Il collegio di coordinamento dell’ABF su digital wallet e autenticazione forte del cliente (SCA)

Tempo di lettura stimato:2 Minuti, 31 Secondi

Il provvedimento in esame affronta il tema dell’autenticazione forte del cliente (SCA) e della responsabilità degli intermediari nei casi di transazioni fraudolente eseguite tramite wallet digitali, soffermandosi in particolare sull’idoneità del codice di sblocco del dispositivo come elemento di autenticazione SCA. Nel caso di specie, la ricorrente aveva chiesto il rimborso di dieci operazioni non autorizzate, ma il Collegio ha rigettato l’istanza, ravvisando una colpa grave nella condotta della cliente.

1. Contesto Normativo e Obblighi degli Intermediari

L’analisi ruota attorno al D.lgs. 11/2010 e alla PSD2, che richiedono l’impiego di meccanismi SCA in operazioni di pagamento elettronico. In tale contesto, il prestatore di servizi di pagamento è responsabile del rischio di utilizzo fraudolento, salvo prova del dolo o della colpa grave dell’utente. Ai fini dell’onere probatorio, l’intermediario deve dimostrare la conformità della procedura di autenticazione a SCA, mediante due elementi indipendenti (conoscenza, possesso, inerenza).

2. Tokenizzazione e Procedura SCA

Il Collegio ha analizzato la procedura di tokenizzazione della carta di credito sul wallet della ricorrente, riconoscendo la validità della SCA utilizzata nella fase iniziale. Tale fase prevedeva l’autenticazione tramite username, password e OTP su numero della ricorrente, elementi che, com’è noto, qualificano i fattori di conoscenza e possesso. Le operazioni successive risultavano autorizzate mediante il dispositivo certificato e il codice di sblocco, ritenuto un valido fattore di conoscenza.

3. Questione dell’Idoneità del Codice di Sblocco come Fattore di Conoscenza

La legittimità del passcode come fattore di conoscenza ha suscitato controversie, poiché il Collegio di Roma ha evidenziato, richiamando l’Opinion EBA Q&A 2021_6145, che lo sblocco del dispositivo potrebbe non essere sufficiente a garantire la sicurezza SCA, se non preceduto da un’associazione del codice di sblocco all’utente tramite SCA. Tuttavia, il Collegio di Coordinamento ha chiarito che, in presenza di una tokenizzazione conforme, il codice di sblocco può fungere da fattore di conoscenza, superando la preoccupazione del Collegio di Roma sul rischio di sessioni di pagamento multiple autorizzate con un solo fattore.

4. Responsabilità e Colpa Grave della Ricorrente

Nonostante la regolare applicazione della SCA, il Collegio ha rigettato il ricorso, attribuendo alla cliente una colpa grave. La ricorrente ha infatti consentito l’accesso fraudolento al proprio account, seguendo il link di un SMS phishing e fornendo credenziali sensibili. La mancata reazione all’avviso di attivazione della carta sul wallet costituisce, secondo il Collegio, una grave omissione che ha determinato il successo della frode.

5. Conclusioni e Principio di Diritto

Il Collegio di Coordinamento ha enunciato il principio secondo cui il codice di sblocco, una volta associato tramite SCA all’utente, è valido come fattore di autenticazione per operazioni successive. In questo caso, l’intermediario ha adempiuto all’onere probatorio richiesto, e la condotta della cliente ha escluso il diritto al rimborso.

Tale decisione chiarisce quindi un punto cruciale sul funzionamento dei wallet digitali e sull’onere probatorio a carico dell’intermediario, stabilendo un equilibrio tra la protezione dell’utente e la responsabilità del prestatore di servizi di pagamento.