Vous avez reçu un SMS semblant provenir de votre banque, vous avez cliqué sur le lien et vous réalisez maintenant qu'il s'agissait d'une arnaque. Ne paniquez pas : chaque minute compte, mais des recours existent.

Les montants de fraude par virement liés au smishing atteignent 230 millions d'euros sur le premier semestre 2025, avec une hausse de 44 % et un montant unitaire moyen de 2 104 euros.

Vous n'êtes pas seul et vous n'êtes pas sans droits. Voici les étapes à suivre immédiatement et les recours disponibles pour obtenir remboursement.

Qu'est-ce que le smishing ou phishing par SMS ?

Le smishing est la contraction de SMS et phishing : il désigne les arnaques par message texte.

Le principe est simple : un cybercriminel envoie un message texte en se faisant passer pour un organisme de confiance (banque, service de livraison, administration, opérateur téléphonique) afin de pousser le destinataire à cliquer sur un lien, rappeler un numéro ou transmettre des informations sensibles.

Le smishing ne doit pas être confondu avec le phishing classique qui passe par email, ni avec le vishing qui repose sur un appel vocal.

En pratique, ces trois méthodes se combinent de plus en plus souvent : un SMS frauduleux peut déclencher un appel de faux conseiller bancaire quelques minutes plus tard.

Comment ces SMS sont-ils conçus pour tromper ?

Les campagnes de smishing 2025 s'appuient sur des scénarios progressifs : un message anodin lié à un colis ou un rendez-vous, puis une fausse notification de livraison, puis un lien vers une page qui, après un captcha, redirige vers un site bancaire frauduleux.

Les escrocs utilisent des techniques sophistiquées pour rendre leurs SMS indétectables :

• Le spoofing : le SMS s'affiche avec le même nom d'expéditeur que votre banque et s'intègre dans votre fil de discussion officiel existant ce qui le rend visuellement identique à un vrai SMS bancaire.

  
  

• L'urgence et la peur : "votre compte sera bloqué dans 24h", "transaction suspecte détectée", "validez immédiatement votre identité" : des formulations conçues pour court-circuiter votre réflexion.

  
  

• La réplication parfaite : la page vers laquelle vous êtes redirigé imite à la perfection le site officiel de votre banque : logo, couleurs, interface, jusqu'aux mentions légales.

  
  

Les données de Cybermalveillance.gouv.fr ne laissent pas de place au doute : l'hameçonnage toutes formes confondues reste la menace numéro 1 en France, tous publics confondus, avec 108 000 demandes d'assistance en 2025.

J'ai cliqué sur le lien : que s'est-il passé exactement ?

Selon ce que vous avez fait après avoir cliqué, le niveau de risque varie. Il est important d'identifier précisément votre situation pour adapter votre réaction.

Si vous avez seulement cliqué sans rien saisir

Le simple clic peut avoir installé un malware sur votre téléphone : un logiciel malveillant capable de récupérer vos données bancaires, mots de passe et informations personnelles à votre insu. Le risque est réel mais limité si vous agissez rapidement.

Si vous avez saisi vos identifiants bancaires

Vos identifiants sont désormais entre les mains des escrocs. Ils peuvent se connecter à votre espace bancaire, modifier vos informations, ajouter des bénéficiaires et effectuer des virements. Le risque est élevé et chaque minute compte.

Si vous avez saisi vos coordonnées de carte bancaire

Numéro de carte, date d'expiration, cryptogramme : ces données permettent d'effectuer des achats en ligne et des paiements à distance immédiatement. L'opposition sur votre carte est urgente.

Si vous avez validé un code reçu par SMS

C'est le scénario le plus grave. En validant ce code (qui était en réalité un code d'authentification forte pour un virement ou un ajout de bénéficiaire) vous avez involontairement autorisé une opération frauduleuse. Des fonds ont peut-être déjà quitté votre compte.

Les actions à effectuer dans les premières minutes

Agissez immédiatement : déconnectez-vous de tout compte bancaire ouvert, changez vos mots de passe, contactez votre banque pour bloquer vos cartes, puis déposez une plainte auprès de la gendarmerie ou de la police.

Voici la séquence d'actions à respecter dans l'ordre :

1. Déconnectez-vous et ne touchez plus à rien

Fermez immédiatement la page frauduleuse si elle est encore ouverte. Ne saisissez plus aucune information. Ne rappellez pas un éventuel numéro affiché sur la page : il s'agit probablement d'un faux numéro de banque.

2. Mettez votre téléphone en mode avion

Cette action coupe immédiatement toutes les connexions réseau et peut interrompre la transmission de données à des serveurs frauduleux si un malware a été installé.

3. Appelez votre banque en urgence

Contactez immédiatement votre service bancaire via le numéro d'urgence indiqué sur le site officiel ou au dos de votre carte. Demandez :

• l'opposition immédiate sur votre carte bancaire ;

• le blocage temporaire de votre espace en ligne ;

• la surveillance renforcée de tous les mouvements sur votre compte ;

• le signalement de toute opération suspecte déjà effectuée.

  
  

Vous pouvez également faire opposition via le service interbancaire d'urgence au 0 892 705 705, ouvert 7 jours sur 7 et 24 heures sur 24. Notez le nom de votre interlocuteur, le numéro de dossier ouvert et l'heure exacte de votre appel : ces informations seront utiles pour votre dossier de remboursement.

4. Changez tous vos mots de passe

Depuis un autre appareil (ordinateur ou téléphone non compromis) changez immédiatement vos mots de passe bancaires, ainsi que tous les mots de passe des comptes utilisant les mêmes identifiants. Activez la double authentification partout où elle est disponible.

5. Conservez toutes les preuves

Faites des captures d'écran du SMS reçu, de la page frauduleuse si vous l'avez encore ouverte, des opérations apparaissant sur votre relevé bancaire. Notez l'heure exacte à laquelle vous avez reçu le SMS et cliqué. Ces éléments sont indispensables pour votre plainte et votre dossier de remboursement.

Signalez la fraude aux autorités compétentes

Plusieurs signalements doivent être effectués en parallèle de vos démarches auprès de votre banque :

Signalez le SMS au 33700

Le 33700 est le numéro dédié au signalement des SMS et appels frauduleux en France. Transférez simplement le SMS frauduleux à ce numéro : c'est gratuit et permet aux opérateurs d'identifier et de bloquer les campagnes de smishing en cours.

Signalez sur Cybermalveillance.gouv.fr

La plateforme gouvernementale Cybermalveillance.gouv.fr centralise les signalements de fraudes en ligne et vous oriente vers les démarches adaptées à votre situation. Elle fournit également des conseils techniques pour sécuriser votre appareil.

Signalez sur Phishing Initiative

La plateforme phishing-initiative.fr permet de signaler les URLs frauduleuses pour qu'elles soient rapidement bloquées par les navigateurs protégeant ainsi d'autres victimes potentielles.

Déposez plainte

Déposez plainte au commissariat de police à la brigade de gendarmerie ou par le biais d'un avocat. Conservez tout élément utile pour signaler les faits et déposez plainte. Le récépissé de plainte est une pièce fondamentale pour appuyer votre demande de remboursement auprès de votre banque.

Votre banque est-elle obligée de vous rembourser ?

C'est la question que toutes les victimes de smishing se posent et la réponse est favorable dans la grande majorité des cas.

Le cadre légal protecteur

L'article L.133-18 du Code monétaire et financier impose à votre banque de rembourser immédiatement les opérations de paiement non autorisées. Le SMS frauduleux et la page imitant votre banque constituent une manipulation externe sophistiquée pas une négligence de votre part.

La jurisprudence favorable aux victimes de smishing

Dans la majorité des cas, les établissements bancaires remboursent les transactions non autorisées, surtout si la victime agit rapidement. La jurisprudence récente renforce cette protection. Le spoofing (qui permet aux escrocs d'intégrer leurs SMS frauduleux dans le fil de discussion officiel de la banque) est reconnu par les tribunaux comme une technique suffisamment sophistiquée pour ne pas pouvoir être imputée à la négligence de la victime.

Quand le remboursement peut être refusé

Votre banque peut tenter de refuser le remboursement en invoquant votre "négligence grave" notamment si vous avez transmis un code d'authentification forte. Toutefois, le remboursement n'est pas automatique : il dépend de l'enquête menée par la banque. Si votre banque refuse, ne renoncez pas : des recours existent.

Que faire si votre banque refuse de vous rembourser ?

Un refus de remboursement de votre banque n'est jamais définitif. Trois voies de recours s'ouvrent à vous :

La réclamation écrite formelle

Adressez à votre banque un courrier recommandé avec accusé de réception contestant formellement le refus, en citant l'article L.133-18 du Code monétaire et financier et les arrêts récents favorables aux victimes de smishing. Joignez votre récépissé de plainte et toutes les preuves de la manipulation dont vous avez été victime.

Le médiateur bancaire

Si la banque maintient son refus dans un délai de deux mois, saisissez le médiateur bancaire qui est gratuit et indépendant. Il rend son avis dans un délai de 90 jours. Depuis 2025, les banques suivent ses recommandations dans plus de 70 % des cas.

L'action en justice

Si la médiation échoue, le tribunal judiciaire peut être saisi pour contraindre votre banque à rembourser. La jurisprudence récente est très favorable aux victimes de smishing dont la manipulation était suffisamment sophistiquée pour tromper une personne normalement vigilante.

Comment sécuriser votre téléphone après une attaque de smishing ?

Une fois les démarches d'urgence effectuées, votre appareil doit être sécurisé :

• Effectuez une analyse complète de votre téléphone avec un antivirus à jour.

• Vérifiez les applications installées et supprimez toute application inconnue ou suspecte.

• Si vous avez des doutes sur l'intégrité de votre appareil, une réinitialisation complète aux paramètres d'usine est la solution la plus sûre après sauvegarde de vos données importantes.

• Ne réutilisez jamais les mots de passe compromis, même sur d'autres sites.

• Activez les notifications en temps réel de votre banque pour surveiller toute opération suspecte future.

  
  

La règle d'or pour l'avenir : aucune banque ne demande jamais de cliquer sur un lien par SMS

Votre banque ne vous demandera jamais de cliquer sur un lien dans un SMS pour accéder à votre espace client ou modifier vos informations. Si vous recevez un tel message à l'avenir, quelle que soit son apparence :

• Ne cliquez jamais sur le lien.

• Accédez à votre espace bancaire en tapant vous-même l'adresse officielle dans votre navigateur.

• Rappelez votre banque sur le numéro figurant au dos de votre carte ou sur votre relevé officiel.

• Transférez le SMS suspect au 33700.

  
  

Victime d'un faux SMS bancaire à Toulouse ou partout en France ? Le Cabinet Morer défend vos droits.

Votre banque refuse de vous rembourser après une arnaque par SMS ? Maître Joris Morer, avocat pénaliste au barreau de Toulouse, intervient pour contester les refus de remboursement bancaires, déposer les plaintes et défendre les droits des victimes de fraudes en ligne partout en France.

Contactez le Cabinet Morer sans attendre : par téléphone au 06.23.36.88.03, par courriel à cabinet@morer-avocat.com ou via le formulaire de contact sur morer-avocat.com.