Une station-service, un boîtier invisible, des comptes vidés à des centaines de kilomètres. Derrière cette fraude, une mécanique bien huilée qui interroge sur la sécurité des paiements électroniques et les habitudes de consommation à la pompe. Retour sur un mode opératoire inquiétant qui met les banques et les consommateurs face à leurs responsabilités.

Arnaque à la pompe shimmer : une escroquerie invisible, des conséquences bien réelles

Dans le Val-de-Marne, une station-service située à Vitry-sur-Seine est au cœur d’un dossier de fraude bancaire révélé mi-juin 2025. Selon les informations du Parisien (14 juin 2025), quatre hommes de nationalité roumaine, âgés de 43 à 56 ans, ont été arrêtés le 13 juin 2025 et placés en détention provisoire. Leur mode opératoire : avoir discrètement installé un shimmer à l’intérieur du terminal de paiement.

Le shimmer, contraction de « skimmer » et « slim », est un boîtier électronique extrêmement fin qui s’intègre directement dans la fente de lecture des cartes bancaires. Il capte en temps réel les informations de la puce (numéro, date d’expiration) ainsi que le code PIN. Les données volées sont ensuite transmises vers l’Espagne, où elles sont utilisées pour créer des cartes contrefaites.

Cette opération criminelle attire l’attention par la simplicité de sa mise en œuvre et par la vulnérabilité des terminaux utilisés dans les stations-service. En l’absence de surveillance humaine, les stations constituent des cibles privilégiées pour ce type d’attaque.

L’enquête, menée par la Brigade des Fraudes aux Moyens de Paiement (BFMP), a été déclenchée après une alerte du groupement d’intérêt économique Carte Bancaire, ayant détecté une activité suspecte. Des perquisitions ont permis la saisie de matériel de shimming et de 9 000 euros en liquide, toujours selon Le Parisien.

Le parquet de Paris confirme que d’autres terminaux pourraient avoir été compromis. Et selon une source policière citée dans l’enquête, il est à ce stade « impossible de savoir combien de clients ont été victimes de cette arnaque« .

Une faille dans la chaîne du paiement par carte

Ce cas met en lumière les limites du modèle de paiement par carte insérée, notamment dans les environnements en libre-service. À l’inverse des distributeurs automatiques qui bénéficient souvent de contrôles renforcés, les terminaux à la pompe offrent un point d’entrée peu protégé aux fraudeurs.

En 2023, le shimming a causé un préjudice estimé à 36 000 euros en France, selon l’Observatoire de la sécurité des moyens de paiement. Un chiffre encore marginal à l’échelle nationale, mais en croissance, et considéré comme sous-évalué par plusieurs spécialistes du secteur bancaire. L’impact réel reste difficile à mesurer, notamment en raison des délais de détection des fraudes par les victimes elles-mêmes.

Si les victimes d’un retrait frauduleux peuvent en principe être remboursées dans un délai de 24 heures, comme le prévoit le Code monétaire et financier, cette protection reste conditionnée à une déclaration dans les 12 mois suivant l’opération litigieuse. Or, les fraudes liées au shimming ne laissent aucune trace apparente au moment du paiement.

Ce type d’arnaque relance le débat sur la sécurisation des terminaux de paiement en environnement libre-service. Il pousse également à réinterroger les habitudes de consommation, alors que le paiement sans contact, non vulnérable au shimming, se généralise.