Soixante-neuf euros et tout le monde flippe
Le scénario est simple, presque élégant dans sa cruauté. Vous ouvrez votre messagerie, vous tombez sur un courriel qui annonce qu’un prélèvement de 69 euros, parfois 69,90 euros pour un prétendu abonnement Amazon Prime, sera effectué sur votre compte « le lendemain ». Jusque-là, classique. Sauf que dans le corps du mail figurent votre nom complet, votre IBAN réel et votre code BIC. Pas un IBAN inventé. Le vôtre. C’est là que le phishing ordinaire devient autre chose.
En quelques heures le 15 juin, la plateforme Signal-Arnaques a recensé une cinquantaine de signalements, et la page dédiée a dépassé les 10 500 consultations. La campagne tourne vite, fort, et vise large. Pour rappel, le montant de 69 euros n’a rien d’arbitraire : il se situe exactement sous le seuil psychologique et technique qui déclencherait une alerte automatique côté banque, tout en étant suffisamment juteux pour rapporter plusieurs milliers d’euros par jour si quelques centaines de victimes mordent à l’hameçon.
La fuite du siècle qui alimente la machine
Pour comprendre pourquoi ces escrocs ont vos vraies données, il faut remonter au 18 février 2026. Ce jour-là, la Direction Générale des Finances Publiques (DGFiP) a confirmé une intrusion dans le Fichier national des comptes bancaires (FICOBA), le registre qui recense l’ensemble des comptes ouverts dans les établissements bancaires français. Un pirate avait usurpé les identifiants d’un fonctionnaire habilité pour les échanges interministériels et accédé silencieusement au fichier depuis fin janvier 2026. Résultat : les noms, prénoms, adresses postales, IBAN et parfois numéros fiscaux de 1,2 million de contribuables se sont retrouvés dans la nature.
Plusieurs victimes de la campagne de juin pointent également vers des fuites antérieures touchant Free et La Banque Postale. Comme le résume un expert cyber de WatchGuard, Jérémie Schram, cité par Numerama en février 2026 : « La fraude la plus simple à mettre en place consiste à inscrire la victime à un faux service avec un mandat falsifié, pour prélever chaque mois de petits montants qui passent inaperçus. » On aurait pu les prévenir. On ne l’a pas fait. Ou pas assez.
Le vrai piège, c’est pas les 69 euros
Le prélèvement annoncé n’est pas l’arnaque. C’est l’appât. L’objectif réel des fraudeurs : vous faire appeler un faux service client, paniquer à l’idée de perdre 69 euros, et vous faire lâcher vos codes d’accès à l’espace bancaire en ligne. Une victime qui tombe dans ce second piège peut perdre plusieurs milliers d’euros en quelques minutes. Le temps de récupérer son souffle, le compte est vide. Les dommages collatéraux, entre opposition de carte, dépôt de plainte et reconstitution des relevés, représentent entre 20 et 40 heures de démarches pour un ménage ordinaire. Autrement dit : une semaine de boulot pour réparer ce qu’un email de 30 secondes a causé.
La Fédération bancaire française, citée par TF1 Info en février 2026, a été on ne peut plus claire sur le mécanisme : « À partir d’un IBAN, de faux créanciers peuvent demander l’exécution de prélèvements », à condition d’être enregistrés comme émetteurs auprès d’un prestataire de paiement et de disposer de mandats SEPA falsifiés. La mécanique est connue. Le système SEPA, conçu pour fluidifier les paiements en zone euro, offre aux fraudeurs une surface d’attaque que personne n’a vraiment voulu corriger (et pourquoi changer une recette qui marche, hein).
Vos droits, votre banque et l’article qui sauve
Bonne nouvelle parmi les décombres : la loi est de votre côté, en théorie. L’article L133-18 du Code monétaire et financier impose à votre banque le remboursement immédiat de toute opération de paiement non autorisée dès lors que vous le signalez. Vous disposez de 13 mois à compter de la date de débit pour contester un prélèvement frauduleux. Cybermalveillance.gouv.fr recommande de contacter sa banque en premier, de conserver toutes les preuves (captures d’écran, en-têtes d’emails), de signaler les faits sur la plateforme THESEE, puis de déposer plainte au commissariat ou à la gendarmerie.
Sauf que, et c’est là que ça coince, la jurisprudence se durcit. La décision de la Cour de cassation du 15 janvier 2025 (référence E 23-15.437), rappelée par AGN Avocats en mars 2025, confirme que si vous avez vous-même validé un virement vers un IBAN frauduleux, votre banque n’est pas tenue de rembourser. La nuance entre « prélèvement non autorisé » et « virement que vous avez validé sous pression » peut vous coûter très cher. Et les décisions de mai 2026 du tribunal judiciaire, analysées par Village Justice le 7 juin 2026, confirment ce durcissement de la preuve exigée des banques. Ambiance.
L’industrie du faux prélèvement roule à pleine vitesse
Cette arnaque aux 69 euros s’inscrit dans un mouvement industriel. Les réseaux de cyberfraude fonctionnent aujourd’hui comme des entreprises structurées : tests A/B sur les messages, segmentation des cibles, calendrier stratégique calqué sur les événements du quotidien. Les faux SMS de colis pullulent pendant les soldes, les fausses convocations Interpol fleurissent au retour de vacances, les renouvellements de carte vitale bidon apparaissent avant les départs en été. Un commentateur sur Signal-Arnaques le formule lui-même avec une pointe de sidération : « Entre le renouvellement de carte vitale, de colis, de signalement interpol, de péage, et dernièrement d’aide carburant, les escrocs sont toujours à la pointe de la technologie. »
À l’échelle mondiale, l’industrie de la cybercriminalité génère un chiffre d’affaires estimé à plus de 6 000 milliards de dollars par an, dépassant le commerce de la drogue selon les estimations de plusieurs cabinets de sécurité. En France, les fraudes par carte bancaire et virements non autorisés ont coûté aux banques françaises plus de 1,2 milliard d’euros en remboursements directs en 2025, selon l’Observatoire de la sécurité des moyens de paiement. Avec la multiplication des campagnes sophistiquées comme celle-ci, ce chiffre pourrait grimper de 15 à 20% en 2026. Les banques ont d’ailleurs commencé à réagir : depuis le 7 mai 2026, la Banque de France gère le FNC-RF, le Fichier national des comptes signalés pour risque de fraude, partagé entre tous les établissements pour bloquer plus vite les comptes suspects. Un coup d’épée dans l’eau, pour l’instant, quand les fuites continuent d’alimenter les bases de données des escrocs.
Ce qu’il faut faire (et ne pas faire) si vous recevez ce mail
La règle d’or, martelée par Signal-Arnaques et Cybermalveillance.gouv.fr : ne cliquez sur aucun lien, ne rappelez aucun numéro indiqué dans le message, ne communiquez aucun code reçu par SMS. Si vous voulez vérifier qu’un prélèvement est bien en cours, connectez-vous directement sur l’application ou le site de votre banque, pas via un lien contenu dans le mail. La sécurité des e-mails repose sur un réflexe simple : toujours aller à la source, jamais suivre les chemins balisés par l’expéditeur. Le Crédit Agricole le répète inlassablement dans ses communications de juin 2026 : « Méfiez-vous de tout appel ou mail prétendant un problème sur le compte. Vous ne risquez rien tant que vous ne validez aucune opération. »
Concrètement, et sans attendre d’être ciblé : passez en revue vos prélèvements des dernières semaines, vérifiez la liste de vos créanciers SEPA dans votre espace en ligne, supprimez ceux que vous ne reconnaissez pas, et activez, si votre banque le propose, une liste blanche de prélèvements autorisés. C’est fastidieux. C’est chronophage. Mais c’est le prix à payer quand l’État laisse fuiter 1,2 million d’IBAN et qu’il faut attendre quatre mois pour que la DGFiP publie un communiqué officiel sur impots.gouv.fr en mars 2026.
D’ailleurs, si quelqu’un à Bercy lit cet article un jour : peut-être qu’on pourrait commencer par ne pas stocker 1,2 million d’IBAN dans un système piratable via les identifiants d’un seul fonctionnaire. Juste une idée.
Un journaliste citoyen depuis plus de 20 ans qui alimente de nombreuses thématiques de magazine en ligne.
