Arnaque à la carte Vitale : cette escroquerie redoutable fait des milliers de victimes

Depuis le début de l'année 2026, une vague d'arnaques d'une ampleur inédite frappe les assurés sociaux français. Des e-mails et SMS frauduleux, imitant à la perfection les communications officielles de l'Assurance maladie, promettent l'envoi d'une prétendue « carte Vitale 2026 ». L'objectif des escrocs : dérober les coordonnées bancaires et les données personnelles de leurs victimes. La Caisse nationale de l'Assurance Maladie a tiré la sonnette d'alarme face à cette campagne de phishing d'envergure nationale.

Le scénario est rodé. Un e-mail, reprenant les codes visuels officiels d'Ameli — logo, couleurs, mise en page soignée —, atterrit dans votre boîte de réception. « Votre carte Vitale 2026 est prête à être expédiée », annonce le message. L'expéditeur affiché, « contact@ameli.com », semble parfaitement légitime. Sauf qu'il s'agit d'un leurre particulièrement sophistiqué.

Le faux courriel invite le destinataire à cliquer sur un lien pour renseigner ses coordonnées postales et, surtout, ses informations bancaires, sous prétexte de couvrir de supposés frais d'expédition. Depuis le 5 janvier 2026, plus de 200 signalements ont été recensés sur la plateforme gouvernementale Cybermalveillance.gouv.fr. « Il s'agit d'une campagne de phishing d'ampleur nationale », a confirmé la Caisse nationale de l'Assurance Maladie dans un communiqué du 19 janvier dernier.

Des messages de plus en plus difficiles à distinguer des vrais

Ce qui rend cette arnaque particulièrement redoutable, c'est son niveau de sophistication. Contrairement aux tentatives de phishing grossières des années précédentes, truffées de fautes d'orthographe et de mises en page approximatives, ces nouveaux messages sont quasi irréprochables. Les experts en cybersécurité y voient une conséquence directe de la fuite de données massive de février 2024, lorsque deux gestionnaires de tiers payant, Viamedis et Almerys, ont été victimes d'une cyberattaque compromettant les données de près de 33 millions d'assurés, selon la CNIL.

Les fraudeurs disposent désormais d'informations précises — noms, dates de naissance, numéros de sécurité sociale — leur permettant de personnaliser chaque message. Comme le rappelle Pierre Piveteau, responsable de la plateforme CyberVeille : « La carte Vitale n'a pas de date d'expiration. Si un message vous dit le contraire, c'est une arnaque. »

L'escroquerie ne se limite d'ailleurs pas aux e-mails. Des SMS frauduleux circulent également, avec des messages du type : « Assurance Maladie : votre nouvelle carte vitale est disponible » ou « Ameli : votre carte vitale arrive à expiration, veuillez la mettre à jour sous 48 heures ». Cette technique du phishing par téléphone, qui fait des ravages en France en 2026, se décline aussi par courrier postal. Certaines victimes ont reçu de fausses lettres de la CPAM comportant un QR code renvoyant vers un site frauduleux.

Les bons réflexes pour se protéger

L'Assurance maladie rappelle plusieurs règles essentielles. D'abord, la carte Vitale est entièrement gratuite : aucun frais de fabrication ni de livraison n'est jamais demandé. Ensuite, les adresses officielles de l'Assurance maladie se terminent exclusivement par @ameli.fr, @info.ameli.fr ou @assurance-maladie.fr — jamais par « .com ». Enfin, il ne faut jamais accéder à son compte Ameli en suivant un lien reçu par e-mail ou SMS. La bonne pratique consiste à se rendre directement sur le site ameli.fr ou à utiliser l'application mobile officielle.

Les personnes ayant malencontreusement communiqué leurs données doivent réagir sans délai : contacter leur banque pour faire opposition, modifier leurs identifiants de connexion Ameli et signaler l'incident sur cybermalveillance.gouv.fr ou au numéro 33700 pour les SMS. L'article L.133-18 du Code monétaire et financier impose à la banque de rembourser les opérations non autorisées, sauf en cas de négligence grave prouvée. Face à la multiplication des escroqueries en ligne, les autorités invitent les Français à la plus grande vigilance et à signaler systématiquement tout message suspect.