I dettagli stampati sulla carta di pagamento e il codice OTP non sono elementi di conoscenza sufficienti ai fini della SCA
ABF di Bologna, 23 Novembre 2021, n. 23858. Pres. Marinari. Est. Pasquariello.
Servizi di pagamento – Utilizzo non autorizzato – Phising – Smishing – Autenticazione forte (SCA)
In tema di utilizzo non autorizzato di strumenti di pagamento, a fronte del disconoscimento delle operazioni di pagamento da parte dell’utente vittima di una frode secondo le modalità del cd. phishing/smishing, incombe sul prestatore di servizi di pagamento l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata ai sensi dell’art. 10, comma 1, del D.Lgs. 11/2010.
L’EBA con la “Opinion” del 21 giugno 2019 ha irrobustito gli adempimenti richiesti ai fini di una SCA, assumendo da un lato che i dettagli stampati sulla carta di pagamento non costituiscono un elemento di possesso e nemmeno un elemento di conoscenza ai fini della SCA e dall’altro lato che neppure il codice OTP è di per sé un sufficiente elemento di conoscenza.
Per tale ragione l’autenticazione avvenuta su dati pure incautamente forniti dall'utilizzatore al truffatore non possa essere più considerata una procedura sicura di autorizzazione dell'operazione, in mancanza di ulteriori elementi di carattere dinamico. Al riguardo l’EBA, con la Q & A ID 2020_5516, ha chiarito che ai fini dell’autenticazione di un’operazione, è possibile per i PSP “riutilizzare”, nell’ambito della medesima sessione, un elemento utilizzato per accedere al conto di pagamento. (riproduzione riservata)
A cura di Dolmetta, Minneci, Mucciarone, Malvagna, Lentini, Bonfanti, Mager, Cipriani, Solarolo, Dassisti
Il testo integrale