AUTENTICAZIONE FORTE DEL CLIENTE NEI SERVIZI DI PAGAMENTO: INCOMBE SULL’INTERMEDIARIO L’ONERE DELLA PROVA.

Collegio ABF di Bologna, Decisione n.4315 del 14 marzo 2022.

Il Collegio ABF di Bologna, con la Decisione del 14 marzo 2022 n. 4315, si è espresso in merito al disconoscimento di operazioni di pagamento da parte dell’utente, statuendo che incombe sull’intermediario l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata ai sensi dell’art. 10, comma 1, d.lgs. n. 11/201 “Qualora l’utilizzatore dei servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente seguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.

Per ciò che invece attiene alle modalità di autenticazione, l’art 10 bis del D.lgs. prevede “Conformemente all’art. 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l’autenticazione forte al cliente quando l’utente: a) accede al suo conto di pagamento online; b) dispone un’operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”.

Pertanto, qualora non sia stata adottata la c.d. autenticazione forte (SCA), il cliente risponde soltanto in caso di frode.

È bene precisare, però, che per autenticazione forte s’intende, ai sensi dell’art. 1, lett. q-bis d.lgs. n. 11/2010, quella “basata sull’uso di due o più elementi, classificati nelle categorie: della conoscenza (qualcosa che solo l’utente conosce); del possesso (qualcosa che solo l’utente possiede);dell’inerenza (qualcosa che caratterizza l’utente); che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.

Alla lucie di ciò, con la Decisione allegata, l’ABF ha specificato che   l’Opinion dell’EBA del 2019 ha escluso che i dati della carta di credito possano essere qualificati come uno degli elementi di conoscenza rilevanti ai fini della SCA.

Una conclusione che trova conforto in una recente decisione del Collegio ABF di Roma, n. 9905 del 13.04.2021, in cui è stato rilevato che i dati riportati sulla carta (numero, scadenza e cvv), non costituiscono un elemento di possesso e di conoscenza e che, pertanto non integrano un idoneo fattore di autenticazione.

Articolo redatto dalla Dott.ssa Alessia Cresciullo

ALLEGATO