Un SMS des impôts vous annonce un remboursement de 230 euros. Un email de la CAF vous demande de « mettre à jour vos coordonnées bancaires ». Ces messages semblent officiels, mais ils constituent une arnaque au faux remboursement. En 2024, le phishing fiscal représente l’une des formes d’hameçonnage les plus répandues en France. Voici comment les reconnaître et quoi faire si vous en recevez un.
Arnaque au faux remboursement : les scénarios les plus courants
L’arnaque au faux remboursement imite les communications officielles des organismes publics. Elle exploite un réflexe universel : la perspective de récupérer de l’argent désactive la méfiance. En effet, recevoir un message sur un « remboursement en attente » crée une urgence émotionnelle qui court-circuite l’analyse critique. C’est précisément sur cette mécanique que misent les escrocs.
Les organismes les plus fréquemment usurpés sont la Direction Générale des Finances Publiques (impôts), la CAF, Ameli (Assurance Maladie) et l’URSSAF. Le message peut arriver par SMS, par email ou parfois par appel téléphonique. Le scénario type se déroule toujours selon le même schéma : on vous annonce un remboursement ou un trop-perçu, on vous demande de cliquer sur un lien, puis de saisir vos coordonnées bancaires pour « recevoir » la somme. En réalité, c’est votre RIB ou votre numéro de carte qui est transmis aux escrocs.
Plusieurs signaux permettent d’identifier un message frauduleux. Tout d’abord, vérifiez l’URL du lien : les sites officiels utilisent exclusivement des domaines en .gouv.fr. Ainsi, impots.gouv.fr est légitime, tandis que « impots-remboursement.fr » ou « dgfip-credit.com » sont des imposteurs. Ensuite, méfiez-vous du sentiment d’urgence : « cliquez dans les 48 heures » ou « votre remboursement expirera » sont des formulations typiques du phishing. Par ailleurs, les organismes officiels ne demandent jamais vos coordonnées bancaires complètes par SMS ou email.
La règle d’or du faux remboursement
Aucun organisme public français ne demande vos coordonnées bancaires par SMS ou email pour effectuer un remboursement. Si vous êtes effectivement attendu un remboursement, connectez-vous directement sur le site officiel en saisissant l’URL vous-même, sans cliquer sur aucun lien reçu.
Le calendrier des pics d’arnaques fiscales
Les attaques de phishing fiscal ne sont pas distribuées aléatoirement dans l’année. Elles suivent précisément le calendrier fiscal et social, car les escrocs savent que la crédibilité de leur message augmente quand les vrais organismes communiquent. Connaître ces périodes permet d’être particulièrement vigilant aux bons moments.
Les bons réflexes face à un message suspect
Face à un message qui vous annonce un remboursement inattendu, la première réaction doit être le doute systématique. Ne cliquez jamais sur un lien reçu par SMS ou email pour vous connecter à un compte administratif ou bancaire. Ouvrez plutôt votre navigateur et saisissez vous-même l’URL officielle de l’organisme concerné.
Pour vérifier l’authenticité d’un remboursement des impôts, connectez-vous directement sur impots.gouv.fr avec vos identifiants habituels. Pour la CAF, rendez-vous sur caf.fr. Pour Ameli, sur ameli.fr. Si un remboursement est réellement dû, il apparaîtra dans votre espace personnel. Dans le cas contraire, c’est la confirmation que le message reçu est frauduleux.
Par ailleurs, apprenez à inspecter les liens sans les ouvrir : sur un smartphone, maintenez votre doigt sur le lien pour afficher l’URL complète. Sur un ordinateur, survolez le lien sans cliquer pour voir l’adresse dans la barre d’état du navigateur. Un domaine suspect, même avec un design soigné, trahit l’arnaque. Enfin, les fautes d’orthographe, les formulations maladroites et la demande de saisir un numéro de carte bancaire complet sont des signaux clairs de phishing.
Signaler une tentative de phishing
Questions fréquentes
J’ai cliqué sur le lien et renseigné mes informations. Que faire ?
Agissez immédiatement. Si vous avez saisi des coordonnées bancaires, contactez votre banque pour faire opposition et bloquer les paiements suspects. Changez votre mot de passe sur le site officiel de l’organisme usurpé. Déposez plainte auprès de la police ou de la gendarmerie, ou signalez-le sur cybermalveillance.gouv.fr. Plus vous agissez vite, plus vous limitez les dégâts.
Les impôts envoient-ils vraiment des emails pour les remboursements ?
La DGFIP peut envoyer des emails de notification, mais ceux-ci vous invitent uniquement à consulter votre espace personnel sur impots.gouv.fr. Ils ne contiennent jamais de lien direct vers un formulaire de saisie bancaire, et ils ne demandent jamais vos identifiants ou coordonnées de carte. Tout email qui vous demande ces informations est frauduleux.
Comment expliquer à une personne âgée de ma famille comment reconnaître ces arnaques ?
Deux règles simples à retenir : premièrement, « les organismes officiels ne demandent jamais de coordonnées bancaires par SMS ou email ». Deuxièmement, « en cas de doute, on raccroche ou on ne clique pas, et on appelle directement le numéro officiel du service ». Ces deux principes, répétés régulièrement, constituent une protection efficace sans qu’il soit nécessaire de comprendre la technologie.
Sources : Cybermalveillance.gouv.fr ; impots.gouv.fr (page officielle signalement phishing) ; ameli.fr ; caf.fr ; Rapport d’activité Cybermalveillance 2024.