Édition AF-2026-017 / AF-2026-N54 / AR-2026-N39 à N47

TL;DR

• 🔴 Phishing Assurance retraite 267,14 € — alerte officielle CNAV publiée cette nuit, campagne active depuis 15 jours, clone FranceConnect, cible retraités.
• 🔴 Phishing fiscal activé J+3 — stock FICOBA (1,2 M IBAN) exploité pour personnalisation nominale, vague coordonnée France/Belgique, fenêtre critique 7 jours.
• 🟠 Fausse banque en ligne + sites miroirs — 500 M€ de préjudice global 2025-2026, infrastructure criminelle complète, délai blacklist 3-4 mois = fenêtre d'exploitation.
• 🟠 LexisNexis + FINMA — fraude mondiale +8 %, identités synthétiques ×8 en un an, 42 % des banques suisses sans politique anti-fraude numérique formelle.

Signal 1 — Phishing Assurance retraite : l'organisme alerte lui-même

Impact : 🔴 · Réf. : AF-2026-N54

Mécanisme

L'Assurance retraite (CNAV) a publié cette nuit sur son site officiel une mise en garde explicite : de faux courriels circulent depuis fin mars 2026, promettant 267,14 € au titre de la revalorisation annuelle des pensions. Le message redirige vers un clone de FranceConnect conçu pour capturer identifiants et coordonnées bancaires.

Trois éléments aggravants. Le montant est non rond — 267,14 € produit un effet "calcul officiel réel" qui contourne les filtres de vraisemblance habituels. La cible est prioritaire : retraités, population avec épargne concentrée et exposition plus faible aux signaux d'alerte numériques. Le piège FranceConnect est le point critique : un identifiant FranceConnect compromis ouvre l'accès à l'ensemble des services publics numériques liés — impôts, CAF, Ameli — et permet une chaîne d'exploitation qui dépasse largement le vol bancaire initial.

Le timing est déterminant : la campagne est active depuis 15 jours, amplifiée depuis le 11 avril par l'ouverture des déclarations fiscales en ligne. Double contexte administratif exploité simultanément. L'Assurance retraite ne publie ce type d'avertissement que lorsque les signalements internes atteignent un seuil critique — la publication officielle est elle-même un indicateur de volume.

Ce que ça signifie pour vous

PSP/acquéreur : les virements post-phishing vers IBAN étrangers depuis comptes épargne de seniors sont un pattern à monitorer prioritairement sur avril-mai. Délai moyen phishing réussi → premier virement : sous 48 h.

Néobanque/BaaS : si votre base inclut des seniors, la notification push à l'ouverture d'une session depuis un device non reconnu est votre meilleur point de contact défensif. Un client qui signale un mail "Assurance retraite" dans votre canal support doit déclencher un protocole d'escalade en moins de 15 minutes.

Équipe fraude corporate : un identifiant FranceConnect compromis élargit le périmètre de fraude potentielle aux prélèvements URSSAF, aux déclarations fiscales, aux demandes de prestations sociales. La corrélation inter-canaux devient obligatoire.

Action concrète

Activer dès aujourd'hui un filtrage renforcé sur les mails entrants mentionnant "Assurance retraite" + "revalorisation" + montant non rond proche de 267 €. Communication client proactive via vos canaux officiels (push, espace client) sur le schéma de l'arnaque. Relayer l'alerte CNAV dans votre communication sortante — c'est une source officielle, son relais vous protège juridiquement et crédibilise votre communication anti-fraude.

Pattern clé

Quand l'organisme usurpé alerte lui-même, c'est que la vague est massive. Le signal officiel est votre indicateur de volume — pas votre début d'information.

Signal 2 — Phishing fiscal 2026 : données personnalisées, vague transfrontalière

Impact : 🔴 · Réf. : AF-2026-017

Mécanisme

La DGFiP a ouvert la campagne déclarative en ligne le 11 avril. Les campagnes de phishing fiscal étaient déjà en circulation avant l'ouverture officielle. Ce qui change structurellement en 2026 : la fuite FICOBA (1,2 million d'IBAN avec données fiscales associées, confirmée en février) fournit aux opérateurs criminels un stock de données qualifiées permettant une personnalisation nominale des messages — IBAN, établissement bancaire, actifs déclarés. Les campagnes ne sont plus génériques.

La confirmation d'une vague coordonnée en Belgique (SPF Finances usurpé le 8 avril, même structure de message, même timing) indique une organisation transfrontalière. Le délai d'extinction documenté des campagnes fiscales est d'au moins 12 jours après l'alerte officielle — "saisie 343 €" de mars en est la démonstration la plus récente.

Ce que ça signifie pour vous

PSP/acquéreur : la fenêtre de 7 jours post-ouverture déclarative est la période la plus dense en tentatives de virement post-phishing. Les flux sortants vers IBAN étrangers depuis des comptes sans historique de virement international sont à monitorer prioritairement.

Néobanque/BaaS : vos clients mobile-first sont exposés via le canal SMS. La notification push est votre premier point de contact défensif — pas le virement. Un signalement entrant "SMS DGFiP" doit déclencher un protocole d'alerte précoce.

Équipe fraude corporate : le croisement FICOBA + données fiscales DGFiP produit des messages qui passent les filtres de vraisemblance habituels. Pondération renforcée sur avril-mai pour les virements vers nouveaux IBAN étrangers.

Action concrète

Monitoring renforcé immédiat sur les virements sortants vers IBAN étrangers non enregistrés depuis comptes épargne. Briefing des conseillers clientèle sur la demande entrante "j'ai reçu un mail des impôts, c'est normal ?" — protocole anti-phishing, pas réponse standard. Intégrer les IBAN FICOBA exposés aux listes de surveillance si ce n'est pas fait.

Pattern clé

La saisonnalité fiscale est industrialisée. Les campagnes sont calées sur le calendrier administratif, armées de données qualifiées, conçues pour durer au-delà de leur détection.

Signal 3 — Fausse banque en ligne et sites miroirs : 500 M€ de préjudice

Impact : 🟠 · Réf. : AR-2026-N39

Mécanisme

Entre octobre 2025 et février 2026, une quarantaine d'épargnants français ont placé leurs économies dans une banque en ligne entièrement fictive. Infrastructure complète : espace client fonctionnel avec historique simulé, faux livret à 5 % adossé à une prétendue banque allemande, conseillers au téléphone, IBAN étranger légitimant les virements.

La technique de base est celle des sites miroirs : reproduction pixel-perfect de la charte graphique d'établissements bancaires légitimes, avec seul le nom de domaine modifié — un détail que les victimes ne vérifient pas avant de virer. Canal de distribution principal : publicité sponsorisée sur les réseaux sociaux, sans vérification d'agrément côté plateforme. Déclencheur psychologique documenté : une promesse de rendement supérieur à 4 % dans un contexte de taux en baisse suffit à contourner la vigilance habituelle.

Le préjudice individuel le plus élevé documenté est de 155 400 €. Le préjudice global du phénomène sites miroirs en France est estimé à 500 millions d'euros pour 2025-2026.

Ce que ça signifie pour vous

PSP/acquéreur : les virements d'initialisation partent souvent depuis comptes épargne vers IBAN étrangers peu ou pas utilisés. Signal de détection exploitable. Le premier virement est rarement bloqué — c'est le second (après affichage des faux "gains") qui représente le montant le plus important.

Néobanque/BaaS : votre marque et vos visuels sont des actifs clonables. Un monitoring quotidien des domaines proches (typosquatting, sous-domaines, TLD alternatifs avec SSL valide) est la seule détection précoce. Délai moyen création site miroir → inscription blacklist AMF : 3 à 4 mois.

Équipe fraude corporate : "rendement affiché > 4 %" est un critère de scoring. Virement IBAN étranger + compte épargne sans historique + consultation préalable de sites d'investissement non régulés = triplet corrélable.

Action concrète

Audit des alertes typosquatting — priorité de la semaine si ce n'est pas en place. Friction supplémentaire (délai 24 h + notification explicite) sur virements IBAN étrangers non utilisés depuis compte épargne. Signaler à l'AMF tout domaine suspect — la procédure d'inscription peut être initiée par un acteur régulé.

Pattern clé

La banque fantôme est un produit, pas une arnaque. Conçue, distribuée et opérée comme un service financier légitime. Le délai de détection n'est pas un échec technique — c'est un angle d'attaque délibéré.

Signal 4 — LexisNexis + FINMA : diagnostic croisé offensif/défensif

Impact : 🟠 · Réf. : AR-2026-N40 / AR-2026-N41

Mécanisme

Deux publications en 48 h convergent. LexisNexis (offensif) : fraude mondiale +8 %, identités synthétiques ×8 en un an (11 % des fraudes détectées), émergence des bots agentiques simulant sessions utilisateur complètes (frappe, scroll, hésitation) pour passer les moteurs comportementaux. En EMEA, 51,7 % de first-party fraud — le porteur peut être le titulaire lui-même, mule recrutée ou victime d'usurpation non signalée.

FINMA (défensif) : enquête fin 2025 auprès de 19 banques suisses, 42 % sans politique formelle anti-fraude numérique. Lacunes structurelles : absence de stratégie dédiée, chaîne de détection incomplète, gap AML/fraude non comblé.

Ce que ça signifie pour vous

PSP/acquéreur : l'identité synthétique contourne le KYC documentaire. Détection = monitoring comportemental sur 30 à 90 premiers jours post-onboarding, pas seulement à l'entrée.

Néobanque/BaaS : 51,7 % de first-party fraud invalide le modèle de confiance basé sur l'ancienneté client. Un client à 18 mois sans incident peut être recruté mule via Telegram en 48 h. Segmentation de risque dynamique obligatoire.

Équipe fraude corporate : la Guidance FINMA préfigure les exigences EBA. Politique formelle, gouvernance dédiée, pont AML/fraude, procédures de reporting. Calendrier probable : 12-18 mois avant transposition EU contraignante.

Action concrète

Vérifier l'existence d'une politique anti-fraude numérique formelle datée de moins de 18 mois. Scoring comportemental post-onboarding sur 90 jours : fréquence, évolution des montants, changements RIB récurrents. Cartographier le gap AML/fraude — les deux chaînes doivent se parler en temps réel.

Pattern clé

La régulation suisse anticipe l'EBA de 12 à 18 mois. La FINMA est historiquement un laboratoire réglementaire pour l'Europe.

Brèves réglementaires — triptyque de la semaine

Trois décisions en cinq jours dessinent un durcissement cohérent :

• AMF, 1er avril — sanction Kerdiz Finance et Conseil (CIF) 300 000 €, dirigeants 75 000 € chacun. Signal jurisprudentiel : l'AMF cible désormais les intermédiaires dont la défaillance crée les conditions de la fraude à l'investissement, pas uniquement les fraudeurs directs. [AR-2026-N43]
• ACPR + DG Trésor, 7 avril — mise à jour des lignes directrices conjointes sur la mise en œuvre des mesures de gel des avoirs. Avoirs crypto explicitement dans le périmètre élargi. Applicable immédiatement. [AR-2026-N44]
• Assemblée nationale, 7 avril — PLF anti-fraudes sociales et fiscales adopté en première lecture, transmis en CMP. Croisement renforcé des fichiers, nouvelles obligations de signalement, sanctions élargies. [AR-2026-N47]

Implications : réviser les procédures de screening gel des avoirs avant fin avril. Anticiper le PLF sur les flux d'onboarding et la vérification documentaire. Documenter formellement les due diligences sur CIF partenaires — la jurisprudence Kerdiz élargit le périmètre de responsabilité.

Lecture stratégique

Cinq signaux. Un seul fil conducteur.

La fraude de 2026 est industrielle parce qu'elle est calendaire, outillée et structurée. L'Assurance retraite n'alerte pas par précaution — elle alerte parce que le seuil de signalements est franchi. Le phishing fiscal n'attend pas l'ouverture des déclarations, il est paramétré dessus. La fausse banque ne disparaît pas quand elle est détectée, elle exploite le délai de blacklisting comme une fenêtre commerciale. Les identités synthétiques ne sont pas une anomalie statistique, elles représentent 11 % des fraudes.

Ce qui lie ces signaux, c'est l'asymétrie de vitesse : les attaquants intègrent les nouveaux stocks de données (FICOBA, Basic-Fit) en quelques jours. Les défenses institutionnelles — listes noires, évolution réglementaire, procédures de détection — fonctionnent en cycles de semaines à mois.

La réponse n'est pas uniquement technique. Elle est organisationnelle : avoir des procédures capables de s'activer en 48 h, pas en 3 semaines.

Signal faible de la semaine

Deux développements à intégrer dès maintenant dans la veille tactique :

Arnaque Booking.com post-réservation (Norton, 13 avril) — vague active en France et Europe de l'Ouest. Les faux messages arrivent dans les minutes suivant une réservation légitime, avec nom d'hôtel, dates et montant corrects, exploitant une fenêtre de confiance post-transaction. Canal : SMS/email, demande de re-saisie des coordonnées bancaires "pour sécuriser". Saisonnalité : pic de réservations estivales en cours.

Spoofing téléphonique +517 % en un an (Cybermalveillance / Gendarmerie Marne) — les protections ARCEP/opérateurs sont contournées via VoIP étrangers et SIM prépayées non traçables. 765 000 € de préjudice dans le seul département de la Marne depuis janvier 2026. Rappel jurisprudentiel clé : la loi 2025-1058 et l'arrêt Cass. 4 mars 2026 ferment la porte à l'argument "négligence grave" sur spoofing seul — conséquence directe pour les équipes contentieux bancaire.

Convergence Basic-Fit × fenêtre fiscale — la fuite Basic-Fit (1 M de membres avec coordonnées bancaires, 13 avril) n'a pas encore produit de campagne d'exploitation documentée. Mais le matériel est disponible. Campagnes combinant angle "revalorisation" et données Basic-Fit pour personnalisation supplémentaire à anticiper dans les 5 à 10 jours.

À surveiller cette semaine

• FNC-RF — J-22 au 14 avril, aucune extension annoncée. Les PSP sans intégration technique finalisée sont en zone de risque de conformité.
• EBA Risk Dashboard Q1 2026 — toujours non publié, attendu semaine 15, probable mardi ou mercredi.
• AMF blacklist semaine 16 — aucune mise à jour détectée au 14 avril, publication hebdomadaire attendue.
• Verdict procès FCB Paris (11 prévenus / 740 k€) — précédent jurisprudentiel sur le modèle franchise criminelle transnational.
• JLC Family / Laurent Correia — ouverture possible d'une information judiciaire.

Checklist — ce que vous devez faire cette semaine

• [ ] Relayer l'alerte CNAV "267,14 €" via vos canaux clients officiels — aujourd'hui
• [ ] Activer un filtrage mail renforcé sur le schéma "Assurance retraite + revalorisation + montant 267 €"
• [ ] Monitoring renforcé des virements sortants vers IBAN étrangers non enregistrés — priorité absolue jusqu'au 18 avril
• [ ] Friction explicite (délai + notification) sur les virements vers nouveaux IBAN étrangers depuis comptes épargne
• [ ] Briefer les conseillers clientèle sur les protocoles anti-phishing fiscal et anti-phishing Assurance retraite
• [ ] Auditer les domaines proches du vôtre (typosquatting, sous-domaines, TLD alternatifs) et vérifier la présence d'un monitoring automatisé
• [ ] Mettre à jour les procédures de screening gel des avoirs suite à la mise à jour ACPR du 7 avril
• [ ] Vérifier le statut de l'intégration FNC-RF — J-22
• [ ] Cartographier le gap AML/fraude dans votre organisation : vos deux équipes partagent-elles les alertes en temps réel ?
• [ ] Vérifier l'existence d'une politique anti-fraude numérique formelle datée de moins de 18 mois

Sources

• L'Assurance retraite — Alerte officielle phishing 267,14 €
• BourseInside — Arnaque Assurance retraite / FranceConnect
• Planet.fr — Faux message Assurance retraite
• Pleine Vie — Revalorisation piège FranceConnect
• L'Avenir BE — Phishing SPF Finances 08/04
• TF1 Info — Fausse banque en ligne 07/04
• BourseInside — Sites miroirs 500 M€ 07/04
• Moneyvox — Victime bretonne 155 400 €
• Econostrum — Analyse technique sites miroirs
• FINMA — Guidance 02/2026 09/04
• Finance Magnates — FINMA 42 % sans politique
• TradeInformer — FINMA gaps survey
• Insurance Journal — LexisNexis synthetic identities 09/04
• StockTitan — LexisNexis EMEA detail
• AMF — Sanction Kerdiz Finance 01/04
• ACPR — Lignes directrices gel des avoirs 07/04
• Assemblée nationale — Dossier PLF anti-fraudes
• Le Monde — Adoption PLF 07/04
• Mac4Ever (Norton) — Arnaque Booking post-réservation
• Ouest-France — Arnaque Booking
• UniversFreebox — Spoofing +517 %
• France Bleu Marne — Préjudice spoofing départemental
• Crédit-et-Banque — Loi 2025-1058 et jurisprudence 2026
• Léo Lagrange — FNC-RF contexte

FraudBrief Premium — AF-2026-017 / AF-2026-N54 / AR-2026-N39 à N47 Prochaine édition : semaine du 20 avril 2026