J’ai reçu un mail du SPF Finances en pleine période de déclaration : quand j’ai vu la page où le lien m’a redirigé, j’ai failli tout donner

Un mail signé SPF Finances, une promesse de remboursement de 387,45 euros et un QR code à scanner : voilà le piège qui circule depuis le 10 juillet 2026 dans les boîtes mail belges. L’alerte a été lancée le 10 juillet 2026 par le site Safeonweb.be, piloté par le Centre pour la Cybersécurité Belgique (CCB). Et si vous avez cliqué en pensant toucher enfin ce trop-perçu fiscal tant espéré, la page d’atterrissage a de quoi glacer le sang, ou du moins faire hésiter la souris juste avant de taper son numéro de carte.

Le scénario est presque trop bien ficelé pour être honnête, ce qui est justement le problème. Le mail annonce : « Suite au traitement définitif de votre déclaration à l’impôt des personnes physiques pour l’exercice d’imposition 2026, nous vous informons que le calcul de votre situation fiscale fait apparaître un solde créditeur en votre faveur […] Montant remboursable : 387,45 €. » Une somme précise, ni ronde ni absurde, calculée pour sonner vrai. En ligne de mire : la fausse promesse d’un remboursement en votre faveur, d’un montant oscillant entre 300 et 400 euros. Le détail qui trahit tout, cependant, c’est la méthode de validation demandée.

À retenir

  • Un mail apparemment officiel du SPF Finances circule depuis juillet 2026 avec une promesse de remboursement précis
  • Le QR code redirige vers un faux portail conçu pour voler vos données bancaires
  • Le SPF Finances ne communique JAMAIS par email pour les questions fiscales : seul MyMinfin.be est officiel

Le piège du QR code, ou l’art de faire scanner sa propre arnaque

Au cœur du dispositif, un QR code vous emmène vers une page web dangereuse. Cette technique porte un nom depuis peu, le « quishing » : les arnaqueurs font appel à la technique du quishing, soit le phishing via QR code, pour vous pousser à encoder vos données bancaires sur une page web dangereuse. L’astuce est redoutable parce qu’un QR code ne s’affiche pas en texte clair dans un filtre antispam, et parce que la plupart d’entre nous n’ont pas le réflexe de vérifier une adresse une fois qu’elle s’ouvre dans le navigateur du smartphone, loin de l’écran de l’ordinateur où l’œil est parfois plus averti.

Une fois le code scanné, la mécanique devient limpide, et franchement un peu vicieuse. Le message vous demande de scanner un code QR pour confirmer vos coordonnées bancaires, alors que les administrations ne procèdent jamais de cette manière. Le code QR redirige vers un site qui ressemble au portail du SPF Finances, mais dont l’adresse URL n’est pas officielle, raison pour laquelle il faut toujours vérifier l’URL avant de poursuivre. Souvent, un détail cloche aussi du côté de l’expéditeur : l’adresse mail de l’expéditeur paraît inhabituelle ou comporte de légères différences, lettres ajoutées, fautes, caractères inhabituels. C’est peu, mais c’est souvent suffisant pour qui prend deux secondes avant de cliquer.

Ce n’est pas un cas isolé, loin de là

Ce qui frappe, c’est l’ampleur du phénomène plus que son originalité. Plus de 3,6 millions de cas d’hameçonnage ont été signalés par des Belges au cours des trois premiers mois de l’année 2026, soit plus de 40.000 par jour, selon les chiffres du Centre pour la cybersécurité en Belgique. Le SPF Finances, avec sa aura d’institution sérieuse et son sujet universel (qui n’attend pas un petit remboursement d’impôt ?), reste une cible de choix pour les faussaires depuis des années. En avril 2026 déjà, une autre vague ciblait les contribuables par SMS : les escrocs usurpaient l’identité du SPF Finances et demandaient de payer au plus vite des frais impayés imaginaires via un site web frauduleux, via des messages envoyés depuis le numéro 8850.

D’autres variantes jouent sur la menace plutôt que la carotte. Des mails réclamant le paiement d’une dette fictive circulent régulièrement, avec une adresse d’expéditeur trompeuse mais un ton institutionnel très crédible : l’adresse de l’expéditeur ressemble à une adresse e-mail du SPF Finances sans en être une officielle, et le mail semble provenir d’un véritable collaborateur du SPF Finances, mentionnant des coordonnées correctes. Preuve que les escrocs soignent désormais le détail administratif autant que le graphisme. Ce mois de juillet, le même mécanisme frappe aussi ailleurs : notaire.be et Mondial Relay ont également fait les frais de campagnes similaires, la seconde étant décrite comme « un piège dopé à l’IA » tant les textes générés sont devenus impeccables sur le plan de la syntaxe.

Le seul réflexe qui compte vraiment : MyMinfin, jamais le mail

La règle d’or tient en une phrase, répétée inlassablement par l’administration elle-même. Le SPF Finances n’enverra jamais un avertissement-extrait de rôle par e-mail, et ne vous contacte que par message dans votre e-Box indiquant que le document est disponible sous forme numérique dans votre dossier électronique MyMinfin.be. aucun remboursement, aucune dette, aucune information fiscale ne transite légitimement par un mail cliquable avec bouton doré et logo flashy. Si un solde créditeur existe vraiment, il apparaîtra dans votre espace MyMinfin, point final, sans qu’un QR code ne soit jamais nécessaire pour le débloquer.

La porte-parole du SPF Finances, Florence Angelici, résume la logique de vérification de façon limpide : si le message ne se trouve pas sur la plateforme officielle, « c’est que c’est une tentative de phishing ». Un détail technique permet aussi de démasquer les faux avis de paiement plus classiques : le SPF Finances dispose de numéros de compte propres que l’on peut identifier parce qu’ils reprennent toujours la même structure, à savoir BEXX 6792 XXXX XXXX. Un numéro de compte qui ne colle pas à ce format, et l’affaire est entendue.

Si le mal est fait et que vous avez déjà rempli le formulaire piégé, la marche à suivre est claire et il ne faut pas traîner. « Agissez rapidement pour limiter les conséquences, contactez immédiatement Fraud Stop ou Card Stop via le numéro unique 078 170 170 », insiste Safeonweb.be. Il faut aussi opter pour l’option « Déclarer une fraude » afin de bloquer les applications bancaires, ce qui se fait selon la banque soit par message automatique, soit en contactant directement le service anti-fraude de l’établissement. Les mails suspects, eux, peuvent être transférés à suspicious@safeonweb.be pour alimenter la base de signalement du CCB, un geste simple qui aide à faire fermer plus vite ces sites miroirs. Et la prochaine fois qu’un mail vous promet un chèque surprise du fisc avec un joli QR code à l’appui, gardez en tête que le SPF Finances n’a jamais eu besoin d’un scanner de smartphone pour vous rendre votre argent : il a MyMinfin, et ça lui suffit très bien depuis des années.