CBC’s The Fifth Estate recently broke the news that the Canada Revenue Agency had discovered that hackers had managed to obtain confidential data on taxpayers used by private tax firm H&R Block. Fraudsters then used the confidential information, including H&R Block’s confidential credentials to log into the personal CRA accounts of thousands of individuals. What does this mean for most Canadians, why hasn’t the CRA made this information public, how much money has been fraudulently paid, and for those who have been hit with fraud, what can be done to protect them?
The scam, for the most part, works like this. Hackers obtained EFile credentials for Canadian taxpayers, generally those who used a third-party to gain delegated access credentials, which means someone other than the taxpayer themselves had filed tax returns on behalf of someone else. This is a common practice for a tax filing agency such as H&R Block. Hackers would then use these credentials to log into an individuals CRA account and change account information, predominantly direct deposit information. Hackers would then file a false tax return. CRA would then send funds for the return, which happened before CRA would notice the scam. The hack would affect tens of thousands of Canadians, and CRA paid out millions to those committing fraud before it was noticed.
It’s all very frustrating and harms the reputation of a government agency that is supposed to be, more so than perhaps any other government agency, above reproach. In a prepared statement, H&R Block stated that there is no evidence that they were responsible for the breach of taxpayer data. The CRA has denied a breach of its own systems and also deny that it was the work of an insider. While this particular data breach and subsequent fraud are troubling on their own, the CRA recently admitted to more than 31,468 “material” privacy breaches between March 2020 and December 2023. CRA would later admit to $190 million being issued to confirmed cases involving privacy breaches between 2020 and October 20204. Most of that sum were lost during the first year of the Covid-19 pandemic, but the breach involving the supposed H&R Block data list alone resulted in some $6 million in fraudulent payments. They did prevent another $14 million from being paid out as part of this breach, but the question remains why the fraud wasn’t caught sooner.
It’s also reasonable to ask why CRA staff, leadership, and by extension the Minister, weren’t more forthcoming with the details of the breach. In fact, it should go without saying that CRA needs to ensure that action be taken to combat breaches of Canadians’ confidential tax information. The vast majority of Canadians pay their fair share of taxes. Taxpayers have a trust relationship with their tax-collection agency, and they need to trust that the CRA takes tax fraud, in all its forms, seriously. We know that scammers, hackers, and fraudsters are becoming more sophisticated. We need CRA to adapt to that reality.
In order to ensure this type of thing doesn’t happen again, we need to get to the bottom of how it happened in the first place. New Democrats have been calling for a parliamentary inquiry into the CRA’s mishandling of tax fraud and tax cheating. It’s important to hear from CRA staff and leadership, experts in tax collection, the privacy commissioner, and experts in cyber-security and data leaks to ensure that Canadians can retain their trust that the CRA is doing everything in its power to prevent fraud from happening.
The government needs to bolster the CRA to ensure they have the resources necessary to go after tax frauds, and to chase after potential breaches. While there is a justifiable focus on those who have been misappropriating money from CRA, we also need the resources to go after people who defraud the government from the other end such as those Canadians who hide their money in offshore accounts, like we’ve previously found in the Panama and Paradise Papers. Most Canadians understand that we have to pay our fair share in taxes, but also expect that remittance aren’t going to someone who obtained it through fraudulent means.
Piratage de données à l’Agence du revenu du Canada – il faut une enquête approfondie
Comme nous l’a appris récemment l’émission The Fifth Estate, sur les ondes de la CBC, l’Agence du revenu du Canada a découvert que des pirates informatiques ont réussi à voler des données confidentielles utilisées par la société H&R Block pour produire des déclarations fiscales. Les fraudeurs ont ensuite utilisé ces renseignements confidentiels, dont les identifiants de H&R Block, pour se connecter aux comptes personnels, tenus par l’ARC, de milliers de contribuables. Qu’est-ce que tout cela veut dire pour la majorité des Canadiens? Pourquoi l’ARC n’avait-elle rien dit? Combien d’argent a été versé aux fraudeurs, et que peut-on faire pour protéger les victimes de cette fuite?
En gros, la fraude s’est déroulée comme suit. Les pirates ont obtenu les identifiants de dossier électronique de contribuables canadiens ayant, pour la plupart, fait appel à une entreprise qui, pour faire les déclarations de revenus au nom de leurs clients, avaient obtenu un code d’accès délégué – ce qui est une pratique courante chez les entreprises, comme H&R Block, qui offrent des services de déclaration de revenus. Munis de ces identifiants, les fraudeurs se sont connectés aux comptes de ces contribuables, tenus par l’ARC, et y ont changé des renseignements, principalement sur le compte bancaire où faire les virements automatiques. Les pirates ont ensuite fait de fausses déclarations de revenus, et l’ARC leur a envoyé des millions de dollars en remboursements d’impôt, avant qu’elle n’évente le stratagème. Les données de dizaines de milliers de Canadiens ont ainsi été piratées.
C’est inacceptable, d’autant que cet acte de piratage informatique entache la réputation de l’organisme gouvernemental qui, plus peut-être que tous les autres, doit être au-dessus de tout reproche. Dans une déclaration, H&R Block a dit que rien n’indique que le piratage lui soit imputable, tandis que l’ARC soutient qu’il n’y a pas eu intrusion dans ses systèmes et qu’il n’y avait aucun lien à une implication interne. Cette atteinte aux données et la fraude qui en a résulté sont inquiétantes en soi, mais l’ARC a récemment admis que plus de 31 468 atteintes à la vie privée « substantielles » avaient eu lieu entre mars 2020 et décembre 2023, et qu’elle avait fait de 2020 à octobre 2024 des paiements de 190 millions de dollars qui se sont avérés la conséquence de violations de données. La majeure partie de ces versements ont été faits pendant la première année de la pandémie de Covid-19, mais à lui seul, le vol des données de H&R Block a donné lieu à des paiements frauduleux de 6 millions de dollars. Heureusement, une somme additionnelle de 14 millions de dollars a été bloquée avant qu’elle ne soit versée, mais la question demeure : pourquoi cette fraude n’a-t-elle pas été détectée plus tôt?
Autre question raisonnable : pourquoi le personnel et les dirigeants de l’ARC, et par extension la ministre, n’ont-ils pas pris l’initiative d’expliquer ce qui s’était passé? Il va sans dire que l’ARC doit s’assurer que des mesures soient prises pour prévenir l’atteinte aux données fiscales confidentielles des citoyens. La vaste majorité des Canadiens paient leur juste part et ont confiance dans l’agence chargée de percevoir l’impôt. Ils ont donc besoin de savoir que l’ARC prend au sérieux la fraude fiscale sous toutes ses formes. Nous savons que les escrocs, les pirates et les fraudeurs peaufinent sans cesse leurs méthodes, et l’ARC doit s’adapter à cette réalité.
Pour que ce genre de chose ne se produise plus jamais, nous devons faire toute la lumière sur ce qui s’est passé. Les néo-démocrates réclament la tenue d’une enquête parlementaire sur la mauvaise gestion, par l’ARC, des risques de fraude fiscale. Nous devons savoir ce qu’ont à dire le personnel et les dirigeants de l’Agence, les spécialistes du recouvrement de l’impôt, le commissaire à la protection de la vie privée et les experts de la cybersécurité et de la prévention des fuites de données, afin que les Canadiens sachent que l’ARC fait tout en son pouvoir pour empêcher la fraude.
Le gouvernement doit renforcer l’ARC afin qu’elle dispose des ressources nécessaires pour lutter contre la fraude fiscale et détecter les violations potentielles des données. Si nous avons raison de nous en prendre à ceux qui détroussent l’ARC, nous devons prévoir des ressources suffisantes pour démasquer aussi les personnes qui refusent de payer leur part, comme les Canadiens qui – les Panama/Paradise Papers l’ont bien montré – cachent leur argent dans des comptes à l’étranger. La plupart des Canadiens comprennent que nous devons tous payer notre juste part du fardeau fiscal, mais ils s’attendent aussi à ce que les fraudeurs n’empochent pas un sou malhonnêtement.
Submit News Tip
