1 min read

Nota a ABF, Collegio di Milano, 28 ottobre 2022, n. 13900.

di Alessio Buontempo

Praticante Avvocato

Il Collegio di Milano è stato adito a seguito di ricorso originante da truffa subita su carta di credito da un utilizzatore di strumenti e servizi di pagamento, in particolare di c.d. digital o mobile wallet, richiedendo all’arbitro che il prestatore venga condannato al rimborso dell’importo illegittimamente conteggiato dall’intermediario.

Disciplina di riferimento è il d.lgs. 27 gennaio 2010, n. 11, così come da ultimo modificato con l’entrata in vigore del d.lgs. 15 dicembre 2017, n. 218 di recepimento della Direttiva PSD2, laddove all’art. 12 nel regolare il regime di responsabilità dell’intermediario per utilizzo non autorizzato dall’utente di strumenti e servizi di pagamento prevede che sia responsabile il prestatore dei servizi in tutte le ipotesi di uso non autorizzato, salvo che non vi sia un’evidenza della frode dell’utente ovvero del dolo o colpa grave di quest’ultimo nell’adempimento degli obblighi di custodia e di corretta utilizzazione dello strumento stesso; condivide la stessa ratio di tutela dell’utente l’art. 10 allocando sull’intermediario l’onere di provare che l’operazione di pagamento sia stata autenticata, correttamente registrata e contabilizzata, precisando che l’utilizzo di uno strumento di pagamento registrato dal prestatore non sia a priori sufficiente al fine di dimostrare che l’operazione sia stata autorizzata dall’utilizzatore, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave, in quanto grava sul prestatore la prova stessa della frode, del dolo o colpa grave dell’utente.

In questo senso è onere dell’utente il solo disconoscimento dell’operazione di pagamento ritenuta non autorizzata, e l’intermediario non potrà limitarsi alla mera produzione documentale della autenticazione ma dovrà indicare gli elementi di fatto da cui possa trarsi la prova, in via presuntiva, della colpa grave dell’utente.

Rilevante a questi fini è inoltre il comma 2-bis, art. 12 del decreto suddetto, il quale esclude che la perdita derivante da una operazione fraudolenta possa essere sopportata dall’utilizzatore nel caso in cui il prestatore del servizio non abbia richiesto l’autenticazione forte qualora sia dovuta, consistendo questa nell’uso di due o più elementi classificati nelle categorie della conoscenza, ovverosia qualcosa che solo l’utente conosce, del possesso, cioè che solo l’utente possiede, e della inerenza, ossia qualcosa che caratterizza l’utente e che sono tra loro indipendenti in modo che la violazione di uno non comprometta la affidabilità degli altri. Di fatto con riferimento a tale tipologia  di operazioni il Collegio di Coordinamento (dec. n. 21285/2021) ha di recente chiarito che l’autenticazione forte è richiesta sia per la registrazione della carta sul mobile wallet che per l’effettuazione di ciascuna operazione di pagamento e che di tale duplice autenticazione è tenuto a fornire prova il prestatore del servizio di pagamento anche qualora il wallet sia affidato a un terzo gestore.

Sulla base della documentazione prodotta dall’intermediario, si desume che, nonostante il sistema da questo messo a disposizione richieda l’associazione al digital wallet della carta attraverso l’inserimento dei dati personali dell’utente: a) numero della carta (PAN); b) data di scadenza; c) CVV, oltre all’inserimento di una password, richiesta dal wallet provider e del codice OTP inviato sul device del cliente, non vi è, diversamente concreta evidenza in tale documentazione che abbia operato un sistema di autenticazione a doppio fattore in relazione alle singole operazioni di pagamento; l’Arbitro ha così ritenuto di escludere che abbia operato un sistema di autenticazione forte e in conformità con quanto espresso in altre pronunce, ha ritenuto inoltre che l’intermediario sia responsabile, condannando quest’ultimo alla corresponsione ex art. 12, comma 2-bis, d.lgs. 11/2010 dell’intero importo delle operazioni contestate.

Seguici sui social: