Vous recevez un appel téléphonique. Le numéro affiché sur votre écran est celui de votre banque — vous le reconnaissez, vous l'avez même enregistré dans vos contacts. Une voix professionnelle vous informe que des transactions suspectes ont été détectées sur votre compte. Elle vous demande de confirmer votre identité et de lui communiquer le code reçu par SMS pour "sécuriser" votre compte. Vous obéissez. Quelques minutes plus tard, plusieurs milliers d'euros ont disparu de votre compte.

Ce scénario n'est pas exceptionnel. L'arnaque au faux conseiller bancaire — aussi appelée vishing (voice phishing) — est l'une des fraudes à la progression la plus rapide en France. Selon la Banque de France et l'Observatoire de la sécurité des moyens de paiement, les virements frauduleux initiés par des victimes manipulées représentent des centaines de millions d'euros de pertes chaque année. Ce guide vous explique précisément comment fonctionne cette arnaque, comment la détecter en temps réel, et quels sont vos droits pour vous faire rembourser si vous en avez été victime.

Comment fonctionne l'arnaque : le script des escrocs

Les fraudeurs qui pratiquent le vishing ont développé des scripts très élaborés, rodés et adaptés aux objections courantes. Comprendre exactement comment se déroule l'arnaque est le meilleur moyen de la reconnaître au moment où elle se produit.

Acte 1 : l'appel entrant avec usurpation du numéro

L'appel arrive sur votre téléphone. Le numéro affiché correspond exactement au numéro officiel de votre banque — celui indiqué au dos de votre carte bancaire ou sur le site de votre banque. C'est possible grâce à une technique appelée spoofing (usurpation d'identité de numéro), qui permet d'afficher n'importe quel numéro sur l'écran de l'appelé sans être réellement ce numéro. Cette technique est illégale mais techniquement accessible et peu coûteuse pour les escrocs.

Acte 2 : l'urgence et la mise en confiance

L'escroc se présente comme un conseiller du service fraude ou sécurité de votre banque. Son ton est professionnel, calme et rassurant. Il vous annonce que des transactions suspectes ont été détectées sur votre compte : un virement non autorisé de 2 300 €, un paiement en ligne depuis l'étranger, une tentative d'accès à votre espace client depuis un appareil inconnu. L'information est suffisamment précise pour être crédible — les escrocs ont parfois accès à des données issues de fuites de données (vos coordonnées, votre banque, parfois les dernières 4 chiffres de votre carte).

Acte 3 : la collecte d'informations et le piège

Pour "sécuriser" votre compte et "bloquer" la fraude, le faux conseiller vous demande :

  • De confirmer votre identité (nom, date de naissance, adresse)
  • De lui communiquer le code de vérification reçu par SMS sur votre téléphone "pour valider votre identité"
  • Parfois, votre numéro complet de carte bancaire et son code CVV pour "bloquer" la carte
  • Dans certaines variantes, d'installer une application de "prise en main à distance" pour que le conseiller puisse "sécuriser" votre compte depuis son côté

Le code reçu par SMS est en réalité un code d'autorisation pour valider une opération — un virement vers un compte contrôlé par l'escroc, ou l'ajout d'un bénéficiaire de virement, ou la modification des paramètres de sécurité de votre compte. En vous le dictant, vous autorisez vous-même l'opération frauduleuse.

Acte 4 : l'escalade (dans les variantes avancées)

Certaines versions de l'arnaque impliquent plusieurs appels successifs, parfois sur plusieurs jours. Le premier appel pose les bases (identité, crédibilité). Un second appel, prétendument du service judiciaire de la banque ou de la police, demande à la victime de "coopérer" en effectuant elle-même des virements vers des "comptes sécurisés" pour "protéger ses fonds pendant l'enquête". Des victimes ont ainsi transféré l'intégralité de leurs économies.

La règle d'or : ce que votre banque ne vous demandera JAMAIS

Cette liste est à mémoriser et à partager. Quelle que soit la situation, quel que soit le prétexte invoqué, aucune banque française ne demandera jamais :

  • Votre code PIN (code secret de votre carte)
  • Votre code d'accès à votre espace client en ligne
  • Le code de sécurité à 3 chiffres au dos de votre carte (CVV/CVC)
  • Un code reçu par SMS (ce code est destiné à authentifier une opération initiée par vous — jamais par la banque)
  • D'installer une application sur votre téléphone ou votre ordinateur à distance
  • D'effectuer un virement de test ou de "sécurisation" vers un autre compte
  • D'aller retirer de l'argent et de le remettre à un "coursier" de la banque

Si l'une de ces demandes est formulée, raccrochez immédiatement. Ce n'est pas votre banque.

Comment réagir en temps réel si vous recevez cet appel

Raccrochez. Ne vous sentez pas impoli ou paranoïaque. Raccrochez, attendez quelques secondes (certains escrocs maintiennent la ligne ouverte côté serveur pour simuler un nouveau "vrai" appel), puis appelez vous-même votre banque en composant le numéro inscrit au dos de votre carte bancaire. Expliquez la situation à un vrai conseiller.

Si vous êtes en plein appel et que vous avez un doute, dites à votre interlocuteur : "Je vous rappelle dans 5 minutes sur le numéro officiel de la banque." Un vrai conseiller bancaire n'aura aucune objection. Un escroc tentera de vous dissuader ou de créer une urgence supplémentaire.

Vous avez été victime : vos droits et les démarches

Les deux types de fraude et leurs conséquences sur le remboursement

Tous les cas de vishing ne sont pas traités de la même façon par les banques. Il faut distinguer deux situations :

Situation 1 — Transaction non autorisée : l'escroc a utilisé vos données bancaires pour effectuer lui-même un paiement ou un virement à votre insu, sans que vous ayez validé l'opération. Dans ce cas, l'article L. 133-18 du Code monétaire et financier impose à votre banque de vous rembourser "immédiatement" les sommes débitées. La seule exception : si la banque prouve que vous avez agi avec négligence grave — ce qui est à elle de démontrer, pas à vous de réfuter.

Situation 2 — Virement autorisé par vous (opération dite "consentie") : vous avez vous-même validé l'opération, convaincu par l'escroc. Dans ce cas, la situation est plus complexe. La jurisprudence et les décisions du médiateur bancaire reconnaissent de plus en plus que la manipulation psychologique peut vicier le consentement — notamment depuis l'arrêt de la Cour de cassation du 21 novembre 2023 qui a reconnu que la fraude au virement autorisé pouvait ouvrir droit à remboursement si la banque n'a pas respecté ses obligations de vigilance. Mais le remboursement n'est pas automatique et dépend de chaque dossier.

Les démarches à suivre immédiatement

  1. Appelez votre banque en utilisant le numéro au dos de votre carte. Demandez le blocage immédiat de votre carte et de votre espace client en ligne. Demandez l'opposition sur les virements sortants si possible.
  2. Déposez plainte à la gendarmerie ou au commissariat, ou en ligne sur pre-plainte-en-ligne.gouv.fr. Récupérez un récépissé de plainte — il vous sera demandé par votre banque.
  3. Envoyez un courrier recommandé à votre banque en réclamant le remboursement des sommes débitées frauduleusement, en vous appuyant sur l'article L. 133-18 (opération non autorisée) ou en exposant les faits de manipulation (opération autorisée sous contrainte).
  4. Signalez la fraude sur cybermalveillance.gouv.fr.

Si votre banque refuse de vous rembourser

En cas de refus ou de désaccord avec votre banque, vous disposez de deux recours :

  • Le médiateur bancaire : chaque banque est tenue d'avoir un médiateur indépendant. Sa saisine est gratuite, obligatoire avant tout recours judiciaire, et sa décision — bien que non contraignante — est très souvent suivie par les banques. Les coordonnées du médiateur figurent sur votre contrat de compte ou sur le site de votre banque.
  • Le médiateur de l'AMF (Autorité des Marchés Financiers) si des produits financiers sont impliqués.
  • Le tribunal judiciaire : en dernier recours, une action en justice. Pour les montants importants, l'assistance d'un avocat spécialisé en droit bancaire est recommandée.

Les variantes les plus répandues en 2026

L'arnaque au faux policier ou magistrat

La même technique, avec un interlocuteur se présentant comme un officier de police judiciaire ou un magistrat. Il vous informe que votre compte a été "utilisé par un réseau criminel" et que vous devez "coopérer" en déplaçant vos fonds vers un "compte sécurisé" ou en remettant de l'argent liquide à un "agent". Les forces de l'ordre ne demandent jamais cela. Jamais.

L'arnaque au faux support informatique

Un appel (ou une popup sur votre écran) prétend que votre ordinateur est infecté et que vous devez appeler un numéro d'urgence. Le "technicien" vous demande d'installer un logiciel de prise en main à distance (TeamViewer, AnyDesk…) pour "nettoyer" votre ordinateur. Il accède alors à vos fichiers, vos mots de passe enregistrés, et parfois directement à votre espace bancaire en ligne ouvert dans votre navigateur. Raccrochez et éteignez votre ordinateur.

Le double appel (la confirmation de sécurité)

Après un premier contact par SMS frauduleux, un "conseiller" rappelle pour "confirmer" votre identité et "annuler" l'opération frauduleuse décrite dans le SMS. La victime, déjà alarmée par le SMS, est plus vulnérable et coopère.

Comment protéger vos proches les plus vulnérables

Les personnes âgées sont les cibles prioritaires de ces escroqueries — non par manque d'intelligence, mais parce qu'elles sont souvent plus isolées, moins familières des mécanismes de fraude numérique, et disposent parfois d'une épargne importante. Quelques actions concrètes pour protéger vos proches :

  • Partagez ce guide avec eux et expliquez la règle des codes SMS (que l'on ne communique jamais)
  • Invitez-les à rappeler systématiquement sur le numéro officiel de la banque avant toute action
  • Suggérez-leur d'activer un plafond de virement bas en dehors des opérations habituelles
  • Certaines banques proposent un "service de tutelle légère" ou une surveillance renforcée pour les personnes âgées : renseignez-vous auprès de leur agence

Le cadre légal et les initiatives anti-fraude

Face à l'ampleur du phénomène, des mesures ont été prises :

  • La loi du 29 novembre 2021 a renforcé les obligations des opérateurs télécom pour lutter contre le spoofing. Les opérateurs sont désormais tenus de bloquer les appels dont le numéro affiché ne correspond pas à l'opérateur d'origine. Des progrès ont été réalisés mais le problème n'est pas éradiqué.
  • L'ACPR (Autorité de Contrôle Prudentiel et de Résolution) publie des alertes régulières sur les organismes et numéros usurpés : consultez la liste noire sur acpr.banque-france.fr.
  • Le dispositif Perceval (sur le site de la gendarmerie nationale) permet de signaler une utilisation frauduleuse de vos coordonnées bancaires en ligne : accéder à Perceval.

Conclusion

L'arnaque au faux conseiller bancaire est redoutable parce qu'elle exploite la confiance institutionnelle — celle que nous accordons naturellement à notre banque — et crée une urgence qui paralyse le jugement critique. La protection la plus efficace reste la connaissance de cette règle absolue : aucun code reçu par SMS ne doit être communiqué à qui que ce soit, pas même à quelqu'un qui prétend être votre banque. Si vous recevez un appel suspect, raccrochez et appelez vous-même votre banque. Trente secondes de prudence peuvent vous faire économiser plusieurs années d'épargne.