Communiquer les 4 derniers chiffres de votre carte bancaire ne permet, à eux seuls, aucun paiement ni aucun débit sur votre compte. Le risque ne vient donc pas du chiffre lui-même, mais du contexte de la demande : si c’est vous qui appelez votre banque ou un service client, c’est sans danger. Si c’est un appel entrant ou un SMS qui les réclame, c’est presque toujours une tentative d’arnaque.
Pour un paiement, il faut le numéro complet à 16 chiffres, la date d’expiration et le cryptogramme à 3 chiffres (CVV). Sans ces trois éléments réunis, aucune transaction n’est possible. Les 4 derniers chiffres sont une donnée d’identification — pas une donnée d’authentification.
Données nécessaires à un paiement en ligne. Selon la directive européenne DSP2, en vigueur depuis septembre 2019, tout paiement en ligne supérieur à 30€ déclenche une authentification forte du client (validation via application bancaire, biométrie ou code SMS). Cette protection s’ajoute aux données de la carte et rend la fraude beaucoup plus difficile, même en cas de fuite partielle de données.
Source : francenum.gouv.fr — Authentification forte DSP2Pourquoi les 4 derniers chiffres ne suffisent pas pour vous voler de l’argent
Une carte bancaire Visa, Mastercard ou CB compte 16 chiffres au total (le PAN, ou Primary Account Number). Cette suite n’est pas aléatoire : les 6 à 8 premiers chiffres identifient la banque émettrice et le réseau (c’est ce qu’on appelle le BIN, ou Bank Identification Number), tandis que le dernier chiffre est une clé de contrôle calculée par l’algorithme de Luhn.
Les 4 derniers chiffres servent uniquement à identifier la carte parmi plusieurs. Ils apparaissent sur vos relevés bancaires, vos reçus de paiement, vos confirmations de commande. Leur fonction est purement administrative : permettre à un conseiller de retrouver une transaction sans manipuler le numéro complet, ou vous aider à reconnaître quelle carte a été utilisée si vous en possédez plusieurs.
Dans la pratique, un fraudeur qui ne dispose que des 4 derniers chiffres ne peut rien faire : il lui manque les 12 premiers chiffres, la date d’expiration, le cryptogramme à 3 chiffres au dos de la carte, et désormais la validation par authentification forte imposée par la DSP2. Le débit direct sur votre compte est techniquement impossible.
Le vrai risque : la fraude au faux conseiller bancaire
Le danger n’est pas dans les 4 chiffres, mais dans le scénario d’arnaque qui les utilise comme entrée en matière. La fraude au faux conseiller bancaire — aussi appelée vishing (contraction de « voice » et « phishing ») — est devenue l’escroquerie la plus fréquente en France, et elle s’appuie souvent sur la divulgation initiale de ces 4 chiffres pour gagner votre confiance.
Le scénario est toujours le même. Vous recevez un appel d’une personne se présentant comme un conseiller du service anti-fraude de votre banque. Le numéro affiché sur votre téléphone est parfois celui de votre banque grâce à une technique appelée spoofing. L’interlocuteur connaît votre nom, votre adresse, parfois même les 4 derniers chiffres de votre carte — données récupérées via des fuites d’entreprises ou achetées sur le darknet.
⚠️ Erreur fréquente
Confirmer ses 4 derniers chiffres à un appelant qui prétend être votre banque ne semble pas grave puisque ces chiffres ne permettent pas de paiement. Mais cette confirmation valide aux yeux du fraudeur que vous êtes bien le titulaire de la carte — et l’encourage à passer à l’étape suivante : vous demander de valider une opération sur votre application bancaire ou de communiquer un code reçu par SMS. C’est cette validation, pas les 4 chiffres, qui vide votre compte.
Selon le baromètre 2024-2025 de Cybermalveillance.gouv.fr, les signalements de fraude au faux conseiller bancaire ont bondi de 78%. La Fédération bancaire française rappelle une règle absolue : un vrai conseiller ne vous demandera jamais un code, un mot de passe ou un identifiant. La meilleure parade reste la phrase recommandée par la FBF : « Je raccroche et je vous rappelle immédiatement sur le numéro officiel de la banque », en composant manuellement le numéro inscrit au dos de votre carte.
Quand donner les 4 derniers chiffres est sans risque
Le partage de ces chiffres est légitime — et même utile — dans plusieurs situations courantes. Le critère est toujours le même : c’est vous qui avez initié le contact, via un canal officiel.
Lors d’un appel à votre conseiller bancaire que vous composez vous-même, les 4 chiffres permettent au conseiller d’identifier rapidement la bonne carte dans son système, surtout si plusieurs cartes sont rattachées à votre compte. Sur un site e-commerce, après un paiement, le service après-vente peut les demander pour retrouver une commande liée à un litige. Dans ces deux cas, vous pouvez les communiquer sans inquiétude — ils ne servent qu’à pointer la bonne ligne dans une base de données.

En revanche, les 6 premiers chiffres sont également peu sensibles seuls : ils identifient simplement la banque émettrice. Ne diffusez jamais publiquement plus de 6 chiffres en début de carte ou plus de 4 chiffres en fin de carte. Et surtout, le cryptogramme à 3 chiffres au dos ne doit JAMAIS être communiqué par téléphone ou par email — il ne se saisit qu’en ligne, sur des sites en HTTPS, lors d’un paiement que vous initiez.
Comment distinguer une demande légitime d’une tentative de fraude
Plusieurs signaux doivent déclencher votre vigilance immédiatement. Une communication non sollicitée (appel entrant, SMS d’alerte, email) qui réclame vos données bancaires est suspecte par défaut. La pression temporelle (« votre compte sera bloqué dans deux heures ») est un autre marqueur fiable de l’arnaque : aucune banque ne vous mettra sous pression au téléphone.
Un vrai conseiller ne vous demandera jamais de valider une opération sur votre application bancaire pour soi-disant « annuler une fraude ». Aucune opération ne se bloque par validation client — elle se bloque par opposition. De même, votre banque ne vous demandera jamais le code confidentiel à 4 chiffres de votre carte, ni le cryptogramme au dos, ni de remettre votre carte à un coursier.
Si un détail vous met le doute pendant un appel, raccrochez et rappelez en composant manuellement le numéro inscrit au dos de votre carte. Ne rappelez jamais le numéro de l’historique d’appel — il pourrait être usurpé. C’est la seule méthode totalement sûre pour vérifier l’identité d’un interlocuteur prétendant être votre banque.
Que faire si vous avez communiqué vos chiffres à un fraudeur
Si vous avez transmis vos 4 derniers chiffres dans un contexte douteux mais sans rien d’autre, le risque immédiat est faible. Surveillez attentivement vos relevés pendant les 30 jours suivants et activez les notifications de transaction sur votre application bancaire. Tant que le fraudeur n’a pas obtenu le numéro complet, la date d’expiration et le cryptogramme, il ne peut pas effectuer de paiement.
Si en revanche vous avez aussi communiqué d’autres données (numéro complet, cryptogramme, code SMS, code confidentiel) ou validé une opération sur votre application, agissez immédiatement. Faites opposition sur votre carte via votre application bancaire ou en appelant votre banque. À défaut, le service interbancaire d’opposition est joignable au 0 892 705 705 (24h/24, 7j/7, service surtaxé à 0,35€/min). Conservez le numéro d’enregistrement communiqué — il sert de preuve datée de votre démarche.
Délais légaux de contestation et remboursement. Vous disposez de 13 mois pour contester une opération non autorisée effectuée dans l’Espace économique européen, et 70 jours hors EEE. En cas de fraude sans utilisation de votre code confidentiel, le remboursement par votre banque est intégral. Si votre code a été utilisé, une franchise maximale de 50€ s’applique (article L133-19 du Code monétaire et financier), sauf en cas de négligence grave de votre part.
Source : economie.gouv.fr — Fraude carte bancaireSi votre carte est encore en votre possession mais que des paiements frauduleux ont été effectués en ligne, signalez la fraude sur la plateforme Perceval, accessible via FranceConnect sur Service-public.fr. Cet enregistrement, obligatoire après opposition, permet à la gendarmerie nationale de centraliser les signalements et facilite votre demande de remboursement auprès de la banque. Si vous constatez ensuite un débit étrange dont vous ne reconnaissez pas l’origine, notre guide sur comment trouver le destinataire d’un prélèvement inconnu vous donne la méthode pour identifier rapidement le créancier.

Bonnes pratiques pour protéger votre carte au quotidien
La meilleure protection passe par quelques réflexes simples. Activez les notifications en temps réel de chaque transaction sur votre application bancaire — vous repérerez un paiement frauduleux dans la minute, pas un mois plus tard sur le relevé. Utilisez la tokenisation via Apple Pay ou Google Pay : votre numéro de carte n’est jamais transmis au commerçant, c’est un identifiant à usage unique qui circule à sa place.
Pour les achats sur des sites peu connus, beaucoup de banques en ligne proposent des cartes virtuelles à usage unique ou plafonnées : le numéro généré ne peut servir qu’une fois, ou pour un montant limité. C’est aussi simple à activer qu’un virement, et cela élimine quasiment tout risque même en cas de fuite des données chez le marchand.
Enfin, masquez les chiffres de votre carte sur les réseaux sociaux et les photos. Ne diffusez jamais simultanément les 6 premiers et les 4 derniers chiffres : combinés à votre nom et à la date d’expiration souvent visible, ils permettent à un fraudeur de tenter de reconstituer le PAN complet par déduction sur les chiffres restants. La règle est simple : on peut montrer les 6 premiers OU les 4 derniers, jamais les deux.
Questions fréquentes
Un commerçant a-t-il le droit de me demander mes 4 derniers chiffres ?
Oui, dans le cadre du service après-vente ou pour identifier une commande, c’est une demande légitime. Le commerçant ne peut effectuer aucun paiement avec ces seuls chiffres. Refusez en revanche s’il demande le numéro complet, la date d’expiration ou le cryptogramme par téléphone ou par email — ces données ne se communiquent qu’au moment d’un paiement, sur un site sécurisé en HTTPS, à l’initiative de l’acheteur.
Pourquoi mon application bancaire affiche-t-elle les 4 derniers chiffres de ma carte ?
C’est une norme de sécurité internationale appelée PCI DSS (Payment Card Industry Data Security Standard). Cette norme interdit aux applications et aux marchands d’afficher le numéro complet, sauf au titulaire authentifié. Afficher les 4 derniers chiffres permet de vous aider à identifier votre carte sans exposer la donnée sensible. C’est une protection, pas une faille.
Mon employeur ou un site marchand peut-il stocker mes 4 derniers chiffres ?
Oui, et c’est encadré par le RGPD. Les 4 derniers chiffres sont considérés comme une donnée personnelle. L’entreprise qui les conserve doit avoir une base légale (exécution d’un contrat, par exemple) et garantir leur sécurité. Vous pouvez exercer votre droit à l’effacement en demandant la suppression de cette donnée à tout moment, sauf obligation légale de conservation (comptabilité notamment).
Que faire si je reçois un SMS suspect mentionnant les derniers chiffres de ma carte ?
Ne cliquez sur aucun lien, ne rappelez aucun numéro indiqué dans le SMS. Si le message évoque un paiement à confirmer ou un blocage imminent, connectez-vous directement à votre application bancaire via vos favoris ou en saisissant l’URL — pas via le lien du SMS. Vous pouvez signaler le SMS au 33 700 (plateforme officielle de signalement des SMS frauduleux) en transférant simplement le message.
Donner les 4 derniers chiffres permet-il une usurpation d’identité ?
Seuls, non. Combinés à d’autres données personnelles (nom complet, adresse, date de naissance, numéro de téléphone), ils peuvent servir à constituer un dossier crédible pour une usurpation. Le fraudeur ne s’en sert pas pour ouvrir un crédit — il lui faudrait bien plus — mais pour valider votre identité auprès d’un service tiers et obtenir d’autres informations. C’est pour cette raison que la prudence reste de mise même si la donnée semble anodine.
Sources
Banque de France — La carte de paiement et opposition (banque-france.fr)
Service-public.fr — Plateforme Perceval, signalement de fraude carte bancaire
economie.gouv.fr — Que faire en cas de fraude, perte ou vol de carte bancaire
Cybermalveillance.gouv.fr — Fiche fraude au faux conseiller bancaire
ABE Infoservice (Banque de France) — Spoofing, vishing, phishing, smishing
francenum.gouv.fr — Authentification forte DSP2 et protection contre le vishing
Les clés de la banque (FBF) — Phishing, smshing, quishing : les reconnaître pour les éviter
Code monétaire et financier — Articles L133-9 et L133-19 (Legifrance)
Cet article est publié à titre informatif. Il ne constitue pas un conseil personnalisé en matière de sécurité bancaire ou de protection des moyens de paiement. En cas de fraude avérée, contactez sans délai votre banque et déposez plainte auprès des forces de l’ordre. Placer Mon Argent décline toute responsabilité quant aux décisions prises sur la base de ces informations.


