Chaque semaine, des milliers d’assurés reçoivent un mail qui semble venir de l’Assurance Maladie. Même mise en page, même logo, même ton administratif.
Et pourtant, c’est une arnaque.Ce qu’il faut savoir d’emblée : l’Assurance Maladie ne vous demandera jamais, par email, vos coordonnées bancaires, votre numéro de sécurité sociale ou votre mot de passe. Jamais.
Depuis septembre 2025, la CPAM envoie de vrais mails de notification à chaque remboursement. Ce changement a ouvert une brèche. Les escrocs l’ont immédiatement exploitée. En 2026, les tentatives de phishing imitant Ameli ont atteint un niveau record.
Dans ce guide, vous apprendrez à repérer un faux mail en moins de deux minutes, à réagir si vous avez un doute, et surtout à savoir quoi faire si vous avez déjà cliqué.
Pourquoi les faux mails de l’Assurance Maladie se multiplient en 2026 ?
Ce n’est pas un hasard si ces arnaques sont de plus en plus fréquentes. Plusieurs facteurs se sont combinés ces derniers mois pour créer un terrain particulièrement favorable aux escrocs.
La recrudescence des arnaques depuis septembre 2025
Depuis septembre 2025, l’Assurance Maladie envoie automatiquement un mail à chaque remboursement effectué en votre nom. Ce système a eu un effet secondaire inattendu : les internautes se demandent désormais systématiquement si le mail reçu est vrai ou frauduleux.
Cette confusion profite directement aux cybercriminels. En effet, dès lors que recevoir un mail d’Ameli devient une habitude, il est beaucoup plus difficile de distinguer l’officiel du frauduleux.
La plateforme Cybermalveillance.gouv.fr a enregistré une forte hausse des signalements liés à l’usurpation de l’identité de l’Assurance Maladie sur cette période.
Les nouvelles techniques des escrocs : phishing, smishing, vishing
Les arnaques ne se limitent plus aux emails. Aujourd’hui, les escrocs utilisent plusieurs canaux simultanément pour maximiser leurs chances de tromper leurs victimes.
Le phishing désigne les tentatives de fraude par email. Le smishing passe par SMS. Le vishing repose sur de faux appels téléphoniques où une voix se fait passer pour un conseiller CPAM.
Ces trois techniques ont le même objectif : vous pousser à agir vite, sans réfléchir. Un délai de 24 ou 48 heures est presque toujours mentionné pour créer un sentiment d’urgence artificiel.
Le nouveau design des mails officiels Ameli : un terrain idéal pour les faussaires
À partir d’avril 2026, les mails officiels de l’Assurance Maladie ont changé d’apparence. Le logo est désormais positionné en haut à gauche, des intertitres bleus structurent le contenu, et un bloc bleu en bas du message facilite l’accès aux démarches.
Ce changement visuel est positif pour la lisibilité. Cependant, il offre aussi aux cybercriminels un nouveau modèle graphique à imiter. Il est donc plus important que jamais de ne pas se fier uniquement à l’apparence d’un message.
Ce qu’Ameli envoie vraiment (et ce qu’elle ne demande jamais)
Avant de chercher à repérer un faux mail, il est utile de comprendre exactement à quoi ressemble un vrai. C’est justement ce point qui manque dans la plupart des guides disponibles sur ce sujet.
Les 4 domaines expéditeurs officiels à connaître
L’Assurance Maladie n’envoie ses emails qu’à partir de quatre domaines officiels. Si le mail que vous avez reçu provient d’une autre adresse, c’est une arnaque, sans exception possible.
Les quatre domaines officiels sont : @ameli.fr, @assurance-maladie.fr, @info.ameli.fr et @app.assurance-maladie.fr.
Ces adresses sont toujours associées à un expéditeur affiché sous le nom « Votre assurance maladie ». Retenez bien ces quatre domaines : ils constituent votre premier filtre de vérification.
Les types de mails légitimes qu’Ameli vous envoie réellement
Connaître les messages que l’Assurance Maladie envoie réellement, c’est déjà identifier tout le reste comme suspect.
En effet, elle vous envoie des notifications de remboursement depuis septembre 2025. Elle peut aussi vous adresser des rappels de prévention, comme les invitations au dépistage ou à la vaccination antigrippale.
Par ailleurs, vous pouvez recevoir des confirmations liées à des démarches que vous avez vous-même initiées sur votre espace personnel ameli, comme une mise à jour de vos coordonnées ou une demande de médecin traitant.
Dans tous les cas, ces mails ne contiennent jamais de formulaire à remplir directement dans le message.
Ce qu’Ameli ne vous demandera jamais par email
C’est le point le plus important de tout ce guide. L’Assurance Maladie ne vous demandera jamais, par email : votre numéro de sécurité sociale, vos coordonnées bancaires ou votre numéro de carte bleue, votre mot de passe ou vos identifiants de connexion, ni aucun paiement pour recevoir une carte Vitale ou un remboursement.
Si un mail vous demande l’une de ces informations, peu importe son apparence, c’est une tentative d’escroquerie. Aucune exception.
Les 7 signes qui trahissent un faux mail de l’Assurance Maladie
C’est souvent dans les détails que l’arnaque se révèle. Voici les sept indices les plus fiables pour démasquer un faux mail, même lorsqu’il est visuellement convaincant.
Signe n°1 — L’adresse expéditeur ne correspond pas à un domaine officiel
C’est le premier réflexe à avoir, avant même de lire le contenu du message. Sans ouvrir le mail, placez votre curseur sur le nom de l’expéditeur. L’adresse complète apparaît.
Toutefois, si elle ne contient pas l’un des quatre domaines officiels, supprimez le message immédiatement. Sur mobile, appuyez longuement sur le nom de l’expéditeur pour révéler l’adresse réelle.
Signe n°2 — Le mail vous demande des informations personnelles ou bancaires
Un vrai mail de l’Assurance Maladie ne vous demande jamais de saisir des données personnelles directement dans le message ou sur une page liée.
Mais, si le mail contient un formulaire, un bouton « Confirmez vos informations » ou une demande de RIB, c’est une arnaque. Effectivement, aucune démarche légitime d’Ameli ne fonctionne de cette façon.
Signe n°3 — Un sentiment d’urgence exagéré
Les escrocs savent que la précipitation fait baisser la vigilance. C’est pourquoi leurs messages contiennent presque toujours une notion de délai imposé.
Des formulations comme « agissez sous 48 heures », « votre dossier sera clôturé » ou « action requise avant le… » sont des signaux d’alarme clairs. L’Assurance Maladie ne vous met jamais sous pression de cette façon dans ses emails.
Signe n°4 — Le lien ne pointe pas vers ameli.fr
Avant de cliquer sur un lien, survolez-le avec votre souris. L’adresse réelle de destination apparaît en bas de votre navigateur.
En revanche, si cette adresse ne commence pas par « https://www.ameli.fr« , ne cliquez pas. Les faux sites imitent l’apparence d’ameli.fr, mais leur URL contient des variantes suspectes comme « ameli-remboursement.fr » ou « cpam-service.com« .
Sinon, sur mobile, faites un appui long sur le lien pour afficher l’URL complète avant tout accès.
Signe n°5 — Le mail contient une pièce jointe ou un numéro de dossier
L’Assurance Maladie n’envoie jamais de pièces jointes par email. Si votre message contient un fichier PDF, Word ou autre, ne l’ouvrez sous aucun prétexte.
Par ailleurs, un objet de mail contenant une référence sous forme de numéro de dossier est également un signal suspect : Ameli n’utilise pas ce format dans ses communications électroniques.
Signe n°6 — Des indices visuels suspects
Certains détails permettent de repérer un faux mail même lorsque la mise en page semble soignée. La mention « service client ameli.fr » est un signal d’arnaque : l’Assurance Maladie ne dispose pas de service clientèle.
En outre, l’utilisation de la couleur rouge dans le texte est inhabituelle pour les communications officielles. Un logo flou ou légèrement déformé trahit souvent un copier-coller approximatif réalisé à la hâte.
Signe n°7 — Le thème du mail correspond à une arnaque connue
Certains sujets sont exploités de manière répétée car ils fonctionnent.
Les thèmes les plus fréquents en 2026 sont : un remboursement en attente nécessitant un RIB, une carte Vitale à renouveler d’urgence avec frais de livraison, un compte ameli piraté ou suspendu, ou une prime exceptionnelle à récupérer.
Aucun de ces scénarios ne correspond à une pratique réelle de l’Assurance Maladie.
Tableau comparatif : vrai mail Ameli vs faux mail
Un tableau vaut parfois mieux qu’un long discours. Voici, en un coup d’œil, les différences essentielles entre un message officiel et une tentative de phishing.
| Critère | Vrai mail Ameli | Faux mail (phishing) |
|---|---|---|
| Adresse expéditeur | @ameli.fr, @assurance-maladie.fr, @info.ameli.fr, @app.assurance-maladie.fr | Adresse inconnue, personnelle ou domaine suspect |
| Nom affiché | « Votre assurance maladie » | « Ameli », « CPAM », « Sécurité Sociale » |
| Liens contenus | Redirigent uniquement vers ameli.fr | URL suspectes imitant ameli.fr |
| Demande d’infos personnelles | Jamais | Toujours ou presque |
| Pièce jointe | Jamais | Parfois (PDF, formulaire) |
| Numéro de dossier en objet | Jamais | Fréquent |
| Ton | Informatif, sans urgence | Alarmiste, délai imposé |
| Couleurs dans le texte | Bleu uniquement (nouveau design 2026) | Parfois rouge ou orange |
| Mention « service client » | Jamais | Fréquente |
Vous avez un doute ? La procédure de vérification en 3 étapes
Recevoir un mail suspect sans savoir quoi faire est une situation stressante. Ne vous inquiétez pas.
Voici une procédure simple, applicable en moins de deux minutes, que vous soyez sur ordinateur ou sur mobile.
Étape 1 — Vérifier l’adresse expéditeur sans ouvrir le mail
Dans votre boîte mail, placez le curseur sur le nom affiché de l’expéditeur sans ouvrir le message. L’adresse complète apparaît.
Vérifiez qu’elle correspond bien à l’un des quatre domaines officiels. Si ce n’est pas le cas, supprimez le message directement. Sur téléphone, appuyez longuement sur le nom de l’expéditeur pour révéler l’adresse réelle.
Étape 2 — Survoler le lien sans cliquer
Si vous avez ouvert le mail et qu’il contient un lien, ne cliquez pas encore. Sur ordinateur, placez votre souris sur le lien : l’adresse de destination apparaît en bas de l’écran.
Vérifiez qu’elle commence bien par https://www.ameli.fr. Sur mobile, un appui long sur le lien affiche l’URL complète avant toute redirection. Tout autre domaine doit être considéré comme suspect.
Étape 3 — Vous connecter directement sur ameli.fr pour vérifier
Si le mail annonce quelque chose d’important, ouvrez votre navigateur et tapez ameli.fr vous-même, sans passer par le lien du message.
Ensuite, connectez-vous à votre espace personnel. Si l’information mentionnée dans le mail est réelle, elle sera visible dans votre compte. Si elle n’y figure pas, le mail était frauduleux. C’est aussi simple que cela.
Vous avez cliqué sur un lien frauduleux : que faire immédiatement ?
Cela arrive. Un moment d’inattention, un clic trop rapide. L’essentiel n’est pas de culpabiliser, mais d’agir vite et dans le bon ordre. C’est précisément ce que la plupart des guides disponibles n’expliquent pas.
Vous n’avez rien saisi : les précautions à prendre quand même
Si vous avez cliqué sur le lien mais n’avez rempli aucun formulaire et saisi aucune information, le risque est limité, mais pas nul. Fermez immédiatement la page.
Toutefois, si votre navigateur vous a demandé d’autoriser des notifications ou de télécharger un fichier, refusez.
Effectuez ensuite une analyse avec votre antivirus. Changer votre mot de passe ameli reste une précaution raisonnable dans ce cas.
Vous avez rempli un formulaire ou communiqué vos données bancaires
C’est la situation la plus sérieuse. Il faut agir dans les minutes qui suivent, sans attendre. Si vous avez communiqué vos coordonnées bancaires, appelez immédiatement votre banque pour faire opposition.
Les données volées peuvent être utilisées très rapidement, parfois en quelques heures. Si vous avez transmis vos identifiants ameli, changez votre mot de passe sans délai en vous connectant directement sur ameli.fr.
Signaler, déposer plainte et obtenir de l’aide
Signaler une arnaque ne protège pas seulement votre situation personnelle. Cela permet aussi de faire retirer les sites frauduleux et d’alerter d’autres assurés qui pourraient être ciblés.
Signalez le mail sur la plateforme gouvernementale Pharos (pharos.gouv.fr). Transférez-le également à Signal Spam (signal-spam.fr).
Et en cas de préjudice financier, déposez plainte auprès de la police, de la gendarmerie, ou en ligne via la plateforme Thésée, dédiée aux escroqueries numériques. Contactez ensuite votre CPAM au 3646 pour sécuriser votre dossier.
FAQ : les questions fréquentes sur les faux mails Ameli
On vous propose les questions que les assurés posent le plus souvent sur ce sujet. Les réponses sont courtes et directement actionnables.
L’Assurance Maladie peut-elle m’envoyer un mail sans que je l’aie demandé ?
Oui. Depuis septembre 2025, Ameli envoie automatiquement un mail à chaque remboursement effectué en votre nom. Ces mails sont légitimes. Ils proviennent uniquement des quatre domaines officiels et ne vous demandent aucune information personnelle.
Comment savoir si un lien ameli.fr est authentique ?
Survolez le lien avant de cliquer. L’adresse réelle doit commencer par https://www.ameli.fr ou https://compte.ameli.fr.
Tout autre domaine, même visuellement proche, est suspect. En cas de doute, tapez ameli.fr directement dans votre navigateur plutôt que de passer par le lien du message.
Un faux mail peut-il pirater mon téléphone si je l’ouvre ?
Ouvrir un mail frauduleux sans cliquer sur aucun lien et sans télécharger de fichier présente un risque très faible.
Le danger réel commence dès que vous cliquez sur un lien ou ouvrez une pièce jointe. Restez vigilant même sur mobile, où les liens sont plus difficiles à inspecter.
L’Assurance Maladie envoie-t-elle des mails avec des pièces jointes ?
Non, jamais. Si un mail prétendant venir d’Ameli contient une pièce jointe, ne l’ouvrez pas. C’est systématiquement une tentative de fraude, quelle que soit l’apparence du message.
Que risque-t-on si on donne ses coordonnées bancaires à un phishing ?
Le risque principal est un débit frauduleux sur votre compte bancaire. Les données peuvent être utilisées immédiatement ou revendues à d’autres escrocs.
Faites opposition sans attendre auprès de votre banque et déposez plainte. Plus vous agissez vite, plus vous limitez les dégâts.
Y a-t-il un numéro pour vérifier qu’un mail vient bien de la CPAM ?
Oui. Appelez le 3646, le numéro officiel de l’Assurance Maladie, disponible du lundi au vendredi de 8h à 18h.
Ainsi, un conseiller peut confirmer si le mail que vous avez reçu provient bien de votre CPAM et, si nécessaire, sécuriser votre dossier immédiatement.
