Arnaque Ameli et CAF : comment repérer les faux mails de remboursement

Tu reçois un mail d'Ameli t'informant d'un remboursement en attente de 312,80 euros ? Ou un SMS de la CAF te demandant de mettre à jour ton RIB ? Il y a de fortes chances que ce soit une arnaque. En 2025, la CNIL a enregistré une hausse de 67 % des signalements de phishing visant les organismes sociaux français. Et 2026 s'annonce pire.

Ce guide détaille les techniques des escrocs, les signaux à repérer, et les bons réflexes pour protéger tes données.

Pourquoi Ameli et la CAF sont des cibles parfaites

Les arnaqueurs ne choisissent pas ces organismes par hasard :

Facteur	Pourquoi ça marche
Universalité	Pratiquement tout le monde en France a un compte Ameli ou CAF
Argent attendu	Les remboursements et allocations créent une attente légitime
Complexité administrative	Les gens ne savent pas toujours comment fonctionne le système
Données sensibles	Numéro de Sécurité sociale, RIB, adresse : tout est exploitable
Confiance institutionnelle	On hésite moins à cliquer sur un mail "officiel"

Les 6 arnaques les plus courantes en 2026

1. Le faux remboursement Ameli

Le grand classique. Tu reçois un mail avec le logo Ameli te proposant un remboursement. Il suffit de "confirmer tes coordonnées bancaires" pour le recevoir.

Comment le repérer :

• L'adresse d'expédition n'est pas @assurance-maladie.fr — elle ressemble à ameli-remb@service-sante.com
• Le mail contient des fautes d'orthographe ou une mise en page approximative
• Ameli ne demande jamais tes coordonnées bancaires par mail
• Le vrai site est toujours ameli.fr — pas ameli-remboursement.fr

2. La mise à jour carte Vitale par SMS

"Votre carte Vitale arrive à expiration. Renouvelez-la ici : [lien]." Ce SMS circule massivement. Or la carte Vitale ne se renouvelle pas en ligne, et n'a pas de date d'expiration au sens traditionnel.

Le piège : Le lien mène à un faux site qui demande ton numéro de Sécurité sociale, ton adresse et tes coordonnées bancaires (soit-disant pour les frais de renouvellement de 0,99 euro).

3. L'arnaque CAF allocation en attente

Un mail imitant la CAF t'informe qu'une allocation n'a pas pu être versée car "vos coordonnées bancaires ne sont plus valides." On te demande de te connecter pour mettre à jour ton RIB.

Indices :

• La CAF envoie ses notifications via l'espace personnel caf.fr ou par courrier
• L'URL du lien ne pointe pas vers caf.fr mais vers un domaine suspect
• Le message crée une urgence artificielle : "Vous avez 48h pour régulariser"

4. Le faux appel CPAM

Des escrocs appellent en se faisant passer pour des agents de la CPAM. Ils prétendent vérifier ton dossier et demandent ton numéro de Sécurité sociale et ton RIB "pour confirmer ton identité."

Important : Un agent CPAM ne te demandera jamais ton RIB par téléphone. En cas de doute, raccroche et rappelle le 3646.

5. L'arnaque au trop-perçu CAF

Tu reçois un courrier (parfois physique) de la CAF t'informant d'un trop-perçu à rembourser immédiatement par virement. Le RIB fourni appartient bien sûr aux escrocs.

6. Le phishing FranceConnect

Avec la généralisation de FranceConnect pour accéder aux services publics, les escrocs créent de fausses pages de connexion imitant le portail. Une fois tes identifiants récupérés, ils accèdent à l'ensemble de tes comptes : Ameli, impôts, CAF.

Checklist anti-phishing

• Vérifier l'adresse de l'expéditeur (pas juste le nom affiché)
• Ne jamais cliquer sur un lien dans un mail — accéder directement à ameli.fr ou caf.fr
• Activer la double authentification sur les comptes FranceConnect
• Ne jamais communiquer son numéro de Sécurité sociale par mail ou téléphone
• Signaler les tentatives sur signal-spam.fr et cybermalveillance.gouv.fr
• Utiliser un service comme LOCK.PUB pour partager des documents sensibles (RIB, attestations) de manière chiffrée plutôt que par mail

Comment partager ses documents administratifs en toute sécurité

Le problème de fond, c'est qu'on envoie régulièrement des documents sensibles — RIB, attestations CPAM, avis d'imposition — par simple mail. Et c'est exactement ce comportement que les escrocs exploitent : ils imitent les processus auxquels on est habitués.

Quelques alternatives :

1. L'espace personnel officiel : toujours privilégier les messageries internes d'Ameli et de la CAF
2. Le chiffrement : pour envoyer un RIB à un particulier (propriétaire, employeur), utiliser un lien protégé par mot de passe via LOCK.PUB — le document n'est accessible que par la personne qui connaît le mot de passe
3. La vérification téléphonique : avant tout envoi, confirmer la demande par un autre canal

Que faire si tu es tombé dans le piège

Action	Délai
Changer immédiatement tes mots de passe Ameli/CAF	Dans l'heure
Contacter ta banque pour bloquer les prélèvements suspects	Le jour même
Déposer plainte sur pre-plainte-en-ligne.gouv.fr	Sous 48h
Signaler sur cybermalveillance.gouv.fr	Dès que possible
Surveiller tes comptes bancaires pendant 3 mois	En continu

Les arnaques évoluent, tes réflexes aussi

En 2026, les mails de phishing sont de plus en plus sophistiqués grâce à l'IA. Ils ne contiennent plus de fautes évidentes, imitent parfaitement la charte graphique officielle, et arrivent à des moments crédibles (juste après une consultation médicale, pendant la période de déclaration CAF).

Le seul réflexe vraiment fiable : ne jamais cliquer sur un lien reçu par mail ou SMS. Tape directement l'adresse du site dans ton navigateur.

Et pour les documents que tu dois partager (RIB, pièces d'identité, justificatifs), crée un lien chiffré sur LOCK.PUB avec un mot de passe que tu transmets par un autre canal. C'est gratuit, et ça évite que tes données circulent en clair dans des boîtes mail.

---

Reste vigilant. Les escrocs comptent sur ta confiance envers les institutions — ne leur donne pas cette satisfaction.