Garez votre voiture en ville, revenez une heure plus tard, et vous trouvez sous l’essuie-glace un avis de contravention très réaliste, avec un QR code à scanner pour payer en ligne. Sauf que ce PV n’émane pas de la police municipale, mais d’un réseau d’escrocs. Cette arnaque au QR code de stationnement s’est intensifiée depuis début 2026 à Paris, Lyon, Nice, Massy, Verrières-le-Buisson et dans plusieurs autres villes. Le but : vous pousser à régler une amende fictive en saisissant vos coordonnées bancaires sur un site frauduleux qui imite les portails officiels. Voici comment la reconnaître, éviter le piège, et agir si vous êtes déjà tombé dedans.
Sommaire
Comment fonctionne exactement cette escroquerie
Le fraudeur dépose sur le pare-brise un document imitant un forfait post-stationnement réel, avec logo tricolore, numéro de plaque vaguement lisible, montant affiché (souvent 35 à 50 euros), mention de la ville et un QR code à scanner pour régler rapidement. Le graphisme est soigné, parfois même mieux que les vrais PV municipaux : papier glacé, polices administratives, référence technique à un article du Code de la route. Tout semble officiel au premier regard.
Quand la victime scanne le QR code avec son téléphone, elle est redirigée vers un site portant un nom trompeur comme « idf-stationnement.com », « amende-gouv.fr » ou « paris-parking-officiel.com ». Ces domaines n’ont aucun lien avec les services de l’État, qui utilisent exclusivement le site stationnement.gouv.fr pour les paiements en ligne. Sur le faux site, on demande à l’automobiliste sa plaque d’immatriculation, puis ses coordonnées de carte bancaire pour « régler l’amende ».
Ce que les escrocs récupèrent réellement
Le paiement apparent de 35 ou 50 euros n’est que l’entrée du piège. Une fois votre carte bancaire saisie, les fraudeurs disposent de l’ensemble des données utiles : numéro à 16 chiffres, date d’expiration, cryptogramme CVV au dos, nom du titulaire. Avec ce jeu d’informations, ils peuvent effectuer des achats en ligne dans les heures qui suivent, le plus souvent sur des sites qui ne demandent pas d’authentification 3D Secure renforcée.
Dans les cas les plus sévères, les escrocs utilisent les données pour souscrire des abonnements frauduleux, effectuer des virements non autorisés ou revendre les informations sur des places de marché cybercriminelles. Les victimes constatent souvent le problème deux à trois jours plus tard, quand leur relevé bancaire montre des débits inexpliqués pour des montants allant de quelques dizaines à plusieurs centaines d’euros. Si la banque n’a pas automatiquement bloqué les transactions suspectes, la perte peut rapidement devenir substantielle.
Deux variantes à connaître : QR code sur l’horodateur et PV sur pare-brise
La première variante, repérée initialement à Nice puis à Saint-Laurent-du-Var, consiste à coller un faux QR code par-dessus celui d’un horodateur officiel. L’automobiliste qui scanne pour régler sa place de stationnement est redirigé vers le faux site, croyant passer par l’application PayByPhone ou l’équivalent municipal. Très trompeur pour les utilisateurs habitués au paiement sans contact dans leur ville, qui ne vérifient plus systématiquement l’URL atteinte.
La deuxième variante, plus récente, consiste à déposer de faux PV directement sur les pare-brise, principalement dans les zones résidentielles où les voitures restent stationnées plusieurs heures. Moins visible des agents de police municipale, cette méthode permet aux escrocs de laisser des dizaines de faux PV dans un quartier en un seul passage. Les victimes rentrent chez elles, découvrent l’avis, paient en quelques clics depuis leur canapé sans prendre le temps de vérifier.
Les 4 signaux d’alerte pour reconnaître un faux PV
Premier signal : le QR code mène à une URL qui ne se termine pas par .gouv.fr. Le seul portail officiel pour régler un forfait post-stationnement ou une amende en ligne est stationnement.gouv.fr pour les FPS ou amendes.gouv.fr pour les amendes forfaitaires. Si l’adresse qui s’affiche après le scan est différente, c’est une arnaque à coup sûr. Vérifiez l’URL avant de saisir quoi que ce soit : un https avec un cadenas ne garantit pas que le site est officiel.
Deuxième signal : le montant. Un FPS parisien s’élève à 75 euros pour la zone 1 et 50 euros pour la zone 2. Un FPS à Nice est de 25 euros et à Marseille de 17 euros seulement. Un montant de 25 ou 29 euros, très fréquent sur les faux PV, doit alerter. Les escrocs baissent volontairement le tarif pour inciter au paiement immédiat sans réflexion.
Troisième signal : les coordonnées du service. Un vrai PV municipal comporte toujours les coordonnées de l’ANTAI (Agence nationale de traitement automatisé des infractions), la personne responsable du traitement du dossier, un numéro de dossier à plusieurs chiffres, et la mention légale RGPD. Un faux PV est généralement plus sommaire, avec un QR code dominant et peu de texte explicatif.
Quatrième signal : l’absence de contact humain. Si vous avez un doute, appelez le service stationnement de votre ville ou l’ANTAI (0806 607 145 pour les FPS). Aucun agent ne vous pressera de payer dans l’heure. Les vrais FPS laissent 3 mois pour régler, avec une minoration si paiement rapide mais pas de menace immédiate.
Que faire si vous avez déjà payé sur un faux site
Agissez vite. Premier réflexe : appelez votre banque pour faire opposition sur votre carte bancaire dans les minutes qui suivent la saisie. Certaines banques peuvent encore bloquer la transaction si elle n’a pas été validée côté commerçant. Demandez le remplacement de la carte et surveillez les débits sur les 30 jours suivants, les escrocs peuvent effectuer des prélèvements différés.
Deuxième réflexe : déposez plainte auprès du commissariat ou de la gendarmerie avec l’avis frauduleux (s’il est encore en votre possession), les captures d’écran du site visité, et le relevé bancaire montrant le débit contesté. Cette plainte permettra à votre banque de déclencher plus facilement la procédure de remboursement, généralement sous 10 jours ouvrés pour les débits de moins de 50 euros et 30 jours pour les montants supérieurs.
Troisième réflexe : signalez l’arnaque sur la plateforme nationale PHAROS (internet-signalement.gouv.fr) et via l’application Thésée de la police nationale, dédiée aux escroqueries numériques. Ce signalement permet aux services de l’État de démanteler les réseaux de fraudeurs et de faire retirer les faux sites par les hébergeurs. Plus les signalements sont nombreux, plus les procédures s’accélèrent.
Comment éviter définitivement ce type d’arnaque
Premier principe de prudence : ne scannez JAMAIS un QR code reçu sur un document papier sans vérifier à la main l’URL cible. Les applications d’appareil photo des smartphones modernes affichent généralement un aperçu du lien avant d’ouvrir la page. Prenez 3 secondes pour lire l’URL. Si elle est suspecte (domaine inconnu, fautes de frappe, terminaison exotique), n’ouvrez pas la page.
Deuxième principe : préférez les applications de paiement officielles des villes. À Paris, Paris Pay Stationnement; à Lyon, l’application OnePark; dans la plupart des autres villes, PayByPhone. Ces apps sont liées directement à votre compte bancaire par tokenisation, sans jamais vous rediriger vers un site externe pour les paiements. Les risques de phishing sont virtuellement nuls.
Troisième principe : activez les alertes SMS ou push sur toutes vos transactions bancaires supérieures à 10 euros. Votre banque vous notifiera immédiatement de tout débit suspect, ce qui vous permet de réagir dans les minutes qui suivent. Couplée à un plafond de paiement en ligne relativement bas (200 euros par jour par exemple), cette double protection rend les conséquences d’un phishing infiniment plus maîtrisables.
Ce qu’il faut savoir
L’arnaque au QR code de stationnement touche désormais une dizaine de grandes villes françaises, avec un pic prévu à l’été 2026 lorsque les touristes sont plus nombreux et moins vigilants. Le faux PV semble officiel, le QR code redirige vers un site frauduleux qui siphonne vos données bancaires. Règle d’or : le seul site légitime est stationnement.gouv.fr, toute URL différente est une arnaque. Ne scannez jamais sans vérifier l’URL, préférez les apps officielles des villes, activez les alertes bancaires, signalez tout faux PV à la police municipale ou sur PHAROS. La vigilance de chacun protège tout le monde, notamment contre l’arnaque par SMS prétendant un colis en attente dont les mécaniques sont similaires. Et si vous flairez une arnaque dans un autre contexte, les 30 secondes pour déjouer une arnaque sur Le Bon Coin offrent les mêmes réflexes transférables.
