L’Agence des Impôts Il n’écrit pas comme ça. Mais chaque semaine, des milliers d’Espagnols ouvrent un e-mail apparemment officiel, cliquent sur le lien ci-joint et transmettent leurs coordonnées bancaires à des escrocs sans s’en rendre compte. L’e-mail semble légitime : logos officiels, langage administratif, références au BOE, voire signature numérique du gouvernement. Comment distinguer la fraude quand tout sent l’authenticité ?
La campagne de phishing la plus agressive de l’année a éclaté le 12 février 2026, selon l’INCIBE. Juste au moment où commence la saison des impôts sur le revenu 2025, les criminels envoient de fausses notifications concernant Réclamations urgentes et prétendus remboursements d’impôts. L’objectif : voler des identifiants bancaires, en profitant du fait que des millions de contribuables attendent de véritables communications du Trésor.
La règle d’or que le Trésor répète mais que personne n’écoute
Le fisc martèle le même message depuis des années : ne demande jamais de coordonnées bancaires, de mots de passe ou de codes d’accès par email ou SMS. Jamais. En aucun cas. Pas pour les retours, pas pour les réclamations, pas même pour confirmer votre identité.
Toutes les notifications officielles arrivent exclusivement via le système DEHÚ (Single Enabled Electronic Address), accessible depuis le siège électronique officiel de l’Agence nationale de l’administration fiscale. Si le Trésor a besoin de données complémentaires, il vous en informera dans votre boîte aux lettres fiscale personnelle. L’e-mail est utilisé uniquement pour informer que vous avez une nouvelle notification disponible dans votre espace privémais le lien pointe toujours vers Agencytributaria.gob.es, jamais vers des domaines alternatifs. C’est essentiel : l’avis ne contient pas d’informations sensibles, il vous redirige uniquement vers la plateforme officielle où vous vous connectez avec vos identifiants.
Pourquoi ça explose maintenant ?
Le 3 février 2026, la Garde civile a détecté une augmentation brutale des e-mails frauduleux coïncidant avec l’annonce officielle du calendrier des revenus 2025. Les fraudeurs exploitent trois fenêtres critiques chaque année : début de la campagne fiscale en février, expiration des délais en juin et clôture de l’année en décembre. Durant ces périodes, les utilisateurs baissent leur garde car ils s’attendent à de véritables communications.
- Annonce de la campagne Revenu 2025 : Dates officielles publiées le 6 février, phishing détecté 6 jours plus tard
- Sophistication technique : L’IA générative reproduit le langage administratif avec une précision sans précédent jusqu’en 2026
- Volume d’expédition : INCIBE rapporte des millions d’e-mails distribués en 72 heures (estimation du 8 au 10 février)
- Taux de conversion : Entre 2 et 4 % des destinataires cliquent sur le lien frauduleux selon les données historiques d’Europol
Les criminels profitent de l’urgence budgétaire : lorsqu’un e-mail menace de sanctions ou promet des remboursements, le cerveau donne la priorité à la rapidité plutôt qu’à l’analyse. Résultat : les identifiants bancaires ont été divulgués en moins de 3 minutes.
Comment cela affecte le contribuable moyen
Face à ce scénario, l’impact va au-delà de l’économique. Un utilisateur qui fournit ses coordonnées bancaires sur un faux domaine obtient un accès direct à son compte : Numéro IBAN, codes d’accès et, dans de nombreux cas, mots de passe que vous réutilisez dans d’autres services. Les fraudeurs agissent rapidement : en moins de 24 heures, ils effectuent des virements, contractent des microcrédits ou vendent des identifiants sur des marchés clandestins pour 50 à 200 € par compte compromis.
Le problème est exacerbé lorsqu’il faut plusieurs jours aux victimes pour détecter la fraude. Les banques exigent la preuve que l’accès a été frauduleux, ce qui complique la récupération de l’argent si l’utilisateur a saisi « volontairement » ses données sur le faux site. La charge de la preuve incombe à la victime : elle doit justifier qu’elle a été trompée et non négligente. Pendant ce temps, l’escroc a déjà vidé le compte ou acheté des produits en votre nom. Reprendre le contrôle implique de bloquer les cartes, de changer les mots de passe de dizaines de services et, dans les cas extrêmes, de prouver à la banque que vous n’avez pas autorisé les opérations effectuées avec vos propres identifiants.
Qu’implique cette escalade de sophistication ?
Au-delà du vol spécifique, cette génération de phishing révèle un changement structurel : les criminels n’envoient plus en masse d’emails comportant des fautes d’orthographe évidentes. Maintenant, ils utilisent l’intelligence artificielle pour reproduire exactement le ton, le format et la structure des communications officielles. Ils copient de vrais modèles AEAT, clonent des domaines similaires (agenciatributaria-gob.es au lieu de Agencytributaria.gob.es) et certifient leurs faux sites Web avec SSL, en montrant le cadenas de sécurité qui garantissait auparavant leur légitimité.
Cela explique pourquoi la fraude fiscale numérique a augmenté de 340 % entre 2024 et 2026 selon les données de la Police Nationale. L’utilisateur moyen ne dispose pas des outils nécessaires pour distinguer un faux e-mail lorsque chaque élément visuel et textuel est identique à l’original. La seule véritable défense est je sais ce que le Trésor ne fait paspas ce qu’il fait. Parce que les escrocs reproduisent ce qu’il fait, mais ignorent ce qu’il ne fera jamais : demander des données sensibles en dehors de sa plateforme officielle. Le changement de paradigme est clair : avant, on détectait la fraude par ses erreurs ; maintenant, on ne le détecte qu’en sachant quelles pratiques sont impossibles pour la véritable institution.
Dissiper les doutes que nous avons tous
Q : Le Trésor peut-il me demander de confirmer mon compte bancaire par e-mail ?
R : Non. Il ne demande jamais d’IBAN, de mots de passe ou d’accès bancaire en dehors de son siège électronique officiel.
Q : Que se passe-t-il si l’e-mail inclut le logo officiel et le domaine avec « gob.es » ?
R : Vérifiez l’URL complète avant de cliquer. Les fraudeurs utilisent des domaines similaires (gobernación.es, Agenciatributaria-gob.es).
Q : Puis-je répondre à l’e-mail pour vérifier s’il est réel ?
R : Ne répondez jamais. Accédez manuellement à Agenciatributaria.gob.es et vérifiez directement votre boîte aux lettres fiscale.
Q : Que dois-je faire si j’ai déjà saisi mes données sur un lien suspect ?
R : Contactez immédiatement votre banque, changez les mots de passe, déposez un rapport et informez INCIBE (017).
Que se passera-t-il si les utilisateurs ne mémorisent pas les détails critiques ?
À l’avenir, les campagnes de phishing continueront d’être affinées jusqu’à ce que la reconnaissance visuelle de la fraude devienne impossible. La solution n’est pas de détecter les faux emails, mais de automatiser la méfiance: Ne cliquez jamais sur les liens contenus dans les e-mails concernant des questions fiscales, accédez toujours manuellement au site officiel. Le Trésor le répète dans chaque communiqué, mais le message ne pénètre toujours pas.
Les prochains pics de fraude arriveront en juin (revenus dus) et décembre (clôture fiscale). En attendant, l’Administration fiscale maintient son canal officiel de vérification : si vous avez des questions sur une notification, rendez-vous directement dans votre espace privé ou appelez le 901 33 55 33. Aucun e-mail légitime ne vous demandera d’agir en urgence en saisissant vos identifiants en dehors de la plateforme officielle. Ce détail – la demande par courrier électronique de données sensibles – est le seul qui révèle instantanément une fraude, aussi parfait que semble le reste du message.
