Le phishing bancaire vise à vous soutirer identifiants, codes ou virements en se faisant passer pour votre banque. Il prend la forme de SMS, d'e-mails ou d'appels de faux conseillers. Un réflexe protège de presque tout : ne jamais communiquer un code ni valider une opération à la demande d'un tiers.
Le phishing bancaire, ou hameçonnage, est une tentative d'escroquerie où un fraudeur usurpe l'identité de votre banque pour vous pousser à livrer vos données confidentielles ou à valider un paiement. En 2026, c'est la cybermenace numéro un pour les particuliers : cybermalveillance.gouv.fr observe une forte hausse des campagnes par SMS, e-mail et appels, de plus en plus personnalisées. La fraude au faux conseiller bancaire, en particulier, progresse fortement, portée par le « spoofing » qui permet d'afficher le vrai numéro de votre banque sur votre écran. Les escrocs jouent sur l'urgence et la confiance pour court-circuiter votre vigilance. Bonne nouvelle : ces attaques reposent toujours sur les mêmes ressorts, et quelques signaux concrets suffisent à les démasquer. Ce guide vous apprend à les repérer, à réagir si vous avez cliqué, et à faire valoir votre droit au remboursement.
Qu'est-ce que le phishing bancaire ?
Le phishing bancaire désigne toute manœuvre par laquelle un escroc se fait passer pour votre établissement afin d'obtenir vos informations sensibles : identifiants de connexion, numéro et code de carte, code reçu par SMS, ou validation d'une opération dans votre application.
Le but final est toujours le même : vider votre compte, réaliser des virements ou usurper votre identité. Le canal, lui, varie. On parle de smishing pour le SMS, de vishing ou fraude au faux conseiller pour l'appel téléphonique, et de phishing classique pour l'e-mail.
Ces attaques ne reposent pas sur du piratage technique sophistiqué, mais sur la manipulation psychologique. L'escroc crée un climat d'urgence et de peur, puis vous guide pas à pas vers le geste qui le servira. Comprendre ce mécanisme est votre meilleure défense, comme le rappelle notre guide de la sécurité numérique.
Les 12 signaux d'alerte d'une arnaque
La plupart des tentatives de phishing trahissent leur nature par un ou plusieurs de ces signaux. En présence de l'un d'eux, considérez le message ou l'appel comme suspect.
- L'urgence — « Votre compte va être bloqué », « réagissez sous 24 h » : la précipitation empêche de réfléchir.
- La demande d'un code — Un code reçu par SMS sert à valider une opération, jamais à l'annuler. Personne de légitime ne vous le demande.
- La demande de votre mot de passe — Votre banque ne connaît pas et ne demande jamais votre mot de passe ou votre code de carte.
- Un lien à cliquer — Les vrais messages de votre banque ne vous renvoient pas vers un formulaire de saisie d'identifiants par lien.
- Une adresse ou un domaine douteux — Fautes dans le nom de domaine, extension étrange, sous-domaines à rallonge.
- Des fautes d'orthographe — Tournures maladroites, accents manquants, mise en page approximative.
- Une formule de politesse impersonnelle — « Cher client » au lieu de votre nom.
- Une menace ou une promesse — Amende, remboursement inattendu, gain : tout ce qui pousse à agir vite.
- Une demande de virement « de sécurité » — Aucun virement ne « protège » votre argent ; il le transfère à l'escroc.
- L'envoi d'une coursier ou la remise de carte — Votre banque ne récupère jamais votre carte par coursier.
- Un appel non sollicité prétendant venir de votre banque — Même si le numéro affiché paraît juste (spoofing).
- Une pièce jointe inattendue — Facture, formulaire ou « justificatif » à ouvrir : porte d'entrée d'un logiciel malveillant.
Jamais un conseiller bancaire, un service de fraude ou la police ne vous demandera de communiquer un code de confirmation, votre mot de passe ou le code de votre carte, ni de valider une opération dans votre application. Le mécanisme d'authentification ne sert jamais à « bloquer » ou « annuler » une fraude : il autorise une opération. Si on vous le demande, c'est une arnaque.
SMS et e-mails frauduleux (smishing et phishing)
Le SMS frauduleux, ou smishing, imite une alerte bancaire, une livraison de colis, une amende ou un remboursement d'impôt. Il contient presque toujours un lien menant vers un faux site qui reproduit fidèlement la page de connexion de votre banque.
Le réflexe : ne cliquez jamais sur le lien. Ouvrez vous-même votre application bancaire ou tapez l'adresse officielle dans votre navigateur. Vérifiez l'adresse exacte du site avant toute saisie, et la présence du cadenas (https) — sachant qu'un faux site peut lui aussi afficher un cadenas.
L'e-mail de phishing suit la même logique. Avant de cliquer, survolez le lien pour afficher sa véritable destination, et examinez l'adresse complète de l'expéditeur, pas seulement le nom affiché. Au moindre doute, contactez votre banque par un canal officiel, comme depuis votre espace Boursorama, Crédit Agricole ou PayPal.
Le faux conseiller au téléphone (vishing et spoofing)
C'est la fraude qui progresse le plus fortement. Un escroc vous appelle en se présentant comme un conseiller du service anti-fraude de votre banque. Grâce au spoofing, le numéro affiché sur votre téléphone peut être celui de votre agence ou le numéro officiel de votre banque, ce qui renforce votre confiance.
Le scénario est rodé : il prétend avoir détecté des opérations suspectes et vous demande de « confirmer », « annuler » ou « sécuriser » en urgence. Concrètement, il vous fait dicter un code reçu par SMS ou valider une notification dans votre application. Ces gestes autorisent en réalité un virement ou l'ajout d'un bénéficiaire au profit de l'escroc.
Le faux conseiller paraît courtois, connaît votre nom, parfois vos dernières opérations, et peut même vous rappeler de « ne jamais communiquer vos codes » pour vous mettre en confiance. Ne vous y fiez pas.
Raccrochez. Ne validez rien et ne communiquez aucun code. Attendez quelques minutes que la ligne se libère, puis rappelez vous-même votre banque au numéro figurant au dos de votre carte ou sur votre contrat. Vous confirmerez ainsi, par un canal sûr, s'il existe une véritable alerte sur votre compte.
Que faire si vous avez cliqué ou communiqué vos identifiants
Si vous avez saisi vos identifiants, donné un code ou validé une opération, agissez sans attendre. Chaque minute compte pour limiter les pertes.
- Contactez votre banque immédiatement — Faites opposition, demandez le blocage de votre carte et de vos accès, et signalez l'opération frauduleuse.
- Changez vos mots de passe — Modifiez celui de votre banque et, surtout, celui de votre messagerie, souvent visée pour intercepter les codes. N'utilisez pas le même partout.
- Surveillez vos comptes — Vérifiez vos opérations récentes et contestez par écrit toute transaction que vous n'avez pas réalisée.
- Conservez toutes les preuves — Gardez les SMS, e-mails, numéros d'appel et captures d'écran : ils seront utiles pour la plainte et le remboursement.
- Déposez plainte — Rendez-vous au commissariat ou à la gendarmerie. Pour une fraude à la carte, vous pouvez aussi utiliser le service en ligne Perceval.
- Signalez l'arnaque — Décrivez les faits sur cybermalveillance.gouv.fr ou via 17Cyber pour être orienté et alerter les autorités.
Signaler et se faire rembourser
Le signalement aide à protéger d'autres victimes et à faire tomber les infrastructures frauduleuses. Selon le canal de l'attaque :
- SMS frauduleux : transférez-le au 33700, gratuit chez les principaux opérateurs.
- E-mail de phishing : signalez-le sur Signal Spam (signal-spam.fr).
- Faux site internet : signalez-le à Pharos sur internet-signalement.gouv.fr.
- Fraude à la carte bancaire : déclarez-la via Perceval sur service-public.fr.
Côté remboursement, la loi vous protège fortement. Pour une opération de paiement non autorisée que vous avez signalée, votre banque doit en principe vous rembourser immédiatement, au plus tard à la fin du premier jour ouvré suivant (article L133-18 du Code monétaire et financier). Vous disposez d'un délai maximal de 13 mois à compter du débit pour contester une opération réalisée dans l'Espace économique européen.
La banque ne peut refuser le remboursement qu'en prouvant une négligence grave de votre part — et cette preuve lui incombe. Point essentiel pour les victimes de faux conseiller : par son arrêt du 23 octobre 2024, la Cour de cassation a jugé que le fait d'avoir été mis en confiance par un escroc (numéro usurpé, manipulation) ne constitue pas, à lui seul, une négligence grave. Cette jurisprudence a été confirmée par plusieurs cours d'appel en 2025.
Si votre banque refuse de vous rembourser, adressez-lui une réclamation écrite (lettre recommandée). En l'absence de réponse satisfaisante, saisissez gratuitement le médiateur de votre banque, puis, si besoin, l'ABE Info Service. Vous pouvez aussi vous appuyer sur l'avis de la Banque de France. Conservez l'ensemble de vos échanges et preuves tout au long de la procédure.
Pour aller plus loin sur la protection de vos comptes en ligne, consultez notre guide de la banque en ligne et nos conseils de sécurité numérique.
Sources et références
- Que faire en cas de phishing ou hameçonnage ? — cybermalveillance.gouv.fr
- Fraude au faux conseiller bancaire — cybermalveillance.gouv.fr
- Fraude à la carte bancaire — service-public.gouv.fr
- Contestation et responsabilité en cas d'opération non autorisée (L133-18) — Légifrance
- Fraude aux moyens de paiement — Banque de France
Questions fréquentes
Comment reconnaître un faux conseiller bancaire au téléphone ?
Un faux conseiller crée un sentiment d'urgence, prétend détecter une fraude et vous demande d'agir vite. Il connaît souvent votre nom et le numéro affiché peut être celui de votre banque, grâce au spoofing. Le signal qui ne trompe pas : il vous demande un code reçu par SMS, votre mot de passe ou de valider une opération dans votre application. Jamais un vrai conseiller ne procède ainsi. Raccrochez et rappelez votre banque par le numéro figurant au dos de votre carte.
Mon argent est-il remboursé si j'ai été victime de phishing bancaire ?
Pour une opération que vous n'avez pas autorisée, votre banque doit en principe vous rembourser immédiatement, au plus tard à la fin du premier jour ouvré suivant votre signalement (article L133-18 du Code monétaire et financier). Elle ne peut refuser qu'en prouvant une négligence grave de votre part. Depuis l'arrêt de la Cour de cassation du 23 octobre 2024, le simple fait d'avoir été manipulé par un faux conseiller ne constitue pas, à lui seul, une négligence grave.
Combien de temps ai-je pour contester une opération frauduleuse ?
Vous devez signaler l'opération sans tarder dès que vous la découvrez. La loi fixe un délai maximal de 13 mois à compter de la date de débit pour une opération réalisée dans l'Espace économique européen (article L133-24 du Code monétaire et financier). Passé ce délai, la contestation n'est plus recevable. Agissez donc le plus vite possible et faites opposition auprès de votre banque dès le moindre doute.
Où signaler un SMS ou un e-mail de phishing bancaire ?
Pour un SMS frauduleux, transférez-le gratuitement au 33700, le service officiel de signalement géré avec les opérateurs. Pour un e-mail, signalez-le sur la plateforme Signal Spam (signal-spam.fr). Pour un faux site internet, utilisez Pharos sur internet-signalement.gouv.fr. Vous pouvez aussi décrire l'arnaque sur cybermalveillance.gouv.fr ou via 17Cyber, qui vous orientent vers les bons interlocuteurs et la marche à suivre.
Que faire si j'ai cliqué sur un lien et donné mes identifiants ?
Agissez immédiatement. Contactez votre banque pour faire opposition et faire bloquer votre carte et vos accès. Modifiez les mots de passe concernés, notamment celui de votre messagerie. Surveillez vos comptes et signalez toute opération suspecte. Conservez les preuves : SMS, e-mails, captures d'écran. Déposez plainte au commissariat ou à la gendarmerie, et signalez l'arnaque sur cybermalveillance.gouv.fr. Plus vous réagissez vite, plus vous limitez les dégâts.
Articles similaires
Sécurité numérique : protéger ses comptes
Guide de sécurité numérique pour protéger ses comptes : mots de passe, double authentification, phishing, fraude bancaire et recours en cas de piratage.
Banque en ligne en 2026 : guide complet
Comprendre la banque en ligne en 2026 : néobanques, frais, ouverture de compte, sécurité DSP2, garantie des dépôts de 100 000 € et mobilité bancaire.