Deux dates coincent le calendrier des fraudeurs : le 24 et le 31 juillet 2026. Ce sont les jours où la Direction générale des finances publiques verse les remboursements aux foyers qui ont trop payé leur impôt sur le revenu, selon l'alerte publiée le 15 juillet par cybermalveillance.gouv.fr. Dans les jours qui viennent, votre boîte mail et vos SMS vont recevoir des messages qui imitent la DGFiP pour vous piéger.
Le pattern des faux remboursements
Les arnaqueurs jouent sur trois leviers. Un vecteur qui a l'air normal : « mail », « SMS » ou « téléphone », selon la formulation exacte de cybermalveillance.gouv.fr. Un montant précis pour donner l'impression que le fisc a bien fait ses comptes. Un sentiment d'urgence : cliquez maintenant ou vous perdez la somme. Le message parle d'un « prétendu remboursement d'impôt ou un trop-perçu » et vous invite à valider vos coordonnées pour en bénéficier.
Ce qu'ils veulent derrière le clic n'est jamais le remboursement. C'est un jeu de trois cartes : vos « données personnelles », vos « identifiants fiscaux » ou vos « coordonnées bancaires ». Une fois ces éléments récupérés, la même personne peut ouvrir un compte à votre nom, aspirer votre solde ou revendre vos identifiants à d'autres réseaux d'arnaque.
Ce que la DGFiP ne vous demandera jamais
L'administration fiscale n'a besoin d'aucun geste de votre part pour vous rembourser. Sa règle est simple, énoncée noir sur blanc dans l'alerte officielle : « si vous bénéficiez d'un remboursement d'impôt, celui-ci est versé automatiquement sur le compte bancaire enregistré auprès de l'administration fiscale. Aucun paiement de frais ni validation par carte bancaire ne vous sera demandé ».
Autrement dit : aucun formulaire à remplir pour toucher un remboursement. Aucun IBAN à saisir dans un mail. Aucune carte bancaire à taper pour « valider » ou « débloquer » quoi que ce soit. Aucun code reçu par SMS à recopier dans un site inconnu. Aucun frais de dossier, aucune commission, aucune caution. Aucun appel qui vous presse de le faire tout de suite au téléphone. Si un message vous demande l'un de ces gestes, c'est qu'il n'émane pas de la DGFiP.
La DGFiP a un canal de communication : votre espace personnel sur impots.gouv.fr. Toute demande légitime y apparaît. C'est là qu'on vérifie, jamais en cliquant depuis un mail ou un SMS. Ouvrez un nouvel onglet, tapez l'adresse à la main ou passez par vos favoris, connectez-vous et regardez.
Si le doute vient trop tard
Un lien cliqué n'a pas la même gravité qu'un formulaire rempli. Faites l'inventaire dans l'ordre de ce que vous avez saisi.
Si vous avez seulement cliqué sans rien taper, changez le mot de passe de la boîte mail qui a reçu le message (surtout si vous le réutilisez ailleurs) et surveillez vos comptes pendant quelques jours.
Si vous avez saisi votre mot de passe fiscal ou votre numéro fiscal sur un site suspect, changez le mot de passe de votre espace impots.gouv.fr immédiatement, puis prévenez le service des impôts par la messagerie sécurisée de votre espace personnel. Un accès frauduleux à votre déclaration peut faire glisser un IBAN inconnu comme compte de remboursement pour l'année suivante, il faut le voir avant.
Si vous avez saisi votre numéro de carte bancaire, appelez votre banque tout de suite pour faire opposition et demander l'annulation des débits déjà passés. En principe, la banque rembourse les paiements non autorisés que vous signalez sans tarder ; elle peut toutefois s'y opposer si elle établit une négligence grave de votre part (typiquement la communication de vos codes sur un site frauduleux). D'où l'intérêt de garder les preuves du piège (le mail, le SMS, l'URL du faux site) et de signaler très vite.
Dans tous les cas, cybermalveillance.gouv.fr héberge des « fiches réflexes » selon le type de piège rencontré et vous oriente vers le bon signalement et le bon interlocuteur. C'est le premier réflexe à avoir avant d'être sûr d'avoir tout perdu.
Ce qui rend un faux mail crédible
Une escroquerie au faux remboursement, c'est de l'ingénierie sociale posée sur des données qui traînent. Votre adresse mail, votre numéro de portable, votre nom, votre commune ; parfois même votre situation familiale ou votre tranche d'imposition approximative. Plus ces éléments sont exacts, plus le message paraît crédible et plus vous cliquez sans réfléchir. Le vrai remboursement de la DGFiP, lui, se contente d'un IBAN déjà connu et d'un virement silencieux.
Combien de sites ont votre mail principal, votre numéro de mobile et votre date de naissance en clair aujourd'hui ? Une inscription oubliée sur un site marchand fermé depuis dix ans peut ressortir dans une fuite l'an prochain et alimenter une nouvelle campagne d'hameçonnage l'année suivante. C'est cette accumulation silencieuse qui fait le lit des faux mails DGFiP crédibles.
Réduire cette surface, c'est le travail que Fairmi propose de faire avec vous, un site à la fois : identifier les comptes dormants, exercer votre droit à l'effacement, ne laisser derrière vous que les traces qui ont vraiment une raison d'exister. Le prochain 24 juillet, les mails frauduleux arriveront quand même. Ils auront juste moins de matière pour vous ressembler.