

Les équipes informatiques de la DGFiP sont pleinement mobilisées, en lien avec les services du ministère des finances (service du haut fonctionnaire de défense et de sécurité – HFDS) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI), afin de traiter cet incident et de renforcer la sécurité du système d’information (SI). L'incident a également été notifié à la Commission nationale de l’informatique et des libertés (CNIL) et fait l'objet d'un dépôt de plainte.

Rappel de vigilance à destination des usagers :

• De nombreuses tentatives d'escroqueries circulent par courriel ou SMS dans le but d'obtenir des informations ou des paiements de la part des usagers. Ces fraudes touchent désormais tous les publics, particuliers et professionnels. Au moindre doute, il est préférable de ne pas répondre directement ;
   
• L'administration fiscale ne vous demande jamais vos identifiants ou votre numéro de carte bancaire par message. Même si l'expéditeur semble être un interlocuteur de la DGFiP, contactez directement votre service des impôts via la messagerie sécurisée de votre espace ou par téléphone afin de vérifier l'authenticité du message reçu ;
   
• En cas de suspicion de l’utilisation frauduleuse de vos données personnelles, nous vous recommandons de conserver toutes les preuves (messages, adresse du site web, captures d’écran…). Vous pouvez également vous appuyer sur les ressources du site cybermalveillance.gouv.fr.

Lire le communiqué de presse