2 min read

Nota a ABF, Collegio di Bologna, 29 marzo 2023, n. 3076.

Massima redazionale

Nel caso di specie, dalla documentazione in atti, risulta che l’operazione di pagamento eseguita con la carta di debito è stata disposta mediante l’ausilio di Token, tramite l’applicazione mobile G***pay. Sul punto, il Collegio bolognese richiama la decisione del Collegio di Coordinamento n. 21285/2021, che, con particolare riferimento all’autenticazione delle operazioni disposte tramite wallet, ha chiarito che l’intermediario deve fornire la prova di aver adottato l’autenticazione forte tanto nella fase di tokenizzazione della carta nel wallet, quanto in quella relativa all’esecuzione delle operazioni.

Invero, l’EBA[1] ha precisato che l’associazione di una carta di pagamento ad un wallet digitale rientra tra quelle azioni che possono comportare un rischio di frode nei pagamenti o altri abusi e, pertanto, richiede l’applicazione della Strong Customer Authentication (SCA); ciò significa che i PSP devono impiegare una procedura di autenticazione forte per l’accesso al conto di pagamento e una seconda SCA quando l’utente aggiunge la carta di pagamento al digital wallet.

È stato, inoltre, specificato che, ove l’associazione della carta a un wallet digitale avvenga nell’ambito della stessa sessione e della medesima app, trovano applicazione i principi dettati nella Q&A 2018_4141, che prevede la possibilità di riutilizzare uno degli elementi impiegati per accedere al conto di pagamento.

Nel caso di specie, la parte resistente afferma che il truffatore sarebbe riuscito a ottenere le chiavi di accesso indispensabili per effettuare le operazioni di installazione e configurazione, del wallet G***pay, ma, sebbene dalla documentazione tecnica prodotta dall’intermediario sembri emergere che l’autenticazione delle operazioni è avvenuta mediante la carta digitalizzata sul wallet G***pay, ritiene il Collegio che, per nessuna delle due fasi dell’operazione, sia stata documentata l’autenticazione forte; invero:

  • quanto alla fase di tokenizzazione della carta nel digital wallet, non soltanto è lo stesso intermediario a dichiarare che uno dei due fattori di autenticazione è costituito dai dati statici della carta (che, secondo le guidelines EBA e i consolidati orientamenti ABF in materia, non costituiscono valido elemento di autenticazione forte: da ultimo Collegio di Bologna n. 8915/2022), ma non è stata prodotta evidenza in merito all’invio dell’OTP tramite sms al cellulare del ricorrente;
  • quanto alla fase di autorizzazione del pagamento, l’intermediario non precisa quale sia l’ulteriore fattore di autenticazione (in aggiunta al fattore di possesso costituito dalle carte tokenizzate) utilizzato per autorizzare i pagamenti, né, tantomeno, tale dato è ricavabile dalla documentazione tecnica in atti.

Ne consegue che la mancata allegazione della necessaria documentazione atta a dimostrare la corretta autenticazione registrazione e contabilizzazione dell’operazione contestata è imputabile all’intermediario, che non ha comprovato la sua autorizzazione, rendendo irrilevante ogni ulteriore valutazione in merito alla sussistenza o meno della colpa grave in capo alla ricorrente.

 

___________________________________

[1] Il riferimento è alle Q&A ID 2019_4910.

Seguici sui social: