Depuis le 5 janvier 2026, plus de 200 signalements de faux messages au nom de l’Assurance Maladie ont été recensés sur la seule plateforme CyberVeille. Des courriels, des SMS et des appels téléphoniques imitant à la perfection les communications officielles d’Ameli circulent à grande échelle, ciblant des millions d’assurés.
Face à cette menace, une seule connaissance suffit à désamorcer la quasi-totalité des tentatives : savoir exactement quelles adresses, quels numéros et quels formats l’Assurance Maladie utilise réellement. Ce guide vous fournit cette référence complète, mise à jour en février 2026, ainsi que les démarches précises à engager si vous avez déjà répondu à un message frauduleux.
⚡ Votre message est-il une arnaque ? Répondez à ces 5 questions
Si vous répondez OUI à une seule d’entre elles, vous êtes face à une tentative de fraude :
- On vous réclame vos coordonnées bancaires ou la totalité de votre RIB ?
- Un délai vous est imposé — 48h, 72h — sous peine de suspension de droits ?
- Le message provient d’une adresse @ameli.com, Gmail, Yahoo ou d’un domaine inconnu ?
- Un SMS contient un lien cliquable ?
- Un courrier papier vous demande de scanner un QR code pour valider une démarche ?
Ne cliquez sur aucun lien. Connectez-vous directement sur ameli.fr depuis votre navigateur, ou appelez le 3646.
Les adresses et numéros officiels de l’Assurance Maladie en 2026
C’est la première information que les fraudeurs veulent vous cacher. L’Assurance Maladie utilise un nombre précis et limité de canaux officiels. Toute communication qui s’en écarte est frauduleuse — même si le logo est parfait, même si le ton est irréprochable.
| Canal | Officiel ✅ | Toujours frauduleux ❌ |
|---|---|---|
| @ameli.fr · @info.ameli.fr · @app.assurance-maladie.fr · @assurance-maladie.fr | @ameli.com · @ameli.net · Gmail · Yahoo · tout autre domaine | |
| Téléphone | 3646 (gratuit + coût appel) · 01 78 85 70 03 | Tout numéro mobile 06/07 · numéro surtaxé |
| SMS | 38663 uniquement | Tout autre numéro, classique ou court |
| Courrier papier | Nominatif · affranchissement La Poste · sans QR code de démarche | Sans nom/prénom · enveloppe blanche non affranchie · QR code sous 72h |
Le cas particulier de @info.ameli.fr — une adresse officielle que les fraudeurs imitent
C’est le piège le plus subtil, et il est très peu documenté ailleurs. L’adresse @info.ameli.fr est bel et bien officielle. L’Assurance Maladie l’utilise pour certaines notifications liées à votre compte. Mais justement parce qu’elle est connue, les escrocs cherchent à l’imiter ou à en usurper le nom d’affichage.
La règle est simple : quelle que soit l’adresse affichée, un message officiel d’Ameli ne vous demande jamais votre mot de passe, vos coordonnées bancaires, ni de télécharger une pièce jointe. Si l’une de ces demandes apparaît, c’est une fraude — peu importe l’adresse expéditrice.
Le 38663 : le seul numéro SMS autorisé, mais encadré
Ce numéro court est le seul que l’Assurance Maladie utilise pour ses SMS. Il peut vous notifier d’un rendez-vous ou d’une démarche en cours. Ce qu’il ne fera jamais : vous envoyer un lien cliquable, vous demander des informations personnelles, ou évoquer une suspension de droits. Si un SMS du 38663 contient l’un de ces éléments, il est frauduleux. Transférez-le au 33700 sans rappeler l’expéditeur.
Vous avez reçu un mail suspect
Le courrier électronique reste le vecteur d’arnaque dominant aux couleurs d’Ameli. En 2026, les messages frauduleux sont graphiquement indiscernables des originaux. Ce n’est plus l’apparence qui trahit la fraude — c’est le contenu.
Ce qu’aucun mail officiel d’Ameli ne contiendra jamais
Mémorisez ces règles : un mail officiel de l’Assurance Maladie ne vous demande jamais vos coordonnées bancaires. Il ne contient jamais de pièce jointe non sollicitée. Il n’impose jamais de délai sous peine de sanction. Et il ne vous redirige jamais vers un formulaire de saisie de mot de passe. Si l’un de ces éléments apparaît, vous avez raison de douter — et vous avez raison de ne pas répondre.
Survolez tout lien contenu dans le mail sans cliquer. L’adresse réelle qui s’affiche doit pointer strictement vers ameli.fr. Tout autre domaine — même visuellement proche — est une tentative d’hameçonnage. En cas de doute, fermez le mail et connectez-vous manuellement sur ameli.fr.
Vous avez reçu un SMS suspect
Le smishing — arnaque par SMS — a considérablement progressé depuis 2024. Les fraudeurs exploitent la confiance instinctive que nous accordons aux messages courts et au numéro 38663, précisément parce qu’il est officiel.
Ce que le 38663 n’enverra jamais
Même émis en apparence depuis le 38663, un SMS peut être frauduleux. La règle ne souffre aucune exception : ce numéro n’envoie jamais de lien cliquable, jamais de demande d’information personnelle, jamais de code à saisir. Il ne menace jamais d’une suspension de droits. Si vous recevez un tel message, ne répondez pas. Transférez-le au 33700 — ce service est gratuit auprès d’Orange, SFR et Bouygues.
Les fraudeurs créent un sentiment d’urgence artificielle pour vous pousser à agir sans réfléchir. Un SMS menaçant de suspendre vos droits « dans les 48 heures » est conçu précisément pour court-circuiter votre jugement. L’Assurance Maladie ne suspend jamais des droits par SMS. Jamais.
Vous avez reçu un appel suspect
Les arnaques téléphoniques sont souvent les plus difficiles à identifier sur le moment, parce qu’elles reposent sur l’interaction humaine et la manipulation en temps réel. Deux techniques sont particulièrement actives en 2026 — et toutes deux exploitent des outils que vous considériez comme fiables.
Le spoofing : quand le numéro 3646 devient un leurre
Le spoofing permet à n’importe qui d’afficher le numéro de son choix sur votre écran. Y compris le 3646, numéro officiel de la CPAM. Voir ce numéro s’afficher ne garantit donc absolument rien. Un vrai conseiller Ameli ne vous demande jamais de confirmer votre identité en dictant un code reçu par SMS, ni de communiquer votre mot de passe ou votre RIB complet.
L’OTP hijacking : la technique du code SMS volé
Cette technique est redoutable et peu connue. Le fraudeur déclenche à votre insu l’envoi d’un code de sécurité sur votre téléphone — puis vous appelle en vous demandant de le dicter pour « sécuriser votre compte ». Ce code lui ouvre l’accès direct à votre espace Ameli. La règle est absolue : ne lisez jamais un code reçu par SMS à un interlocuteur, quel que soit le numéro affiché. Raccrochez, et rappelez vous-même le 3646.
Vous avez reçu un courrier papier suspect
Depuis août 2025, une forme d’arnaque inédite circule sous l’apparence d’un courrier postal officiel de la CPAM. Elle est particulièrement efficace parce qu’elle exploite la confiance que la plupart des assurés accordent instinctivement au courrier physique.
Les 4 indices d’un vrai courrier CPAM
Un courrier officiel de l’Assurance Maladie est toujours nominatif : il mentionne vos nom et prénom en en-tête. Il porte un affranchissement La Poste visible. Il n’impose aucun délai sous peine de sanction. Et il ne contient aucun QR code destiné à déclencher une démarche ou valider une identité.
QR code dans un courrier CPAM : la règle absolue
L’Assurance Maladie est formelle sur ce point : lorsqu’un QR code figure dans un document officiel, il renvoie uniquement vers une page d’information. Il ne sert jamais à valider une identité, à accéder à un compte ou à effectuer une démarche. Tout courrier vous demandant de scanner un QR code « sous 72 heures pour éviter la suspension de votre compte » est frauduleux — quels que soient son apparence et la qualité de son impression.
5 arnaques actives en ce moment — ce que vous devez savoir
Les campagnes de fraude aux couleurs d’Ameli évoluent constamment. Cinq d’entre elles concentrent la grande majorité des signalements en 2025-2026. Les connaître par leur nom, c’est déjà ne plus tomber dans le piège.
#1 — Faux mail « carte Vitale 2026 » : 200 signalements depuis janvier
Ce mail annonce qu’une « nouvelle carte Vitale 2026 » est prête à être expédiée et réclame des coordonnées bancaires pour les frais d’envoi. Réalité : la carte Vitale n’a pas de date d’expiration et est intégralement gratuite. Aucune nouvelle version n’a été annoncée. → Notre analyse détaillée de cette arnaque et vos droits au remboursement
#2 — SMS « suspension de droits imminente »
Le message menace de suspendre vos remboursements dans les heures suivantes si vous n’agissez pas immédiatement. L’Assurance Maladie ne suspend jamais des droits par SMS. Ce message n’a qu’un objectif : vous empêcher de réfléchir.
#3 — Appel « conseiller qui détecte une fraude » — OTP hijacking
Un faux conseiller appelle depuis le 3646 imité, signale une activité suspecte, déclenche l’envoi d’un code SMS et vous demande de le dicter. C’est une prise de contrôle de votre compte Ameli en temps réel. Raccrochez immédiatement.
#4 — Faux courrier papier avec QR code (signalé dès août 2025)
Révélé sur Reddit en août 2025 et confirmé par la CNAM, ce courrier reproduit fidèlement la mise en page officielle. Il n’est jamais nominatif — premier signal suffisant. Il impose un délai de 72 heures pour scanner un QR code.
#5 — Démarchage audioprothésiste frauduleux
L’Assurance Maladie a officiellement alerté en 2025 sur des appels proposant un « dépistage auditif gratuit » en son nom. Aucun professionnel de santé n’est mandaté par l’Assurance Maladie pour contacter directement les assurés à leur domicile.
10 situations concrètes — verdict immédiat
Ces cas sont directement issus des questions posées sur les forums officiels et les plateformes de signalement. Si votre situation figure ici, vous avez votre réponse sans avoir à chercher davantage.
| Situation | Verdict | Raison |
|---|---|---|
| Mail @ameli.fr demandant votre mot de passe | ❌ Arnaque | Ameli ne demande jamais un mot de passe par mail |
| Mail @info.ameli.fr sans pièce jointe, renvoyant sur ameli.fr | ✅ Probable officiel | Adresse officielle + contenu conforme |
| Mail @app.assurance-maladie.fr avec pièce jointe .zip | ❌ Arnaque | Ameli n’envoie jamais de pièce jointe |
| SMS du 38663 avec un lien cliquable | ❌ Arnaque | Le 38663 n’envoie jamais de lien |
| SMS du 38663 confirmant un rendez-vous CPAM | ✅ Officiel | Usage conforme du numéro court |
| Appel depuis le 3646 demandant de dicter un code SMS | ❌ Arnaque — OTP hijacking | Raccrochez immédiatement |
| Courrier sans nom/prénom avec QR code sous 72h | ❌ Arnaque | Deux indices cumulés, suffisants |
| Le fraudeur connaît votre numéro de Sécurité sociale | ⚠️ Ne prouve rien | Fuite Viamedis/Almerys : 33 millions de personnes exposées |
| Mail Gmail ou Hotmail au nom d’Ameli | ❌ Arnaque certaine | Ameli n’utilise jamais de messagerie grand public |
| Conseiller demande les « derniers chiffres » de votre IBAN | ⚠️ Partiel possible | Ameli peut vérifier partiellement un RIB — jamais la totalité, jamais le code secret |
Vous avez déjà répondu ? Voici exactement ce que vous devez faire
Avoir cliqué ou répondu ne signifie pas que tout est perdu. Les recours existent, certains sont protégés par la loi. Mais chaque heure compte — agissez maintenant selon votre niveau d’exposition.
Cas 1 — Vous avez cliqué sur un lien sans rien saisir
- Videz le cache de votre navigateur
- Scannez votre appareil avec un antivirus
- Signalez le lien sur Pharos
Cas 2 — Vous avez saisi votre nom, adresse ou numéro de Sécurité sociale
- Appelez le 3646 : demandez la sécurisation immédiate de votre compte Ameli
- Déposez plainte sur service-public.fr ou au commissariat
- Signalez sur 17Cyber (assistance gratuite)
Cas 3 — Vous avez communiqué vos identifiants Ameli
- Changez votre mot de passe immédiatement sur ameli.fr
- Activez l’authentification à deux facteurs depuis votre espace personnel
- Contactez le 3646 pour signaler la compromission et obtenir un verrouillage de compte
Cas 4 — Vous avez transmis vos coordonnées bancaires
- Appelez votre banque maintenant — le numéro est au dos de votre carte, disponible 24h/24
- Demandez l’opposition et le remboursement des opérations non autorisées
- Conservez toutes les preuves : mail, capture d’écran, numéro de téléphone
- Déposez plainte et signalez sur cybermalveillance.gouv.fr
Cas 5 — Vous avez scanné un QR code
- Ne saisissez rien si une page s’est ouverte — fermez-la immédiatement
- Vérifiez qu’aucune application n’a été téléchargée sur votre appareil
- Changez vos mots de passe Ameli et bancaires par précaution
L’article L.133-18 du Code monétaire et financier impose à votre banque de rembourser les opérations non autorisées, sauf négligence grave prouvée. Vous disposez d’un délai de 13 mois pour contester. Si votre banque refuse, saisissez le médiateur bancaire — c’est gratuit. Ne laissez pas passer ce délai.
Signaler une arnaque Ameli : les 5 plateformes officielles
Signaler une tentative de fraude protège les autres assurés — et contribue à bloquer les campagnes actives. Voici les cinq canaux officiels à utiliser selon votre situation.
| Plateforme | Pour quoi | Accès |
|---|---|---|
| 17Cyber — cybermalveillance.gouv.fr | Toute cybermalveillance, assistance gratuite | Formulaire en ligne |
| Pharos — internet-signalement.gouv.fr | Signaler un site ou mail frauduleux | Formulaire en ligne |
| 33700 | Transférer un SMS arnaque | Transfert direct depuis votre mobile (gratuit) |
| Signal Conso — signal.conso.gouv.fr | Arnaque commerciale, démarchage abusif | Signalement DGCCRF en ligne |
| CPAM — 3646 | Sécuriser votre compte, alerter votre caisse | Appel téléphonique direct |
Questions fréquentes
Ces six questions concentrent la majorité des doutes exprimés par les assurés sur les forums et plateformes de signalement. Les réponses sont directes — parce que votre temps et votre sécurité comptent.
13 mois pour contester un débit frauduleux auprès de votre banque. 5 ans pour porter plainte pour escroquerie (article 313-1 du Code pénal). Ces délais sont légaux — mais chaque jour d’inaction renforce la position de votre adversaire. Agissez maintenant.