L’Autorité européenne des marchés financiers (ESMA) alerte contre une campagne de phishing ciblant les entreprises crypto, profitant de la fin de la transition MiCA le 30 juin 2026. Les escrocs usurpent l’identité du régulateur pour réclamer des frais d’urgence aux prestataires de services crypto (CASP), selon Wu Blockchain.

Au programme

  • L’ESMA signale des emails frauduleux exigeant des frais pour une « procédure accélérée » d’agrément MiCA (source : Wu Blockchain, 11 juillet 2026)
  • Les escrocs usurpent le logo, le nom et l’identité visuelle de l’autorité pour tromper les entreprises
  • Le régulateur rappelle qu’il ne demande jamais de paiement via un courriel non sollicité et n’utilise que le domaine @esma.europa.eu

Comment les escrocs exploitent-ils la fin de la transition MiCA ?

Le 30 juin 2026 a marqué la fin de la période transitoire pour les PSAN souhaitant obtenir le statut de CASP. Ce jalon réglementaire a créé une fenêtre d’opportunité pour les cybercriminels, qui adressent des emails frauduleux aux entreprises encore en attente de validation, leur proposant un traitement accéléré contre paiement immédiat. Les messages usurpent l’identité complète de l’ESMA : nom, logo, charte graphique et signature institutionnelle, rendant la fraude difficile à détecter. Les victimes sont incitées à transmettre des informations confidentielles ou à effectuer des virements. Ce phénomène de phishing sophistiqué fait écho aux risques de sécurité dénoncés dans la régulation des marchés prédictifs sportifs.

Quels sont les signaux d’alerte et les recommandations de l’ESMA ?

L’autorité rappelle plusieurs garde-fous. Toute communication officielle provient exclusivement d’adresses en @esma.europa.eu. Le régulateur ne sollicite jamais de transfert de fonds, de frais supplémentaires ou de données personnelles par email. Les frais officiels d’enregistrement sont publiés sur le site de l’ESMA, jamais réclamés dans l’urgence. En cas de doute, les sociétés doivent contacter directement leur autorité nationale compétente, comme l’AMF en France. La pression croissante sur les firmes crypto pour se conformer rapidement les rend plus vulnérables à ce type d’urgence fabriquée.

Pourquoi cette alerte est-elle cruciale pour le secteur ?

La fin de la transition a créé un goulot d’étranglement. De nombreuses entreprises, dont des plateformes majeures, ont déposé leur dossier tardivement, ce qui les place sous une pression administrative forte. L’empressement constitue un vecteur d’attaque privilégié pour les campagnes de phishing, où l’urgence perçue diminue la vigilance. Les amendes pour non-conformité peuvent atteindre 12,5 % du chiffre d’affaires annuel pour les émetteurs de stablecoins non autorisés, ce qui rend crédible l’idée de payer une « taxe de régularisation ».

Depuis le 30 juin, tout CASP en exercice sans agrément s’expose à des sanctions. Les régulateurs comme l’AMF peuvent également exiger des garanties financières, à l’image des régulations imposées aux gages d’actifs numériques.

Questions fréquentes

Qu’est-ce que le phishing MiCA signalé par l’ESMA ?

C’est une campagne de courriels frauduleux où des escrocs se font passer pour l’ESMA, ciblant les entreprises crypto en quête d’agrément. Ils exigent un paiement pour une « procédure accélérée », une pratique que l’autorité n’emploie jamais.

Comment vérifier qu’un email provient bien de l’ESMA ?

Vérifiez l’adresse d’expédition : les communications officielles utilisent exclusivement le domaine @esma.europa.eu. L’ESMA ne demande jamais de paiement, de frais supplémentaires ou de données personnelles par courriel non sollicité.

Quels risques encourent les entreprises sans agrément MiCA ?

Depuis le 1ᵉʳ juillet 2026, tout CASP en exercice sans agrément valide s’expose à des sanctions pouvant atteindre 12,5 % de son chiffre d’affaires annuel pour les cas les plus graves (émetteurs de stablecoins non autorisés).

Que faire en cas de réception d’un email suspect ?

Contactez immédiatement votre autorité nationale compétente (comme l’AMF en France) pour signaler la tentative. Ne répondez pas, ne cliquez sur aucun lien et n’effectuez aucun paiement. Transmettez le message aux autorités pour renforcer la cartographie de la menace.

À retenir

L’ESMA ne facture aucun frais par email et n’utilise que le domaine @esma.europa.eu. En cette période post-transition, chaque entreprise crypto doit redoubler de prudence face aux sollicitations non vérifiées. L’autorité invite à transmettre toute tentative suspecte aux autorités nationales pour renforcer la cartographie de la menace.

Sources

  • Wu Blockchain
  • ESMA
Signal Neutre
Impact Mineur
Nous ajouter à vos sources préférées sur Google