L'Assurance Maladie envoie-t-elle des emails de remboursement ?

L'Assurance Maladie envoie des notifications par email, mais ne demande jamais de coordonnées bancaires. Les remboursements sont automatiques sur le compte enregistré.

Comment reconnaître un vrai email d'Ameli ?

Les vrais emails Ameli viennent de @assurance-maladie.fr, ne contiennent jamais de lien de paiement, et vous renvoient vers votre compte Ameli pour toute action.

Faut-il payer pour renouveler sa carte vitale ?

Non. Le renouvellement de la carte vitale est toujours gratuit. Toute demande de paiement pour une carte vitale est une arnaque.

Que faire si j'ai donné mes informations bancaires ?

Contactez immédiatement votre banque pour faire opposition, changez votre mot de passe Ameli, et signalez l'arnaque sur ameli.fr et Pharos.

L'Assurance Maladie appelle-t-elle par téléphone ?

Oui, la CPAM peut appeler, mais ne demandera jamais vos coordonnées bancaires ni votre numéro de sécurité sociale complet par téléphone.

Arnaque Assurance Maladie et CPAM : faux remboursements et phishing

Vous avez reçu un email de l'Assurance Maladie vous annonçant un remboursement en attente, une mise à jour de votre carte vitale ou un problème sur votre compte Ameli ? Dans l'immense majorité des cas, c'est une arnaque. Le phishing visant la CPAM est devenu l'une des fraudes les plus massives en France, car l'Assurance Maladie concerne la quasi-totalité de la population. Les escrocs exploitent cette universalité pour envoyer des millions de messages frauduleux chaque mois.

Pourquoi l'Assurance Maladie est une cible privilégiée des escrocs

L'Assurance Maladie représente une cible idéale pour les campagnes de phishing à grande échelle. Avec plus de 60 millions d'assurés sociaux en France, les escrocs savent que chaque message envoyé a de fortes chances de toucher une personne effectivement affiliée à la CPAM. Contrairement à une arnaque ciblant les clients d'une banque spécifique, ici le taux de "correspondance" est proche de 100%.

Le phishing Assurance Maladie en chiffres

+87%

Hausse des signalements depuis 2024

3,2 M

Tentatives bloquées par mois

68%

Victimes de plus de 50 ans

1 850€

Perte moyenne par victime

Source :Cybermalveillance.gouv.fr (2025)

De plus, les démarches de santé sont souvent perçues comme urgentes. Quand un email annonce un problème avec votre couverture maladie ou un remboursement bloqué, la réaction naturelle est de vouloir régler la situation immédiatement, sans prendre le temps de vérifier. C'est exactement ce que recherchent les escrocs.

Les différents types d'arnaques CPAM

Les campagnes de phishing usurpant l'Assurance Maladie se déclinent en plusieurs scénarios, chacun exploitant un prétexte différent pour pousser la victime à agir.

Le faux remboursement en attente

C'est le scénario le plus répandu. Vous recevez un email vous informant qu'un remboursement est en attente et que vous devez "confirmer vos coordonnées bancaires" pour le recevoir.

EXEMPLE D'ARNAQUE — Faux remboursement

Objet : Assurance Maladie — Remboursement de 284,76 EUR en attente

Bonjour,

Après vérification de votre dossier, nous avons constaté qu'un remboursement de 284,76 EUR n'a pas pu être effectué en raison d'informations bancaires incomplètes.

Pour recevoir votre remboursement, veuillez mettre à jour vos coordonnées bancaires en cliquant sur le lien ci-dessous :

[Confirmer mes coordonnées]

Vous disposez d'un délai de 48 heures. Passé ce délai, votre remboursement sera annulé.

L'équipe Ameli — Assurance Maladie

Pourquoi ça marche : le montant est crédible (ni trop élevé, ni trop faible), le prétexte du RIB incomplet est plausible, et le délai de 48 heures crée une pression suffisante pour empêcher la réflexion.

Le faux renouvellement de carte vitale

Cette variante exploite le mythe de l'expiration de la carte vitale. Le message annonce que votre carte arrive à expiration et que vous devez en commander une nouvelle, moyennant de légers "frais de traitement". Pour un dossier complet sur cette arnaque spécifique, consultez notre article sur l'arnaque à la carte Vitale 2026.

EXEMPLE D'ARNAQUE — Carte vitale

Objet : Votre carte Vitale arrive à expiration — Action requise

Madame, Monsieur,

Votre carte Vitale actuelle ne sera plus valide à compter du 31/03/2026. Pour continuer à bénéficier de la prise en charge de vos soins, vous devez commander votre nouvelle carte.

Frais de traitement et d'envoi : 1,95 EUR

[Commander ma nouvelle carte Vitale]

Sans action de votre part sous 5 jours, vos remboursements seront suspendus.

La vérité : la carte vitale n'a pas de date d'expiration. Son renouvellement est toujours gratuit et se fait uniquement via votre CPAM locale ou votre espace ameli.fr.

Le faux accès au compte Ameli

Cette arnaque imite une alerte de sécurité. Vous recevez un email indiquant qu'une activité suspecte a été détectée sur votre compte Ameli et que vous devez vous reconnecter pour "vérifier votre identité".

EXEMPLE D'ARNAQUE — Faux compte Ameli

Objet : Alerte sécurité — Connexion inhabituelle détectée sur votre compte Ameli

Cher(e) assuré(e),

Une connexion à votre compte Ameli depuis un appareil inconnu a été détectée le 18/03/2026 à 22h47. Si cette connexion ne provient pas de vous, veuillez sécuriser votre compte immédiatement.

[Vérifier mon identité]

Si aucune action n'est effectuée, votre compte sera temporairement suspendu par mesure de sécurité.

L'objectif : récupérer vos identifiants Ameli (numéro de sécurité sociale et mot de passe), qui donnent accès à des informations personnelles sensibles et peuvent servir à des usurpations d'identité.

Comment distinguer un vrai email Ameli d'une arnaque

La comparaison entre les communications officielles et les tentatives de phishing révèle des différences systématiques. Apprendre à les repérer est votre meilleure protection.

Comparaison détaillée : vrai vs faux

| Élément | Email officiel Ameli | Email frauduleux | |---------|---------------------|-----------------| | Expéditeur | @assurance-maladie.fr | @ameli-info.com, @cpam-sante.fr, etc. | | Liens | Redirigent vers ameli.fr | Domaines suspects (.com, .net, .info) | | Paiement | Jamais demandé par email | Demande de CB ou virement | | Ton | Neutre, sans urgence | Urgence, menace de suspension | | Données personnelles | Jamais demandées par email | Demande de NIR, RIB, mot de passe | | Fautes | Aucune | Parfois présentes (mais pas toujours) | | Pièces jointes | Jamais de formulaire à remplir | Formulaire ou lien de connexion |

Les expéditeurs officiels à connaître

| Expéditeur légitime | Usage | |---------------------|-------| | ne-pas-repondre@assurance-maladie.fr | Notifications générales | | ameli@assurance-maladie.fr | Communications depuis votre espace | | 36 46 (appel) | Ligne téléphonique officielle | | 38663 (SMS) | Notifications SMS officielles |

Règle de vérification rapide

Avant de cliquer sur quoi que ce soit, passez votre souris sur le lien (sans cliquer) et vérifiez l'URL dans la barre d'état de votre navigateur. Si le domaine ne se termine pas exactement par assurance-maladie.fr ou ameli.fr, c'est une fraude. Attention aux variantes trompeuses comme ameli-france.fr, assurance-maladie-cpam.com ou ameli-remboursement.fr.

Comment la CPAM communique réellement avec ses assurés

Comprendre les canaux de communication officiels de l'Assurance Maladie est essentiel pour repérer immédiatement toute tentative de fraude.

Les canaux officiels

Votre espace personnel ameli.fr : c'est le canal principal. Tous les messages importants (notifications de remboursement, mises à jour de droits, convocations) sont disponibles dans la messagerie de votre compte.
Le courrier postal : pour les documents officiels, les formulaires et les relevés de prestations.
Le téléphone au 36 46 : les conseillers CPAM peuvent vous appeler pour des motifs précis (rendez-vous, suivi de dossier), mais ne demanderont jamais vos coordonnées bancaires par téléphone.
Les emails de notification : Ameli envoie des emails pour vous informer qu'un nouveau message est disponible dans votre espace, mais ces emails ne contiennent jamais de lien de paiement ni de demande d'informations sensibles.

Ce que la CPAM ne fait JAMAIS

La CPAM ne fait JAMAIS cela

Demander vos coordonnées bancaires par email ou SMS
Exiger un paiement pour un remboursement, une carte vitale ou une attestation
Menacer de suspendre vos droits si vous ne répondez pas sous 48h
Envoyer un lien pour "confirmer" votre identité
Demander votre numéro de sécurité sociale complet par téléphone
Envoyer un formulaire à remplir en pièce jointe

Le circuit réel d'un remboursement

Les remboursements de l'Assurance Maladie suivent un parcours entièrement automatisé :

Votre professionnel de santé transmet la feuille de soins (électronique via la carte vitale ou papier)
La CPAM traite le dossier (délai moyen : 5 jours ouvrables)
Le remboursement est versé automatiquement sur le compte bancaire enregistré dans votre dossier
Vous recevez une notification dans votre espace ameli.fr

À aucun moment vous ne devez intervenir pour "confirmer" ou "débloquer" un remboursement. Si votre RIB doit être mis à jour, la démarche se fait exclusivement depuis votre espace ameli.fr ou en agence CPAM.

La variante SMS : le phishing Ameli par texto

L'arnaque par SMS est devenue aussi fréquente que la version email. Les escrocs envoient des textos courts avec un lien vers un faux site Ameli. Pour un focus complet sur cette variante, consultez notre article sur les faux SMS Ameli carte Vitale.

Exemples de SMS frauduleux courants en 2026

| SMS frauduleux | Prétexte utilisé | |----------------|-----------------| | "AMELI : votre remboursement de 312,40 EUR est en attente. Confirmez vos infos : ameli-info.fr" | Faux remboursement | | "CPAM : votre carte Vitale expire le 31/03. Renouvelez-la : carte-vitale-renouvellement.com" | Fausse expiration | | "Assurance Maladie : mise à jour obligatoire de votre dossier. Connectez-vous : espace-ameli.net" | Fausse mise à jour | | "AMELI : un paiement de 1,95 EUR est nécessaire pour l'envoi de votre nouvelle carte Vitale" | Faux frais de traitement | | "CPAM : activité suspecte détectée sur votre compte. Vérifiez ici : ameli-securite.fr" | Fausse alerte sécurité |

Le seul numéro SMS officiel

L'Assurance Maladie n'envoie des SMS que depuis le 38663 (numéro court officiel). Tout SMS provenant d'un numéro de portable classique (06, 07) ou d'un autre numéro court n'est pas un message officiel de la CPAM. De plus, même un SMS du 38663 ne contiendra jamais de lien vers un site de paiement.

Exemples réels de campagnes de phishing CPAM en 2026

Les campagnes de phishing évoluent constamment. Voici les principales vagues identifiées depuis début 2026, qui témoignent de la sophistication croissante des attaques.

Campagne "Remboursement exceptionnel Covid"

Début 2026, une campagne massive a exploité la mémoire de la pandémie en annonçant un "remboursement exceptionnel" lié aux tests Covid. Les emails mentionnaient un montant précis (entre 85 et 320 EUR) et redirigeaient vers un site copiant parfaitement l'interface d'ameli.fr.

Campagne "Complément santé solidaire"

Les escrocs ciblent les bénéficiaires de la CSS (Complément santé solidaire) en envoyant de faux emails de renouvellement. La particularité de cette campagne : les emails contiennent le vrai nom et parfois l'adresse du destinataire, issus de fuites de données précédentes.

Campagne "Nouveau portail FranceConnect"

Cette variante sophistiquée prétend que l'accès à votre espace Ameli migre vers un "nouveau portail FranceConnect" et demande une reconnexion. Le faux site reproduit l'interface de FranceConnect pour récupérer non seulement vos identifiants Ameli, mais aussi ceux de vos impôts et de la CAF.

Campagnes de phishing CPAM en 2026

Campagnes majeures identifiées en 2026

8,6 M

Emails frauduleux envoyés (T1 2026)

4,2%

Taux de clics moyen sur les faux liens

72h

Durée de vie moyenne d'un faux site

Source :Signal Spam / ANSSI (2026)

Que faire si vous êtes victime

Si vous avez cliqué sur un lien et communiqué des informations personnelles ou bancaires, il faut agir rapidement. Plus votre réaction est rapide, plus vous limitez les dégâts. Pour un guide exhaustif, consultez notre page Que faire si vous êtes victime d'une arnaque.

Actions immédiates (dans l'heure)

Si vous avez communiqué vos coordonnées bancaires : appelez votre banque immédiatement pour faire opposition à votre carte bancaire. Signalez la fraude et demandez la surveillance renforcée de votre compte.
Si vous avez donné vos identifiants Ameli : connectez-vous sur le vrai site ameli.fr et changez votre mot de passe. Vérifiez que vos coordonnées bancaires et votre adresse n'ont pas été modifiées.
Si vous avez saisi votre numéro de sécurité sociale : surveillez votre espace Ameli pour détecter toute activité inhabituelle (remboursements inconnus, changement de médecin traitant).

Dans les jours suivants

Signalez l'arnaque sur Cybermalveillance.gouv.fr pour obtenir un accompagnement personnalisé.
Déposez plainte au commissariat ou en gendarmerie avec toutes les preuves (captures d'écran, emails reçus, historique de navigation).
Signalez l'email sur Signal Spam ou transférez le SMS au 33700.
Surveillez vos comptes bancaires et votre espace Ameli pendant plusieurs semaines.

Pour savoir comment signaler efficacement, consultez notre guide de signalement des arnaques.

Risque d'usurpation d'identité

Votre numéro de sécurité sociale est un identifiant unique et permanent. S'il est compromis, il peut être utilisé pour créer de faux dossiers, obtenir des prestations frauduleuses, ou même usurper votre identité auprès d'autres administrations. Restez vigilant sur le long terme.

Comment se protéger contre le phishing CPAM

La protection repose sur une combinaison de réflexes quotidiens et de mesures techniques simples à mettre en place.

Les réflexes à adopter

Ne cliquez jamais sur un lien dans un email ou SMS prétendant venir de l'Assurance Maladie. Tapez toujours ameli.fr directement dans votre navigateur.
Vérifiez l'expéditeur : les vrais emails viennent exclusivement de @assurance-maladie.fr.
Méfiez-vous de l'urgence : un vrai organisme public ne menace jamais de suspendre vos droits sous 48 heures.
Ne communiquez jamais vos coordonnées bancaires, votre mot de passe ou votre numéro de sécurité sociale par email ou SMS.
Installez l'application Ameli officielle depuis l'App Store ou le Google Play Store pour consulter vos remboursements en toute sécurité.

Mesures techniques

| Mesure | Protection apportée | |--------|-------------------| | Authentification à deux facteurs (2FA) sur votre compte Ameli | Empêche l'accès au compte même si le mot de passe est volé | | Mot de passe unique et robuste pour ameli.fr | Évite les compromissions par credential stuffing | | Filtre anti-phishing du navigateur | Bloque l'accès aux sites frauduleux connus | | Mise à jour régulière de votre système et navigateur | Corrige les failles de sécurité exploitées par les escrocs | | Extension de navigateur anti-phishing | Alerte en temps réel sur les sites suspects |

En cas de doute, les bons contacts

| Besoin | Contact officiel | |--------|-----------------| | Question sur un remboursement | ameli.fr (espace personnel) ou 36 46 | | Signaler un email frauduleux | Signal Spam | | Signaler un SMS frauduleux | Transfert au 33700 | | Aide après une arnaque | Cybermalveillance.gouv.fr | | Dépôt de plainte | Commissariat, gendarmerie ou pre-plainte-en-ligne.gouv.fr | | Signalement en ligne | PHAROS |

Pourquoi ces arnaques sont de plus en plus convaincantes

Les techniques des escrocs évoluent rapidement, rendant la détection de plus en plus difficile, même pour les utilisateurs avertis.

L'intelligence artificielle au service des escrocs : les outils d'IA générative permettent de produire des emails parfaitement rédigés en français, sans aucune faute d'orthographe. L'époque où les arnaques se repéraient aux fautes de grammaire est révolue.

Les fuites de données : les piratages successifs d'hôpitaux, de mutuelles et de laboratoires d'analyses médicales ont mis sur le marché noir des millions de dossiers contenant noms, adresses, numéros de sécurité sociale et parfois les noms de médecins traitants. Ces informations permettent de personnaliser les emails de phishing de manière très convaincante.

Le clonage de sites : les faux sites imitant ameli.fr sont devenus des copies quasi parfaites, avec les mêmes logos, couleurs, et mises en page. Certains intègrent même un certificat HTTPS (le cadenas dans la barre d'adresse), ce qui trompe les utilisateurs habitués à se fier à cet indicateur.

Le cadenas HTTPS ne garantit rien

Un site frauduleux peut parfaitement afficher un cadenas HTTPS dans votre navigateur. Ce symbole signifie seulement que la connexion est chiffrée, pas que le site est légitime. Vérifiez toujours le nom de domaine exact : seuls ameli.fr et assurance-maladie.fr sont officiels.

Ressources officielles et contacts utiles

Pour toute question sur votre couverture maladie ou en cas de doute sur un message reçu :

Site officiel : ameli.fr — tapez l'adresse vous-même dans votre navigateur
Téléphone : 36 46 (service et appel gratuits, du lundi au vendredi)
Application mobile : Ameli (disponible sur App Store et Google Play)
En personne : votre CPAM locale (trouvez votre agence sur ameli.fr)
Signalement : Cybermalveillance.gouv.fr et Pharos

La règle d'or à retenir : l'Assurance Maladie ne demandera jamais vos coordonnées bancaires par email ou SMS. Les remboursements sont toujours automatiques. Si un message vous demande de l'argent ou vos données personnelles, c'est une arnaque, sans exception.