Nota a ABF, Collegio di Bari, 26 ottobre 2021, n. 22225.
di Marzia Luceri
Con la presente decisione il Collegio di Bari, richiamata la ratio che sottende la disciplina speciale in tema di servizi di pagamento (quale, D. Lgs. n. 11/2010), ha ribadito la sussistenza, in capo al prestatore di detti servizi, dell’onere probatorio circa l’effettiva adozione di un sistema di “autenticazione forte” delle operazioni di pagamento, in assenza del quale le eventuali perdite da utilizzo indebito dello strumento di pagamento non possono che essere sopportate dal relativo prestatore di servizi di pagamento.
Nel caso di specie, l’Arbitro, nonostante la comprovata condotta negligente posta in essere dal ricorrente (il quale, vittima della frode informatica c.d. SMS Spoofing, avrebbe comunicato al truffatore le credenziali di accesso e i codici autorizzativi dei pagamenti), non ha omesso di rilevare come le operazioni disconosciute siano state autenticate con il solo inserimento delle credenziali statiche dello strumento di pagamento (quali, numero della carta e codice CVV) e del codice dinamico OTP, inviato tramite sms al ricorrente.
Tale sistema di autenticazione, ad avviso del Collegio, non soddisfa i presupposti di cui al combinato disposto degli artt. 10 bis e 12, comma 2 bis del D. Lgs. n. 10/2011 (statuenti la ripartizione delle responsabilità fra pagatore e prestatore di servizi di pagamento in relazione all’adozione di un sistema di autenticazione forte), poiché risulta incentrato “esclusivamente” sulla comunicazione del codice OTP inviato all’utente.
Invero, le credenziali statiche dello strumento di pagamento, “essendo riportat[e] in chiaro sulla carta, sono potenzialmente carpibili da parte di terzi” e, come tali, non rilevanti ai fini della verifica dell’effettiva adozionedi un sistema di “autenticazione forte” da parte del resistente.