TL;DR

🔴 Cycle d'adaptation criminelle plus rapide que le cycle réglementaire — les défenses déployées fin 2025 sont déjà contournées

🔴 Fuites IBAN cumulées (DGFiP + Free + Bouygues) = dizaines de millions d'identifiants bancaires en circulation — phishing personnalisé actif

🟠 Jurisprudence FCB se durcit contre les victimes — spoofing seul = insuffisant pour remboursement

🟡 FNC-RF opérationnel dans 36 jours (6 mai 2026) — dernier mois pour intégration technique PSP

→ Action clé : démarrer la roadmap FNC-RF maintenant et intégrer le scénario "victime initiatrice" dans les modèles vishing.

Signal 1 — Stock d'IBAN compromis atteint une masse critique

Impact : 🔴 Critique

• 1,2M comptes FICOBA compromis (fév. 2026) via usurpation identifiants DGFiP
• Cumul : 5M (Free, oct. 2024) + 6,4M (Bouygues, août 2025) + 1,2M (DGFiP) = dizaines de millions d'IBAN français en circulation
• Exploitation active : faux email DGFiP ciblant détenteurs d'actifs numériques, domaine non-gouv, envoi à 3h12, données bancaires réelles dans le message

Ce que ça signifie pour vous

→ Si vous êtes PSP / acquéreur : Surveiller les mandats SEPA anormaux sur IBAN récemment exposés. Croiser avec les listes de fuites connues

→ Si vous êtes néobanque / BaaS : Monitorer création de compte + premier virement sortant dans les 48h. Pattern d'exploitation post-fuite

→ Si vous êtes équipe fraude corporate : Mettre à jour les scénarios de formation interne — le phishing personnalisé avec données réelles est le nouveau standard

Action concrète

• Croiser les IBAN clients avec les périmètres de fuites connues (DGFiP, Free, Bouygues)
• Monitorer : création de mandats SEPA par nouveaux créanciers + volumes élevés
• Alerter in-app lors de toute création de mandat sur IBAN à risque

Pattern clé

Fuite de données → délai d'exploitation 3-6 semaines → phishing personnalisé avec données réelles → effondrement de la méfiance de la victime. Chaque fuite alimente la suivante.

Signal 2 — Mutation des modes opératoires : la victime devient initiatrice

Impact : 🔴 Critique

• Rapport Cybermalveillance 2025 : fraude au virement +170%, faux conseiller bancaire +159% (15 000 dossiers), usurpation numéros +517%
• Inversion du flux : la victime appelle le faux numéro d'opposition (Google, SMS, page copiée). Comportement actif, invisible pour les systèmes basés sur l'appel entrant
• Fin 2025 : ouverture de compte via identité usurpée + détournement de salaire. Contournement du système de vérification interbancaire en quelques semaines

Ce que ça signifie pour vous

→ Si vous êtes PSP / acquéreur : Les modèles de détection basés sur l'appel entrant sont obsolètes pour le vishing inversé. Intégrer les signaux post-contact sortant

→ Si vous êtes néobanque / BaaS : Surveiller la combinaison ouverture compte + changement RIB salaire dans les 30 jours. C'est le nouveau pattern d'exploitation d'identité

→ Si vous êtes équipe fraude corporate : Extension documentée à la facturation électronique et gestion de paie — deux surfaces sous-équipées dans les PME et collectivités

Action concrète

• Intégrer le scénario "victime initiatrice" dans les modèles de détection vishing
• Flag : client actif → action inhabituelle post-contact externe sortant
• Monitorer : changements de device + transaction sensible dans les 48h

Pattern clé

Défense déployée → contournement en quelques semaines → rapport officiel 3-6 mois plus tard → cycle réglementaire de réponse 6-12 mois. Le cycle criminel est plus court que le cycle de détection.

Signal 3 — Jurisprudence FCB se durcit contre les victimes

Impact : 🟠 Important

• 26 mars : 11 prévenus, 740k EUR, réseau piloté depuis le Maroc, ~100 victimes en moins d'un an
• Cass. 4 mars + TJ 11 mars : spoofing seul = insuffisant pour remboursement. Négligence grave opposable
• Deux cas non tranchés : remise physique de carte sous panique induite + flux inversé (victime appelle le faux numéro)

Ce que ça signifie pour vous

→ Si vous êtes PSP / acquéreur : La charge de preuve de diligence préventive va devenir un enjeu contentieux croissant. Documenter les alertes transmises aux clients AVANT incident

→ Si vous êtes néobanque / BaaS : Les dossiers de remboursement FCB vont augmenter avec une base jurisprudentielle défavorable aux victimes. Préparer les processus de médiation

→ Si vous êtes équipe fraude corporate : Le flux inversé (victime initiatrice) sera quasi-certainement qualifié en "négligence grave" si le sujet arrive devant les tribunaux

Action concrète

• Documenter systématiquement les alertes préventives transmises aux clients (campagnes, messages in-app)
• Auditer les processus de traitement des réclamations FCB au regard de la jurisprudence du 4 et 11 mars
• Préparer un argumentaire contentieux sur la distinction "panique induite" vs "négligence grave"

Pattern clé

Franchise criminelle délocalisée (pilotage offshore + exécution locale via mules) → modèle scalable, risque pénal distribué. La jurisprudence protège de moins en moins les victimes exactement quand la fraude accélère.

Signal 4 — FNC-RF : J-36 avant l'échéance obligatoire

Impact : 🟡 À surveiller

• Fichier National des Comptes bancaires signalés pour Risque de Fraude opérationnel le 6 mai 2026
• Premier mécanisme de partage inter-PSP d'IBAN frauduleux en France, géré par la Banque de France
• Consultation automatique avant virement, prélèvement SEPA et paiement instantané
• 36 jours restants pour intégration technique + tests

Ce que ça signifie pour vous

→ Si vous êtes PSP / acquéreur : C'est LE chantier d'avril 2026. Intégration technique, tests, validation — 36 jours c'est serré

→ Si vous êtes néobanque / BaaS : Vérifier les API de consultation FNC-RF avec votre BaaS provider. Le risque de non-conformité au 6 mai est réel

→ Si vous êtes équipe fraude corporate : Le FNC-RF ne couvre pas le vishing ni l'usurpation d'identité. C'est un filet pour les IBAN, pas pour les modes opératoires documentés dans les signaux 2 et 3

Action concrète

• Démarrer la roadmap FNC-RF immédiatement si ce n'est pas fait
• Planifier les tests d'intégration sur la première quinzaine d'avril
• Identifier les gaps : le FNC-RF ne couvre ni le vishing inversé ni l'exploitation d'identité usurpée

Pattern clé

Réponse réglementaire bien calibrée sur le problème documenté — mais qui arrive 77 jours après la compromission FICOBA. Le délai de déploiement d'une défense est incompressible. Les réseaux frauduleux n'ont pas de cycle de release.

Lecture stratégique

Quatre arcs convergent vers la même conclusion : le cycle d'adaptation criminelle est devenu plus rapide que le cycle réglementaire.

Les données sont en place (dizaines de millions d'IBAN). Les modes opératoires mutent plus vite que la détection (contournement en semaines vs déploiement en mois). La jurisprudence durcit pour les victimes exactement quand la fraude accélère. Et la prochaine défense structurelle (FNC-RF) arrive dans 36 jours — mais ne couvre qu'une partie du problème.

La réponse n'est pas dans plus de règles. Elle est dans la réduction du délai entre détection d'une mutation et mise à jour des défenses. Les équipes qui opèrent en cycle hebdomadaire auront un avantage structurel sur celles qui opèrent en cycle trimestriel.

Signal faible de la semaine

Hypothèse : attaque supply chain sur LiteLLM (97M téléchargements/mois) et Telnyx SDK via le package malveillant TeamPCP (24-27 mars 2026).

Pattern émergent : les pipelines CI/CD des équipes fintech utilisant des dépendances IA sont des surfaces d'attaque actives. Les équipes fraude qui ont intégré des modèles LLM dans leurs workflows de détection sont potentiellement exposées.

Statut : en observation. Si les versions compromises ont été installées entre le 24 et le 27 mars, vérifier l'intégrité des dépendances. Pas encore de victimes documentées dans le secteur fintech, mais la surface d'exposition est significative.

À surveiller cette semaine

• FNC-RF : J-36 — deadline intégration technique PSP le 6 mai 2026
• Suite du procès FCB Paris (11 prévenus) — décision attendue, potentiel précédent sur "panique induite"
• DORA ICT : 19 entités sous surveillance directe des ESAs — premiers contrôles en cours
• JLC Family : évolution de l'enquête préliminaire pour escroquerie/blanchiment — premier cas français de poursuites pour promotion de plateforme blacklistée AMF via influenceur

Ce que vous devez faire cette semaine

• [ ] Démarrer ou accélérer la roadmap FNC-RF (intégration technique + tests avril)
• [ ] Intégrer le scénario "victime initiatrice" dans les modèles de détection vishing
• [ ] Documenter les alertes préventives transmises aux clients (preuve de diligence opposable)
• [ ] Auditer les clauses de reporting incident dans les contrats prestataires ICT (DORA)
• [ ] Vérifier l'intégrité des dépendances Python/npm installées entre le 24-27 mars (TeamPCP/LiteLLM)

Sources

• Cybermalveillance rapport 2025
• Cybermalveillance 2025 — ITForBusiness
• Cybermalveillance 2025 — TF1 Info
• Procès FCB 740k EUR — 01net
• Procès FCB — Le Figaro
• Procès FCB — Boursorama
• Jurisprudence FCB — 01net
• FICOBA/DGFiP — Journal du Net
• Phishing DGFiP actifs numériques — Clubic
• Fraude CPAM 58M EUR — Le Monde
• JLC Family enquête — Le Parisien
• FNC-RF mise en oeuvre — Fidu.fr
• DORA ICT oversight — BCE/SSM

AR-2026-017 — Veille Fraude Fintech

Prochaine édition : mardi 7 avril 2026