Le quishing, c’est l’arnaque au QR code. Un faux QR code est collé sur un parcmètre, une borne de recharge, une affiche, un faux avis de livraison ou un faux message d’administration. La victime scanne. Elle arrive sur un site qui ressemble au vrai. Elle paie une petite somme, entre ses identifiants bancaires, valide une opération ou télécharge une application. Quelques minutes ou quelques heures plus tard, le compte bancaire est débité.
Le sujet monte parce que les QR codes sont partout. Le ministère de l’Intérieur a mis à jour en mars 2026 une fiche dédiée aux cyberattaques qui vise expressément le QR phishing ou quishing. Le rapport annuel 2026 sur la cybercriminalité publié par le ministère de l’Intérieur confirme aussi que les fraudes numériques restent un axe majeur de la délinquance actuelle. L’enjeu, pour une victime, n’est pas seulement de comprendre l’arnaque. Il faut agir vite, déposer plainte utilement, contester l’opération auprès de la banque et conserver les preuves avant qu’elles disparaissent.
Qu’est-ce que le quishing ?
Le quishing est une forme d’hameçonnage. Le QR code ne contient pas l’arnaque en lui-même : il renvoie vers un site, une page de paiement ou un fichier contrôlé par les fraudeurs. La victime croit payer un stationnement, une amende, une livraison, une recharge électrique, un menu de restaurant, une facture ou une formalité administrative. En réalité, elle communique ses données à un tiers.
Les scénarios les plus fréquents sont simples.
Un faux autocollant recouvre le QR code officiel d’un parcmètre. Une fausse affiche invite à payer une contravention. Un SMS prétend que le paiement d’un colis est bloqué et affiche un QR code. Une page imite une banque et demande de valider une opération pour “sécuriser” le compte. Une fois les données obtenues, l’escroc peut tenter un paiement carte, un virement, une activation de portefeuille mobile ou une prise de contrôle plus large du compte.
Sur le plan pénal, plusieurs qualifications peuvent être discutées selon les faits. L’article 313-1 du Code pénal réprime l’escroquerie, lorsque des manoeuvres frauduleuses déterminent la remise de fonds ou de données utiles au paiement. Si l’arnaque implique un accès frauduleux à un compte, à une interface bancaire ou à un système informatique, l’article 323-1 du Code pénal peut également entrer dans l’analyse. En pratique, la plainte doit décrire les faits avec précision plutôt que chercher à imposer une qualification.
Que faire dans les premières heures ?
La première urgence est bancaire. Il faut faire opposition à la carte si elle a été compromise, changer les mots de passe, révoquer les accès à l’application bancaire et vérifier les bénéficiaires enregistrés. Si un virement a été lancé, il faut demander immédiatement à la banque une tentative de rappel des fonds. Cette demande doit être écrite.
La deuxième urgence est probatoire. Il faut conserver le QR code, l’affiche, l’autocollant, le SMS, le mail, l’URL de redirection, les captures d’écran, l’heure du scan, le lieu précis et les mouvements bancaires. Si le faux QR code est sur la voie publique, une photographie large permet d’identifier l’emplacement. Une photographie rapprochée permet de lire le QR code, l’URL courte ou le support collé. Il faut éviter de supprimer les messages reçus avant d’avoir exporté ou capturé les éléments.
La troisième urgence est procédurale. Le site officiel Ma Sécurité indique que la victime peut déposer une plainte en ligne pour une arnaque sur internet lorsqu’une demande d’argent a été faite, même si aucun versement n’a encore été encaissé. La victime peut aussi prendre rendez-vous ou se déplacer au commissariat ou à la gendarmerie.
Dans les dossiers importants, il est préférable de préparer une plainte structurée. Elle doit indiquer le support utilisé, l’identité apparente de l’organisme imité, le lien ouvert, les opérations contestées, les échanges avec la banque, les démarches d’opposition et les pièces jointes. Une plainte imprécise peut retarder l’enquête et affaiblir ensuite la contestation bancaire.
Remboursement bancaire : ce que la banque peut opposer
Lorsqu’une opération de paiement n’a pas été autorisée, le régime de principe se trouve dans le Code monétaire et financier. L’article L. 133-18 du Code monétaire et financier prévoit le remboursement de l’opération non autorisée dans les conditions prévues par ce régime. Mais la banque peut refuser si elle estime que le client a agi frauduleusement ou avec négligence grave.
Cette notion est le coeur du contentieux. La banque soutient souvent que le client a cliqué sur un lien, communiqué ses codes, validé une authentification forte ou ignoré les alertes de sécurité. Le client répond qu’il a été trompé par un dispositif crédible : faux QR code posé dans un lieu public, interface imitée, urgence artificielle, appel d’un faux conseiller, usage d’informations personnelles déjà détenues par les fraudeurs.
La Cour de cassation a rappelé, dans un arrêt de la chambre commerciale du 15 janvier 2025, que lorsque la responsabilité du prestataire de paiement est recherchée à raison d’une opération non autorisée, “seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier” (Cass. com., 15 janvier 2025, n° 23-13.579). Cela signifie qu’il faut raisonner dans le cadre spécial du paiement non autorisé, avec les preuves propres à ce régime.
Concrètement, la victime ne doit pas se limiter à écrire : “j’ai été arnaqué”. Elle doit expliquer pourquoi elle n’a pas consenti à l’opération contestée, dans quelles circonstances le QR code a été scanné, ce qui rendait le support crédible, quelles validations ont été demandées et à quel moment elle a alerté la banque. Le délai de réaction compte. Les pièces comptent davantage.
Plainte pour quishing : quelles pièces joindre ?
Une plainte utile doit être factuelle. Elle peut être organisée autour de cinq blocs.
Premier bloc : le contexte. Date, heure, lieu, support du QR code, service imité, montant annoncé, téléphone utilisé, navigateur ou application ouverte.
Deuxième bloc : le chemin numérique. Capture du QR code, URL affichée, nom de domaine, page de paiement, message d’erreur, courriels ou SMS reçus, numéro appelant si un faux conseiller intervient.
Troisième bloc : les opérations bancaires. Relevé des débits, heure des opérations, bénéficiaire apparent, montant, type d’opération, contestation envoyée à la banque, accusé de réception, opposition.
Quatrième bloc : les démarches déjà faites. Appel à la banque, blocage de la carte, changement de mot de passe, signalement sur les plateformes officielles, dépôt de plainte ou rendez-vous prévu.
Cinquième bloc : les préjudices. Sommes débitées, frais bancaires, blocage du compte, impossibilité de payer des charges, temps perdu, stress, démarches imposées.
Lorsque les montants sont élevés, lorsqu’un compte professionnel est touché ou lorsque la banque refuse le remboursement, l’assistance d’un avocat en escroquerie à Paris permet de coordonner la plainte pénale et la contestation bancaire. Le dossier ne se gagne pas avec un récit général. Il se construit avec une chronologie et des pièces.
Paris et Île-de-France : les réflexes pratiques
À Paris et en Île-de-France, le quishing peut toucher des lieux de passage : stationnement, transports, bornes de recharge, commerces, événements, halls d’immeubles, campus, espaces de coworking. La preuve matérielle peut disparaître vite. Un autocollant peut être retiré dans la journée. Une page frauduleuse peut être désactivée. Une URL courte peut devenir inaccessible.
Il faut donc photographier le support dès la découverte, noter l’adresse exacte et, si possible, signaler le faux QR code à l’exploitant du lieu ou à la mairie. Ce signalement ne remplace pas la plainte. Il complète le dossier et peut aider à identifier d’autres victimes.
Si vous êtes convoqué parce que votre compte, votre téléphone ou votre entreprise a servi de relais dans une fraude, le sujet change. Vous n’êtes plus seulement victime. Vous pouvez être entendu en audition libre ou placé en garde à vue si les enquêteurs soupçonnent une participation, même indirecte. Dans ce cas, il faut préparer l’audition avec un avocat en garde à vue à Paris, en distinguant ce que vous avez fait, ce que vous avez validé et ce qui a été réalisé à votre insu.
Les erreurs à éviter
La première erreur est d’attendre la réponse de la banque avant de déposer plainte. Les deux démarches doivent avancer en parallèle.
La deuxième erreur est de supprimer les SMS ou les captures par peur d’avoir conservé un lien frauduleux. Il faut conserver la preuve sans recliquer dessus.
La troisième erreur est d’accepter trop vite l’argument de la négligence grave. Avoir été trompé ne suffit pas toujours à caractériser une négligence grave. Tout dépend du contexte, du degré d’imitation, des alertes reçues, du niveau d’information de la victime et du fonctionnement de l’authentification.
La quatrième erreur est de rédiger une contestation bancaire trop courte. Une banque répond à un dossier. Elle répond rarement à une simple affirmation.
La cinquième erreur est de confondre signalement et plainte. Un signalement aide les services compétents. Une plainte vise l’infraction subie et permet de formaliser la qualité de victime.
Besoin d’un avis rapide sur votre dossier.
Consultation téléphonique en 48 heures avec un avocat du cabinet.
Appelez le 06 89 11 34 45 ou utilisez la page contact du cabinet.
À Paris et en Île-de-France, le cabinet peut relire votre chronologie, vos pièces bancaires et votre projet de plainte avant dépôt ou contestation.
