Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Mi-février 2026, la Direction générale des Finances publiques (DGFIP) a révélé un piratage informatique majeur touchant le fichier Ficoba. Cette cyberattaque expose les données personnelles et bancaires de 1,2 million de Français. Les informations dérobées incluent des données fiscales sensibles, des IBAN et des adresses complètes. Face à ce vol massif de données, le risque d'arnaques ciblées et de fraudes bancaires est particulièrement élevé. Voici ce que vous devez savoir pour protéger vos droits et votre patrimoine.
Le fichier Ficoba (Fichier des comptes bancaires) est une base de données centralisée gérée par la DGFIP. Elle recense tous les comptes bancaires ouverts en France, avec l'identité des titulaires et des mandataires. Ce fichier permet à l'administration fiscale de lutter contre la fraude et de vérifier les déclarations de revenus. Le piratage révélé en février 2026 donne aux cybercriminels un accès direct à des informations hautement sensibles : nom, prénom, adresse postale, numéro fiscal, coordonnées bancaires (IBAN) et montant des revenus déclarés. Ces données constituent une mine d'or pour les escrocs qui peuvent désormais mener des arnaques ciblées et personnalisées en se faisant passer pour l'administration fiscale ou votre banque. Le caractère exhaustif et officiel de ces informations rend les tentatives de fraude particulièrement crédibles.
Selon les premières estimations officielles de la DGFIP, 1,2 million de contribuables français seraient directement touchés par ce piratage. Ce chiffre pourrait toutefois évoluer au fil de l'enquête menée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Les personnes concernées résident sur l'ensemble du territoire français, sans distinction géographique apparente. La DGFIP a indiqué qu'elle contactera individuellement les victimes par courrier postal sécurisé dans les semaines à venir. Si vous recevez un email, un SMS ou un appel téléphonique prétendant provenir de la DGFIP à ce sujet, il s'agit très probablement d'une tentative d'arnaque. L'administration fiscale n'utilise jamais ces canaux pour informer d'une fuite de données. Pour vous protéger contre d'autres tentatives d'escroquerie, consultez notre guide complet sur l'arnaque et la protection du consommateur.
Les cybercriminels ont réussi à extraire plusieurs catégories de données personnelles sensibles du fichier Ficoba. Parmi les informations dérobées figurent : votre état civil complet (nom, prénom, date de naissance), votre adresse postale actuelle, votre numéro fiscal (utilisé pour toutes vos démarches avec l'administration), vos coordonnées bancaires au format IBAN, la liste de vos comptes bancaires ouverts, et dans certains cas, le montant de vos revenus déclarés lors du dernier exercice fiscal. Ces informations permettent aux fraudeurs de constituer un profil financier détaillé de leurs victimes. Ils peuvent ainsi adapter leurs techniques d'arnaque en fonction du niveau de revenus, cibler les personnes les plus vulnérables, ou utiliser ces données pour commettre des fraudes à l'identité. La combinaison de données fiscales officielles et de coordonnées bancaires rend ces informations particulièrement dangereuses entre de mauvaises mains.
La DGFIP a mis en place un dispositif d'information individuelle pour prévenir les victimes. Si vos données figurent parmi celles qui ont été dérobées, vous recevrez un courrier postal officiel portant le logo de la Direction générale des Finances publiques. Ce courrier précisera les catégories de données vous concernant qui ont été compromises. Il vous indiquera également les mesures de vigilance à adopter. Attention : ce courrier arrivera uniquement par voie postale, jamais par email, SMS ou appel téléphonique. Si vous n'avez pas reçu de courrier dans les six semaines suivant l'annonce du piratage (mi-février 2026), vous pouvez considérer que vos données ne figurent probablement pas dans les fichiers piratés. Vous pouvez également vérifier sur le site officiel impots.gouv.fr dans votre espace personnel sécurisé, où une notification spécifique sera affichée si vous êtes concerné. En cas de doute, contactez directement votre centre des finances publiques par téléphone ou en vous déplaçant physiquement.
Le vol de ces données expose les victimes à plusieurs types de fraudes et d'arnaques ciblées. Le risque principal est le phishing (hameçonnage) ultra-personnalisé : les escrocs peuvent vous contacter en utilisant vos vraies informations fiscales pour gagner votre confiance. Ils se feront passer pour la DGFIP, votre banque ou un service de sécurité pour vous soutirer de l'argent ou d'autres informations sensibles. Le vol d'identité fiscale est également à craindre : des fraudeurs pourraient créer de faux profils fiscaux ou tenter de détourner des remboursements d'impôts à votre place. Les prélèvements bancaires frauduleux constituent un autre danger : avec votre IBAN, des personnes malveillantes peuvent tenter de mettre en place des prélèvements automatiques non autorisés. Enfin, les tentatives d'escroquerie au faux conseiller fiscal se multiplient : on vous proposera des services payants prétendument liés à ce piratage. Pour vous prémunir contre ces risques, le filtre anti-arnaques 2026 peut vous aider à identifier les tentatives d'escroquerie en ligne.
Face à ce piratage, plusieurs mesures de protection s'imposent immédiatement. Premièrement, surveillez attentivement tous vos relevés bancaires : vérifiez chaque opération et signalez immédiatement à votre banque toute transaction suspecte. Deuxièmement, activez les alertes SMS ou email proposées par votre banque pour être informé de chaque mouvement sur vos comptes. Troisièmement, ne répondez jamais à un email, SMS ou appel téléphonique prétendant provenir de la DGFIP ou de votre banque vous demandant de confirmer des informations ou de cliquer sur un lien. Quatrièmement, modifiez immédiatement le mot de passe de votre espace personnel sur impots.gouv.fr et activez la double authentification si ce n'est pas déjà fait. Cinquièmement, méfiez-vous des demandes de paiement urgent ou de régularisation fiscale par téléphone : l'administration fiscale n'opère jamais ainsi. Enfin, conservez précieusement le courrier officiel de la DGFIP si vous en recevez un : il servira de preuve en cas de litige ultérieur.
Si vous pensez avoir été victime d'une fraude liée à cette fuite de données, réagissez rapidement. Contactez immédiatement votre banque pour faire opposition sur les prélèvements ou virements frauduleux. Faites une capture d'écran ou conservez tout élément de preuve (email, SMS, enregistrement d'appel si possible). Déposez plainte au commissariat ou à la gendarmerie en apportant tous les éléments en votre possession : le dépôt de plainte est gratuit et constitue une preuve essentielle pour vos démarches ultérieures. Signalez également la tentative d'arnaque sur la plateforme officielle Pharos (internet-signalement.gouv.fr) et sur le site cybermalveillance.gouv.fr qui pourra vous orienter vers les bonnes démarches. Informez également votre centre des finances publiques de la situation. Si des sommes importantes ont été détournées, vous pouvez solliciter l'aide juridictionnelle pour être accompagné dans vos recours. Enfin, conservez tous les échanges et documents : ils seront indispensables si vous devez engager une action en justice.
La responsabilité de l'État peut effectivement être engagée dans le cadre de ce piratage. Selon le Règlement général sur la protection des données (RGPD), tout organisme qui traite des données personnelles doit mettre en œuvre des mesures de sécurité appropriées. En cas de manquement à cette obligation, la responsabilité de l'administration peut être reconnue. Si vous subissez un préjudice direct et prouvable lié à cette fuite de données (fraude bancaire, vol d'identité, préjudice moral), vous pouvez engager une procédure contre l'État devant le tribunal administratif. La démarche nécessite de démontrer le lien de causalité entre le piratage et votre préjudice. Des actions collectives (class action à la française) pourraient également voir le jour dans les mois à venir, permettant aux victimes de se regrouper pour obtenir réparation. Surveillez les annonces des associations de consommateurs qui coordonnent généralement ce type d'actions. La Commission nationale de l'informatique et des libertés (CNIL) a également ouvert une enquête et pourrait prononcer des sanctions contre la DGFIP si des manquements aux règles de sécurité sont établis.
Oui, les données concernant les mineurs peuvent également figurer dans le fichier Ficoba piraté. Si votre enfant mineur possède un compte bancaire ou un livret d'épargne à son nom (livret A, livret jeune, compte épargne logement), ses informations personnelles ont pu être dérobées. Les parents ou représentants légaux recevront le courrier d'information de la DGFIP concernant leurs enfants mineurs. La protection des données des mineurs étant renforcée par le RGPD, une vigilance accrue s'impose. Vérifiez régulièrement les comptes bancaires de vos enfants et assurez-vous qu'aucune opération suspecte n'y figure. Les fraudeurs ciblent parfois les comptes de mineurs, considérant (à tort) qu'ils sont moins surveillés. Soyez également vigilant si votre enfant reçoit des messages étranges sur les réseaux sociaux ou par email : les escrocs pourraient tenter de le contacter directement. Enfin, profitez de cette situation pour sensibiliser vos enfants aux risques liés à la cybersécurité et aux arnaques en ligne, un apprentissage devenu indispensable à l'ère numérique.
Les experts en cybersécurité recommandent de maintenir une vigilance accrue pendant au moins 24 mois après une fuite de données de cette ampleur. Les données volées peuvent circuler sur le dark web pendant des années avant d'être exploitées. Les cybercriminels pratiquent souvent la revente en cascade : vos données peuvent passer de main en main et être utilisées longtemps après le piratage initial. Certaines arnaques sophistiquées sont mises en place plusieurs mois, voire années après le vol initial, le temps que la vigilance des victimes se relâche. Il est donc essentiel de rester attentif aux signaux d'alerte même si aucune tentative de fraude ne s'est manifestée dans les semaines suivant l'annonce du piratage. Continuez à surveiller vos relevés bancaires, conservez une méfiance systématique face aux sollicitations vous concernant (même si elles semblent légitimes), et maintenez vos mots de passe à jour. Pour protéger vos autres données personnelles et comprendre vos droits numériques, consultez également nos guides sur la déclaration d'impôts 2026 pour sécuriser vos démarches fiscales en ligne.
Non, vous ne pouvez pas demander la suppression de vos données du fichier Ficoba. Ce fichier constitue un outil légal de l'administration fiscale, prévu par l'article 1649 A du Code général des impôts (voir https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006294739). Son existence est justifiée par une mission d'intérêt public : la lutte contre la fraude fiscale et le contrôle des déclarations de revenus. Le RGPD prévoit des exceptions au droit à l'effacement lorsque le traitement des données est nécessaire au respect d'une obligation légale ou à l'exécution d'une mission d'intérêt public. Le fichier Ficoba entre dans ces catégories. Vous disposez néanmoins d'un droit d'accès et de rectification : vous pouvez demander à consulter les informations vous concernant dans ce fichier et faire corriger toute erreur éventuelle. Pour exercer ce droit, adressez-vous à votre centre des finances publiques. Vous pouvez également saisir la CNIL si vous estimez que vos données sont traitées de manière non conforme au RGPD. Face à ce piratage, la meilleure protection ne consiste pas à supprimer vos données (impossible), mais à renforcer votre vigilance et à adopter les bonnes pratiques de sécurité numérique.
Suite à la découverte de ce piratage, l'État a déclenché plusieurs mesures d'urgence. L'ANSSI a immédiatement lancé une enquête technique approfondie pour identifier la faille de sécurité exploitée et comprendre le mode opératoire des cybercriminels. Un audit complet des systèmes informatiques de la DGFIP est en cours pour renforcer la sécurité et éviter qu'un tel incident ne se reproduise. Le parquet de Paris a ouvert une enquête pénale pour accès frauduleux à un système de traitement automatisé de données et vol de données personnelles. Une cellule de crise a été mise en place au ministère de l'Économie pour coordonner la communication et l'accompagnement des victimes. La DGFIP a également renforcé ses équipes dédiées à la lutte contre la fraude et au signalement des arnaques. Un numéro d'information dédié (non surtaxé) a été ouvert pour répondre aux questions des contribuables concernés. Enfin, des actions de sensibilisation sont menées auprès du grand public pour prévenir les tentatives d'escroquerie liées à ce piratage. Ces mesures, bien que tardives, visent à limiter l'impact de cette cyberattaque d'ampleur inédite contre l'administration fiscale française.
Vais-je recevoir une indemnisation automatique de la DGFIP ?
Non, aucune indemnisation automatique n'est prévue. Vous devrez prouver un préjudice direct et engager une procédure devant le tribunal administratif pour obtenir réparation. Seules les victimes ayant subi un dommage matériel ou moral prouvé pourront prétendre à une indemnisation.
Dois-je changer mon IBAN après ce piratage ?
Ce n'est pas obligatoire mais fortement recommandé si vous constatez des tentatives de prélèvement frauduleux. Contactez votre banque pour procéder au changement de votre IBAN. Attention : vous devrez ensuite mettre à jour tous vos prélèvements automatiques légitimes (EDF, téléphone, assurances, etc.).
Les fraudeurs peuvent-ils usurper mon identité fiscale ?
Oui, avec les données volées, des escrocs pourraient tenter de créer de faux documents administratifs ou de détourner un remboursement d'impôt à votre place. C'est pourquoi il est essentiel de surveiller votre espace personnel sur impots.gouv.fr et de signaler immédiatement toute anomalie à votre centre des finances publiques.
Puis-je porter plainte même si je n'ai pas encore été victime d'une fraude ?
Oui, vous pouvez déposer une plainte contre X pour vol de données personnelles, même sans préjudice avéré. Cette plainte permettra de constituer un dossier qui facilitera vos démarches si vous êtes ultérieurement victime d'une fraude liée à ce piratage. Pour connaître vos droits et les procédures à suivre en cas de litige, consultez notre guide complet sur les recours juridiques.
