Que faire si tu as été victime ?

Appelle ta banque ou utilise l'app pour faire opposition sur ta carte. La plupart des banques proposent un blocage instantané depuis l'app, sans attendre un conseiller.

Active les notifications push de l'app bancaire pour toute transaction. Surveille tes relevés pendant 30 à 60 jours minimum. Les débits frauduleux peuvent arriver dans les heures qui suivent.

Tu disposes de 13 mois (8 semaines pour les paiements SEPA en zone européenne) pour contester un débit frauduleux. La banque doit te rembourser sauf si elle prouve une négligence grave de ta part.

Un dépôt de plainte au commissariat consolide ton dossier en cas de litige avec la banque sur le remboursement. La plainte peut se faire en ligne via la plateforme officielle.

Le code 3DS donné valide un paiement immédiat côté attaquant. Tu as quelques minutes au mieux pour bloquer la transaction en cours. Appelle ta banque tout de suite.

Dis « je viens de valider un 3DS sur ce que je pense être un faux site, bloquez la transaction et faites opposition sur la carte ». Tu n'as pas besoin de connaître le marchand — la banque voit la transaction en attente côté autorisation.

Même si la transaction est bloquée, oppose la carte. Une nouvelle te sera envoyée.

Si le débit est passé malgré tout, fais une contestation écrite à ta banque. Sur les fraudes 3DS où la victime a validé, la banque peut résister — un dépôt de plainte préalable renforce ta position en commission de médiation bancaire.

Le rappel SEPA est possible si demandé sous 4-6 heures, beaucoup plus difficile au-delà. Au-delà de 24-48 h, les fonds ont généralement déjà été dispersés. Appelle ton agence ou le numéro fraude de ta banque tout de suite.

Numéro de l'appelant, heure exacte, captures d'écran, échanges. Tu en auras besoin pour la plainte et la commission de médiation bancaire.

Commissariat ou plainte en ligne. Précise le montant, le bénéficiaire (IBAN), le canal de l'arnaque. Pour les pertes au-delà de 50 k€, la cellule fraude bancaire de la Banque de France peut être saisie.

Si la banque refuse le remboursement, tu peux saisir le médiateur bancaire (gratuit). Sur les vishings « virement de sécurité » où l'attaquant a manipulé la victime, plusieurs décisions récentes ont condamné les banques à rembourser malgré la validation.

Connecte-toi sur le vrai site (URL tapée directement), change le mot de passe. Si tu réutilises ce mot de passe ailleurs (mail, banque, autres services), change-le partout — c'est l'angle credential stuffing qui fait le plus de dégâts en aval.

2FA via application (Google Authenticator, Authy) plutôt que SMS si possible — protège contre les SIM swaps.

La plupart des services permettent de voir les sessions ouvertes et de les déconnecter. Fais-le pour kicker l'attaquant qui serait connecté en parallèle.

Adresse email de récupération modifiée ? Numéro de téléphone changé ? Adresse de livraison ajoutée ? L'attaquant a parfois modifié ces informations pour reprendre le compte plus tard.

Cette plainte doit être déposée maintenant — elle servira de référence si quelqu'un ouvre un compte ou souscrit un crédit en ton nom dans les mois à venir. Va au commissariat avec une copie du document transmis.

Surveille tes courriers (banques inconnues, courrier Ameli/CPAM, relances de crédit conso) sur 6 à 12 mois. C'est dans cette fenêtre que les usurpations se matérialisent généralement.

Tu peux interroger le FICOBA via ta banque pour savoir si des comptes ont été ouverts à ton nom sans ton consentement. C'est gratuit.

Cybermalveillance.gouv.fr propose un parcours d'assistance spécifique pour les usurpations d'identité, avec mise en relation avec des prestataires de confiance.

Si tu as encore accès à tes fonds, génère un nouveau wallet sur un appareil sain (ordi formaté ou Ledger neuf) et transfère immédiatement tout ce qui peut l'être. La course est lancée — tu as quelques minutes au mieux.

La blockchain est définitive. Aucun intermédiaire ne peut bloquer ou annuler un transfert. C'est ce qui distingue radicalement cette arnaque des fraudes bancaires.

Commissariat avec captures, hash de transactions. Pour les pertes significatives, le JIRS de Paris est compétent en matière d'escroqueries crypto. La plainte sert aussi à tracer la chaîne de blanchiment, ce qui peut un jour permettre une saisie si l'attaquant est identifié.

Si l'arnaque venait d'une fausse plateforme « d'investissement », signale-la à l'AMF — elle pourra être ajoutée à la liste noire publique pour protéger les futurs.