La fuite FICOBA n’est pas seulement une actualité de cybersécurité. Pour une personne dont l’IBAN, l’identité et l’adresse ont été consultés, le risque concret arrive plus tard : appel d’un faux conseiller bancaire, demande de validation urgente, prélèvement SEPA suspect, tentative d’ouverture de compte ou dossier de crédit préparé avec des données réelles.
La Direction générale des finances publiques a indiqué qu’un accès illégitime au fichier FICOBA avait été détecté après l’usurpation des identifiants d’un fonctionnaire. Selon la page officielle du ministère de l’Economie, la fuite concernerait environ 1,2 million de comptes, avec des données comme le RIB ou l’IBAN, l’identité du titulaire, son adresse et, dans certains cas, son identifiant fiscal. Le ministère recommande d’être particulièrement vigilant face aux appels, mails, SMS ou messages de personnes prétendant déjà connaître certaines informations bancaires.
L’enjeu juridique est simple : une fuite de données ne suffit pas toujours à déposer plainte utilement contre un auteur inconnu. En revanche, dès qu’une tentative d’escroquerie, une usurpation d’identité, un prélèvement frauduleux ou une opération bancaire non autorisée apparaît, il faut constituer un dossier immédiatement exploitable.
FICOBA : quelles données peuvent être utilisées par un escroc ?
Le fichier FICOBA recense les comptes bancaires ouverts en France. Dans l’incident annoncé par la DGFiP, les données exposées ne permettaient pas, à elles seules, de se connecter au compte bancaire ni de réaliser directement une opération. C’est un point important.
Mais ces données peuvent servir à rendre une fraude crédible. Un fraudeur qui connaît votre nom, votre adresse, votre établissement bancaire ou une partie de vos coordonnées bancaires peut construire un discours plus convaincant. C’est le mécanisme classique de l’arnaque au faux conseiller bancaire : la victime n’est pas piégée par un message vague, mais par un interlocuteur qui semble disposer d’informations internes.
Trois situations doivent alerter.
La première est l’appel d’une personne qui se présente comme votre banque, les impôts, un service anti-fraude ou un service de sécurité. Elle cite des éléments exacts. Elle demande ensuite un code, une validation dans l’application bancaire, un mot de passe, une copie de document d’identité ou une confirmation de RIB.
La deuxième est l’apparition d’un prélèvement SEPA inconnu. L’IBAN seul ne permet pas de vider un compte, mais il peut être utilisé pour tenter de mettre en place un mandat de prélèvement frauduleux auprès d’un créancier peu vigilant.
La troisième est l’utilisation de vos données dans un dossier administratif ou bancaire. Il peut s’agir d’une demande de crédit, d’un compte ouvert avec une identité usurpée, d’une fausse facture ou d’une tentative d’escroquerie auprès d’un tiers.
Le réflexe n’est donc pas seulement de changer ses mots de passe. Il faut surveiller ses comptes, conserver les traces et réagir dans les délais bancaires.
Porter plainte : usurpation d’identité, escroquerie ou accès frauduleux ?
La qualification dépend des faits constatés.
L’usurpation d’identité est prévue par l’article 226-4-1 du Code pénal. Elle vise le fait d’usurper l’identité d’un tiers ou d’utiliser des données permettant de l’identifier dans le but de troubler sa tranquillité, de porter atteinte à son honneur ou à sa considération. Cette qualification peut être utile lorsqu’un compte, un dossier, un message ou une démarche est réalisé avec vos informations personnelles.
L’escroquerie est prévue par l’article 313-1 du Code pénal. Elle suppose des manoeuvres frauduleuses destinées à tromper la victime pour obtenir la remise de fonds, de valeurs ou d’un bien. C’est souvent la qualification centrale lorsque la victime valide un virement, communique un code ou laisse réaliser une opération après un appel de faux conseiller.
L’accès frauduleux à un système de traitement automatisé de données est prévu par l’article 323-1 du Code pénal. Cette qualification vise plutôt l’auteur de l’intrusion informatique ou celui qui s’est maintenu frauduleusement dans un système. Pour la victime individuelle, elle sert surtout à comprendre le cadre pénal de l’attaque initiale.
La plainte doit rester factuelle. Il faut éviter les formules trop générales comme « mes données ont fuité ». Il faut écrire ce qui s’est produit : date de l’appel, numéro affiché, identité revendiquée, données citées par l’interlocuteur, opération demandée, SMS reçu, mail, lien, validation bancaire, montant débité, refus ou réponse de la banque.
Si aucune opération n’a encore eu lieu, une plainte peut être prématurée selon les cas. Un signalement sur les plateformes officielles et une surveillance renforcée peuvent suffire dans un premier temps. Si un compte a été ouvert, si une dette est réclamée, si une tentative de crédit apparaît ou si un prélèvement est passé, la plainte devient utile.
Prélèvement frauduleux : le délai bancaire est aussi important que la plainte
La plainte ne remplace pas la contestation bancaire.
En cas d’opération de paiement non autorisée, l’article L. 133-18 du Code monétaire et financier prévoit le principe du remboursement par le prestataire de services de paiement, sauf soupçon de fraude de l’utilisateur communiqué dans les conditions prévues par le texte. L’article L. 133-24 du même code impose de signaler l’opération sans tarder, avec un délai maximal de treize mois à compter du débit.
En pratique, il faut agir bien avant treize mois.
Dès qu’un débit suspect apparaît, il faut notifier la banque par écrit. Le courrier ou le message sécurisé doit identifier l’opération, contester l’autorisation, demander le remboursement et solliciter le blocage du mandat ou de l’instrument de paiement concerné. Il faut joindre la plainte si elle existe déjà, mais ne pas attendre la plainte pour prévenir la banque.
La DGCCRF rappelle, sur sa fiche relative à la fraude à la carte de paiement, que la banque doit prouver que l’opération contestée a été authentifiée, enregistrée et comptabilisée correctement. Cette règle ne donne pas automatiquement gain de cause dans tous les dossiers, notamment lorsque la banque invoque une négligence grave. Elle impose toutefois à la banque de documenter son refus.
Les décisions récentes montrent que les litiges de faux conseiller bancaire se jouent souvent sur les preuves. Par exemple, le tribunal judiciaire de Bordeaux, 21 avril 2026, a examiné les manoeuvres prêtées au faux conseiller et la concomitance entre les appels et les validations contestées. Le tribunal judiciaire de Lisieux, 13 avril 2026, a statué sur la responsabilité de la banque au regard des articles L. 133-18 et suivants du Code monétaire et financier. Ces décisions ne dispensent pas d’une analyse du dossier, mais elles confirment l’importance des chronologies d’appels, notifications, validations et dépôts de plainte.
Quelles preuves réunir avant de déposer plainte ?
Le dossier doit être lisible par un enquêteur, un procureur, une banque ou un juge.
Il faut conserver les captures d’écran des SMS, mails, conversations, notifications bancaires et pages web. Il faut relever les numéros appelants, même lorsqu’ils semblent être ceux de la banque. Il faut demander à la banque l’historique des connexions et validations disponibles, ainsi que les informations techniques sur l’opération contestée. Il faut conserver le courrier ou mail informant de la fuite de données, s’il a été reçu.
Il faut aussi documenter les démarches de protection : opposition, changement de mot de passe, signalement à la banque, blocage des prélèvements, demande de remboursement, signalement sur Cybermalveillance.gouv.fr, Signal Spam ou 33700 selon le canal utilisé.
La fiche officielle Cybermalveillance.gouv.fr sur l’usurpation d’identité recommande notamment de conserver les preuves, de déposer plainte lorsque l’identité est utilisée et de signaler les faits aux plateformes adaptées. Le ministère de l’Economie propose également une page dédiée à l’accès illégitime au fichier FICOBA, utile pour rattacher le dossier à l’incident public.
Une bonne plainte doit distinguer quatre blocs : la fuite de données connue, le contact frauduleux reçu, l’opération ou la tentative subie, puis les démarches déjà faites auprès de la banque. Cette structure évite que la plainte soit traitée comme un simple signalement abstrait.
FICOBA, ANTS, Parcoursup : faut-il multiplier les plaintes ?
L’année 2026 a multiplié les alertes sur les données administratives : accès illégitime à FICOBA, fuite touchant France Titres/ANTS, cyberattaque Parcoursup, incidents visant des services publics ou parapublics. Une même personne peut donc recevoir plusieurs notifications.
Il ne faut pas déposer une plainte identique pour chaque notification si aucun fait personnel ne s’est produit. En revanche, il faut conserver chaque notification car elle peut expliquer comment l’auteur a obtenu des informations.
Si vous avez déjà reçu une notification liée à une autre fuite, vous pouvez la joindre au dossier. Le cabinet a déjà traité l’angle cyberattaque Parcoursup, usurpation d’identité et phishing ainsi que l’angle cyberattaque ANTS et usurpation d’identité. L’angle FICOBA est différent : il concerne surtout la donnée bancaire, le prélèvement, le faux conseiller et la contestation d’opérations.
Lorsque l’argent est déjà parti, il faut traiter deux fronts en même temps. Le front pénal vise l’auteur de l’escroquerie ou de l’usurpation. Le front bancaire vise le remboursement ou la contestation du refus de remboursement. Ces deux démarches se répondent, mais elles ne suivent pas les mêmes délais ni les mêmes critères.
Paris et Île-de-France : comment agir vite ?
À Paris et en Île-de-France, une victime peut déposer plainte au commissariat ou en gendarmerie, écrire au procureur de la République compétent, ou utiliser les téléservices lorsque les faits entrent dans leur périmètre. Pour une fraude bancaire ou une usurpation d’identité avec préjudice, il est souvent préférable de préparer un dossier chronologique avant le dépôt.
Si une banque refuse le remboursement, il faut conserver la réponse écrite. Une réponse vague du type « vous avez validé l’opération » ne suffit pas toujours. La question juridique est de savoir si l’opération était autorisée, si l’authentification est établie, si une négligence grave peut être reprochée, et si la banque a respecté ses obligations.
Un avocat pénaliste à Paris peut intervenir sur la plainte, mais aussi sur l’articulation avec le contentieux bancaire. Dans certains dossiers, la stratégie consiste à faire corriger la plainte, à adresser une mise en demeure à la banque, puis à préparer une action civile si le remboursement est refusé.
Que faire dans les 24 heures ?
Si vous pensez être concerné par FICOBA ou une fuite similaire, les premières démarches sont les suivantes.
Contrôlez vos comptes et vos prélèvements. Faites opposition ou bloquez le mandat suspect. Prévenez la banque par écrit. Ne communiquez aucun code par téléphone, même si l’appelant cite votre IBAN ou votre adresse. Changez les mots de passe des comptes sensibles. Déposez plainte si vos données ont été utilisées ou si une opération a été tentée. Conservez toutes les preuves dans un dossier unique.
Si la banque refuse de rembourser, demandez la motivation précise du refus et les éléments techniques invoqués. Une contestation efficace ne se limite pas à dire que vous avez été victime d’une escroquerie. Elle reconstitue la chronologie et force la banque à prendre position sur l’autorisation de l’opération, l’authentification, la négligence grave et le délai de remboursement.
Le point décisif est là : la fuite FICOBA explique le risque, mais ce sont les faits postérieurs qui feront gagner ou perdre le dossier.
Si la banque bloque ensuite une opération ou demande des justificatifs, voyez aussi notre guide sur le compte bancaire bloqué après signalement fraude FNC-RF.
Besoin d’un avis rapide sur votre dossier
Vous avez reçu un appel suspect, un prélèvement inconnu ou un refus de remboursement après une fraude bancaire.
Le cabinet peut analyser votre chronologie, vos preuves et la réponse de la banque lors d’une consultation téléphonique en 48 heures avec un avocat du cabinet.
Appelez le cabinet au 06 89 11 34 45 ou utilisez la page contact du cabinet.
À Paris et en Île-de-France, nous pouvons vous aider à structurer la plainte, la contestation bancaire et les pièces utiles avant toute démarche contentieuse.
