IBAN + Identité exposés : quel vrai risque ?

Read in ENGLISH >>>

Plus de 1,2 million de comptes bancaires en France sont concernés dans l’incident de consultation illégale de données du fichier FICOBA, selon le communiqué officiel des autorités.

Des IBAN et des éléments d’identité ont fait l’objet d’un accès non autorisé.

Quels sont, concrètement, les risques réels et leur hiérarchie ?

Notre analyse distingue les risques réels des risques perçus et les hiérarchise.

Elle s’appuie notamment sur l’analyse de risque, les mécanismes de paiement européens, le cadre réglementaire et les données publiées par la Banque de France et la BCE.

Cette démarche est essentielle en cybersécurité pour ne pas céder à la panique et pour adopter des mesures proportionnées.

Notre analyse s’inscrit principalement dans un contexte d’entreprise, tout en restant valable pour les particuliers. Pour nos lecteurs hors de l’UE, il convient de vérifier auprès de votre banque les divers contrôles en place.

Points clés

IBAN et identité ne permettent pas d’accéder directement à un compte bancaire. Les multiples contrôles du système bancaire européen constituent une barrière forte.
Le risque de faux prélèvement SEPA est très faible. Les contrôles imposés aux créanciers, la traçabilité des opérations et les mécanismes de remboursement dissuadent les tentatives.
Le principal risque est l’exploitation de l’identité : manipulation et usurpation d’identité. Des informations réelles plus complètes rendent les escroqueries plus ciblés et convaincants.
L’usurpation d’identité peut avoir des conséquences graves et plus durables, avec des impacts financiers, juridiques et réputationnels.

Quelles données FICOBA ont été consultées ?

Le fichier FICOBA (Fichier des comptes bancaires et assimilés), géré par la Direction générale des Finances publiques, recense l’ensemble des comptes ouverts auprès des établissements bancaires en France.

Il contient un ensemble d’informations administratives permettant d’identifier les titulaires et les comptes associés.
Pour en savoir plus, voir l’annexe «Contenu du fichier FICOBA ».

Dans l’incident évoqué, les autorités indiquent que les données consultées concernent :

l’état civil des titulaires de comptes : nom (dénomination sociale), prénom, date et lieu de naissance
l’adresse postale
les coordonnées bancaires (IBAN)

En particulier, le fichier FICOBA ne comprennent pas :

le solde d’un compte,
l’historique des opérations,
les mouvements financiers.

Accès direct au compte bancaire et virement : risque très faible

L’IBAN seul ne permet pas d’accéder à un compte, ni d’effectuer un virement depuis ce compte.

Il convient de noter que l’IBAN est un identifiant public, conçu pour être partagé. Il circule dans de nombreux échanges commerciaux et peut déjà être connu de tiers non autorisés.

La diffusion d’un IBAN isolé n’est généralement pas une donnée critique.

Même combinés, l’IBAN et l’identité complète ne permettent pas, à eux seuls, d’accéder directement à un compte ni d’initier un virement.

Il faut passer plusieurs étapes de contrôles bancaires, encadrés et renforcés par les réglementations européennes depuis 2015, notamment celles relatives à l’authentification forte et la gestion des identités.

Pour accéder à un compte bancaire en ligne, l’IBAN n’est généralement pas utile. Les éléments minimums requis ne sont pas contenus dans le fichier FICOBA. En général, ils comprennent un identifiant client, un mot de passe et un dispositif de validation (le plus souvent un téléphone mobile) ou éléments biométriques.

Pour effectuer des opérations en agence, l’IBAN ne suffit pas. La banque doit vérifier l’identité du client à partir d’éléments qui ne figurent pas dans le fichier FICOBA, tels qu’une pièce d’identité, une signature ou d’autres informations détenues par la banque.

Pour effectuer un virement, la banque débitrice doit effectuer des contrôles supplémentaires, notamment des contrôles anti-fraude (montant, pays de destination, destinataire inhabituels). Des plafonds journaliers, définis notamment en fonction du profil du débiteur, existent pour limiter les sommes transférées.

Ces contrôles techniques du système bancaire et de paiement européen constituent une barrière forte à un accès non autorisé aux comptes bancaires.

Faux prélèvement SEPA : risque faible

Le prélèvement SEPA est le principal mécanisme de paiement permettant à un créancier d’initier un débit sur le compte d’un débiteur, sans accès direct à son compte bancaire.

En théorie, ce mécanisme pourrait être détourné par un fraudeur disposant d’un IBAN et de données d’identité.

En pratique, cela est relativement difficile exploiter à grande échelle sans infrastructure frauduleuse.

Des contrôles réglementaires exigeants du créancier

Avant de pouvoir émettre des prélèvements, un créancier doit obligatoirement passer par une banque ou un prestataire de paiement, participant au système SEPA, qui applique des contrôles réglementaires stricts.

vérification de l’identité du créancier (KYC – Know Your Customer)
attribution d’un identifiant créancier SEPA unique par la banque du créancier (ICS – Identifiant Créancier SEPA)
surveillance et détection continue automatisée des comportements suspects

Traçabilité des prélèvements

Chaque prélèvement est identifiable par des codes (ICS, RUM, IBAN). Il est donc possible de remonter jusqu’au créancier et à la banque émettrice.

Cette traçabilité facilite les enquêtes bancaires et la contestation des prélèvements frauduleux.

Des protections réglementaires fortes du débiteur

En cas de prélèvements frauduleux effectifs, la réglementation prévoit le remboursement jusqu’à 13 mois à compter de la date du débit en compte, si la victime est un particulier.

Pour les entreprises, cette protection de remboursement varie selon le type de prélèvement utilisé, décidé entre les parties.

En SEPA Core – utilisé par les particuliers et très largement par les PME – le payeur peut obtenir un remboursement sans justification sous 8 semaines, et jusqu’à 13 mois en cas de prélèvement non autorisé (mandat inexistant/invalide).
Le SEPA B2B est utilisé entre les entreprises. Ce mode n’autorise pas le remboursement automatique après exécution. Mais la sécurité est renforcée par une double vérification, car la banque débitrice doit vérifier que le même mandat est préalablement enregistré par son client avant d’autoriser le débit.

Si en théorie, le faux prélèvement SEPA est techniquement possible, les mécanismes de contrôle et de protection réglementaires rendent un tel risque extrêmement faible.

Les statistiques publiées par la Banque de France et la BCE confirment que la fraude sur les prélèvements reste très marginale, notamment comparée à la fraude à la carte bancaire.

Selon la Banque de France, le taux de fraude sur les prélèvements s’élevait à 0,0021 % du montant total des prélèvements au premier semestre 2025 (soit environ 2 € pour 100 000 €), en hausse par rapport à 0,0014 % un an auparavant. Il convient également de noter que les faux prélèvements SEPA ne constituent qu’une sous-catégorie des prélèvements frauduleux.

Cette progression peut refléter l’apparition de nouvelles tentatives et l’adaptation des fraudeurs, tout en restant très limitée au regard des volumes de prélèvements traités.

Le véritable risque : l’exploitation de l’identité

L’exactitude et la complétude des données d’identité telles qu’issues du fichier FICOBA représentent une véritable valeur pour un fraudeur.

Manipulation humaine : des escroqueries plus ciblées et crédibles

L’exploitation la plus probable relève de l’ingénierie sociale. Cela englobe toutes les techniques, telles que le phishing, dont le but est d’obtenir la coopération de la victime pour qu’elle valide elle-même une transaction en pensant répondre à une demande officielle.

Plus les informations utilisées sont réelles, plus un appel ou message d’escroquerie peut paraître légitime et a des chances de réussir.

Dans les organisations, les équipes financières ou administratives sont souvent ciblées car elles sont en mesure d’autoriser des paiements ou des opérations sensibles.

Selon la Banque de France, la fraude par manipulation représente 40% du montant total de la fraude aux paiements en France, au premier semestre 2025. Elle est en hausse constante depuis 2021.

Le risque principal devient alors humain et organisationnel, et non technique.

Usurpation d’identité : des conséquences graves et durables

Un fraudeur usurpe une identité dans le but d’agir frauduleusement en se faisant passer pour la victime et d’exploiter la crédibilité associée à son identité.

Pour une entreprise, voici quelques exemples fréquents et avérés de fraudes commerciales avec usurpation d’identité.

Usurpation du crédit inter-entreprises
Le fraudeur commande des marchandises au nom de l’entreprise auprès de fournisseurs. Les produits sont livrés ailleurs, mais les factures arrivent chez l’entreprise victime.
Conséquences : factures impayées, litiges avec les fournisseurs et détérioration de la relation commerciale.

Fraude au financement (leasing, location longue durée)
Le fraudeur souscrit des contrats de financement en utilisant l’identité de l’entreprise pour obtenir du matériel ou des véhicules, sans intention de payer les loyers.
Conséquences : impayés associés à l’entreprise et contestation du contrat financement.

Dégradation de la notation financière
Les incidents de paiement liés à ces fraudes peuvent être signalés aux assureurs-crédit, banques et bases d’information financières (par exemple Allianz Trade, Coface).
Conséquences : baisse de la notation crédit, réduction du crédit fournisseur et exigences de paiement comptant.

Contrairement à un prélèvement frauduleux, généralement détectable sur un relevé bancaire et remboursée par la banque, ces situations peuvent rester invisibles pendant plusieurs mois et apparaître lors d’un litige, d’une mise en demeure ou d’un refus de financement.

Les conséquences d’une usurpation d’identité peuvent alors être plus graves et plus longues à résorber. Parfois, elles sont à la fois financières, juridiques et réputationnelles. La victime peut se retrouver impliquée dans des procédures ou des investigations complexes et longues jusqu’à la clarification complète des faits.

Mesures de vigilance

Quelques pratiques simples permettent de réduire la probabilité de réussite des tentatives de fraude liées à l’exploitation de l’IBAN et de l’identité et de limiter leur impact.

Surveiller régulièrement les opérations bancaires ou comptables,
Signaler toute opération suspecte à sa banque,
Rester vigilant face aux sollicitations inhabituelles,
Vérifier toute demande via les canaux officiels des organismes concernés.

Pour conclure

Les données issues de FICOBA ne permettent pas, à elles seules, de contourner les dispositifs techniques bancaires.

Le risque principal ne réside pas dans un accès direct aux comptes ni dans les faux prélèvements SEPA.

Il réside dans l’exploitation de la crédibilité d’une identité réelle pour manipuler des personnes ou engager des démarches frauduleuses en leurs noms, à leur insu.

Comprendre cette distinction permet d’évaluer correctement la menace et d’adopter des mesures proportionnées, sans panique.

Annexe

Contenu du fichier FICOBA

Sources : DGFiP (Direction générale des finances publiques) et CNIL (Commission nationale de l’informatique et des libertés).

Informations sur le titulaire

Nom, prénoms
Date et lieu de naissance
Adresse
Pour une personne morale : dénomination sociale, adresse, forme juridique et numéro SIRET
Numéro fiscal

Informations sur le compte

Type de compte :
- Compte courant, d’épargne, titres
- Compte individuel, joint, indivis
- Coffre-fort bancaire
Numéro du compte (IBAN)
Établissement teneur du compte
Date d’ouverture et de clôture

Il ne contient pas :

Le solde d’un compte
Les mouvements et opérations bancaires réalisées
Le contenu d’un coffre

Fonctionnement d’un prélèvement SEPA

Contrairement à un virement, qui est initié par le titulaire du compte, un prélèvement est initié par le créancier (par exemple : fournisseur d’énergie, opérateur téléphonique, administration).

Ce modèle repose sur un principe simple et automatisé :

le créancier envoie une demande de prélèvement au système bancaire,
la banque du débiteur exécute le prélèvement,
le mandat est conservé par le créancier, et non par la banque du débiteur.

La banque du débiteur n’a généralement pas le mandat et ne le contrôle pas à l’exécution, sauf en mode B2B. Ce fonctionnement est volontaire : il permet l’automatisation de millions de prélèvements légitimes chaque jour dans toute la zone SEPA.

Références

Directive (UE) 2015/2366 (DSP2 / PSD2) — cadre principal européen pour les services de paiement et la sécurité des paiements électroniques.
Règlement (UE) 260/2012 (SEPA)–exigences techniques pour virements et prélèvements en euros
Règlement délégué (UE) 2018/389 – exigences techniques d’authentification forte (SCA)
Rapports l’Observatoire de la sécurité des moyens de paiement 2024 et 1er semestre 2025 – Banque de France
2025 Report on payment fraud – Banque centrale européenne
Contenu du fichier FICOBA : CNIL
Articles L133-1 et suivants du Code monétaire et financier – responsabilité en cas d’opération non autorisée

Auteur
Lai Ly
Spécialiste Secteur Financier
Spécialiste Gouvernance Cybersécurité PME

Contributeur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste e-commerce, industrie

Disclaimer

Ce rapport est fourni à titre informatif uniquement et reflète l’opinion de son auteur à la date de l’analyse. Il ne constitue pas un avis juridique ou réglementaire et ne garantit pas l’absence de risques ou de vulnérabilités. Les menaces et niveaux de risque peuvent évoluer dans le temps. Toute décision prise sur la base de ce rapport relève de la seule responsabilité du lecteur.