La Direction Générale des Finances publiques (DGFiP) a identifié des accès illégitimes au fichier national des comptes bancaires (FICOBA) à la suite d’investigations internes.

À compter de la fin janvier 2026, un acteur malveillant a usurpé les identifiants d’un fonctionnaire disposant d’un accès dans le cadre des échanges d’information entre ministères. Il a ainsi pu consulter une partie du fichier FICOBA, qui recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel : coordonnées bancaires (RIB/IBAN), identité du titulaire, adresse et, dans certains cas, l’identifiant fiscal de l’usager.

Selon les éléments communiqués, environ 1,2 million de comptes seraient concernés par des données consultées et extraites. Dès la détection de l’incident, des mesures immédiates de restriction d’accès ont été mises en œuvre afin de stopper l’attaque, de limiter l’ampleur des données consultées et de prévenir toute nouvelle consultation illégitime. Des travaux sont en cours afin de rétablir le service dans des conditions renforcées de protection.

Les usagers concernés recevront dans les prochains jours une information individuelle les alertant qu’un accès à leurs données a pu être constaté. Un contact a également été établi avec les établissements bancaires afin de sensibiliser les clients à la vigilance.

Les équipes informatiques de la DGFiP sont mobilisées en lien avec les services du ministère des Finances, notamment le service du haut fonctionnaire de défense et de sécurité (HFDS), ainsi qu’avec l’Agence nationale de la sécurité des systèmes d'information (ANSSI), afin de traiter l’incident et de renforcer la sécurité du système d’information. L’incident a été notifié à la Commission nationale de l'informatique et des libertés (CNIL) et a fait l’objet d’un dépôt de plainte.

La DGFiP rappelle que de nombreuses tentatives d’escroqueries circulent par courriel ou SMS dans le but d’obtenir des informations ou des paiements. Elle recommande, en cas de doute, de ne pas répondre directement aux messages reçus. L’administration fiscale précise qu’elle ne demande jamais les identifiants ou le numéro de carte bancaire par message. En cas de suspicion d’utilisation frauduleuse de données personnelles, il est conseillé de conserver toutes les preuves et de consulter les ressources disponibles sur le site cybermalveillance.gouv.fr.