CRA/ARC: Security measures to protect taxpayer information / Mesures de sécurité pour protéger les renseignements des contribuables

Security measures to protect taxpayer information

March is Fraud Prevention Month in Canada and around the world. The protection of taxpayers’ information is a top priority for the Canada Revenue Agency (CRA), and this annual campaign emphasizes the importance of being able to identify, prevent, and respond to fraud.

The CRA continues to enhance its security measures to protect Canadians from fraud and identity theft. As an added layer of security, the CRA also encourages Canadians to take a few steps of their own to further protect their personal information.

Multi-factor authentication

The CRA uses Multi-factor authentication (MFA) throughout its sign-in services as a mandatory enhanced security measure. When prompted to enroll in MFA, users can select either the telephone, third-party authenticator app or passcode grid option.

Individuals need to enter a one-time passcode to access the CRA sign-in services when they sign in. Each code is good for a single sign-in session.

Mandatory email address on file

To help prevent taxpayers’ online accounts from fraudulent activity, My Account users are required to have an email address on file with the CRA. Individuals that do not currently have an email address on file will be prompted to provide one upon sign in. 

This security feature ensures individuals receive email notifications when important changes are made on their account, such as changes to their address or direct deposit information. Email notifications act as an early warning for potential fraudulent activity. Canadians who receive these notifications, but have not authorized any changes, should contact the CRA immediately.

Captcha

To help distinguish between human users and web robots, Captcha was implemented in all CRA portals. This security feature requires individuals to identify specific images before being granted access to our digital services.

How taxpayers can protect their information

There are a number of actions Canadians can take to improve their cyber safety. To help lower the risk of being affected by fraud and identify theft, Canadians are strongly encouraged to:

1. avoid reusing passwords for different systems and applications.
2. use unique passwords for both CRA and other online accounts and change these passwords regularly.
3. unique Personal Identification Number (or PIN) for their account in order to identify themselves quickly and securely.
4. monitor their online CRA account for any unsolicited changes or suspicious activity.
5. make sure their personal and business information is up to date.

If a taxpayer notices unsolicited changes on their CRA account, or thinks their information has been compromised, they should immediately report it to the CRA. The CRA will take swift precautionary measures, such as:

• locking the account to prevent transactions
• conducting in-depth reviews
• contacting the potential impacted individuals

Resources

• Security of your CRA My Account and My Business Account
• Security of Taxpayer Information
• Scam prevention and the CRA
• CRA scam alerts

Mesures de sécurité pour protéger les renseignements des contribuables

Mars est le Mois de la prévention de la fraude au Canada et partout dans le monde. La protection des renseignements des contribuables est une priorité absolue pour l’Agence du revenu du Canada (ARC), et cette campagne annuelle met l’accent sur l’importance d’être en mesure de repérer la fraude, de la prévenir et d’y répondre.

L’ARC améliore constamment ses mesures de sécurité afin de protéger les Canadiens contre la fraude et le vol d’identité. À titre de mesure de sécurité supplémentaire, l’ARC suggère aux Canadiens de prendre quelques mesures afin de renforcer la protection de leurs renseignements personnels.

Authentification multifacteur

L’ARC utilise l’authentification multifacteur (AMF) comme outil de mesure de sécurité supplémentaire dans l’ensemble de ses services avec ouverture de session. Lorsqu’on leur demande de s’inscrire au service d’AMF, les utilisateurs peuvent choisir une option entre le téléphone, l’application d’authentification tierce ou la grille de codes d’accès.

Les particuliers doivent inscrire un code d’accès à usage unique pour accéder aux services d’ouverture de session de l’ARC lorsqu’ils se connectent. Ce code n’ouvrira qu’une seule session.

Adresse de courriel obligatoire au dossier

Afin de prévenir les activités frauduleuses dans les comptes en ligne des contribuables, les utilisateurs du service Mon dossier doivent avoir une adresse de courriel au dossier de l’ARC. Les personnes qui n’ont pas d’adresse courriel à leur dossier seront invitées à en ajouter une quand elles ouvriront une session. 

Grâce à cette fonction de sécurité, les particuliers reçoivent effectivement des avis par courriel lorsque des changements importants sont apportés dans un compte, comme une modification de l’adresse ou des renseignements du dépôt direct. Ces avis peuvent servir de mise en garde anticipée contre d’éventuelles activités frauduleuses. Les Canadiens inscrits qui reçoivent ces avis, mais qui n’ont pas autorisé de changements, doivent communiquer sans délai avec l’ARC.

Captcha

Captcha a été mis en œuvre dans tous les portails de l’ARC pour aider à distinguer les utilisateurs humains des robots Web. Cette fonction de sécurité exige que les utilisateurs sélectionnent certaines images précises avant de leur accorder l’accès à nos services numériques.

Mesures que les contribuables peuvent prendre pour protéger leurs renseignements

Les Canadiens peuvent prendre un certain nombre de mesures pour améliorer leur cybersécurité. Pour réduire le risque d’être touchés par des incidents de fraude ou de vol d’identité, on invite fortement les Canadiens à :

1. éviter de réutiliser les mots de passe pour différents systèmes et applications.
2. utiliser des mots de passe différents pour les comptes de l’ARC et les autres comptes en ligne, et changer ces mots de passe régulièrement.
3. établir un numéro d’identification personnel (NIP) unique pour leur compte afin de s’identifier rapidement et de façon sécuritaire.
4. surveiller leurs comptes de l’ARC pour tout changement non demandé ou toute activité douteuse. 
5. vérifier que leurs renseignements personnels et d’entreprise sont à jour.

Signaler une activité suspecte dans votre compte

Si un contribuable remarque des changements non demandés dans son compte de l’ARC, ou pense que ses renseignements ont été compromis, il doit immédiatement le signaler à l’ARC. L’ARC déploiera rapidement des mesures de précaution, par exemple, en :

• verrouillant le compte pour empêcher les transactions
• en effectuant des examens approfondis
• en communiquant avec les personnes potentiellement touchées

Ressources

• Sécurité de votre compte du service Mon dossier et Mon dossier d’entreprise de l’Agence du revenu du Canada
• Protection des renseignements sur les contribuables
• La prévention des arnaques et l’Agence
• Alertes à l’arnaque – Agence du revenu du Canada