WEBINAR / 11 Ottobre
Il nuovo Regolamento Antiriciclaggio


Le novità al processo di Adeguata Verifica

ZOOM MEETING
Offerte per iscrizioni entro il 18/09


WEBINAR / 11 ottobre
Il nuovo Regolamento Antiriciclaggio - Le novità al processo di Adeguata Verifica
www.dirittobancario.it
Giurisprudenza

Strong customer authentication: nuovo principio del Collegio di Coordinamento ABF

16 Dicembre 2022

Collegio di Coordinamento ABF, 18 ottobre 2022, n. 13398 – Pres. Maugeri, Rel. Sirena

Di cosa si parla in questo articolo

Con Decisione n. 13398 del 18 ottobre 2022, il Collegio di Coordinamento dell’ABF si è espresso in materia di autenticazione forte del cliente (Strong customer authentication – SCA).

In particolare, nel caso di specie, il ricorrente avrebbe tentato di effettuare un acquisto online mediante lo strumento di pagamento intestato a una delle società di cui era amministratore senza riuscirvi.

Avrebbe pertanto contattato l’intermediario resistente, telefonando al numero indicato nel sito Internet istituzionale, e un centralino automatico gli avrebbe chiesto di digitare il numero della suddetta carta di credito.

Un sedicente operatore dell’intermediario resistente gli avrebbe poi chiesto alcuni codici nel frattempo ricevuti sul suo telefono cellulare, comunicandogli che l’operazione di pagamento non sarebbe stata comunque eseguita e che la carta di credito di cui si è detto sarebbe stata bloccata per motivi di sicurezza.

Qualche giorno dopo, il ricorrente si sarebbe accorto che le quattro carte di credito in suo possesso (una intestata a lui personalmente e le altre tre alle società ricorrenti che egli legalmente rappresenta) erano state bloccate e, nel frattempo, erano state utilizzate per eseguire una serie di operazioni di pagamento online.

Tali operazioni non sarebbero state tuttavia autorizzate dai ricorrenti, bensì da un terzo sconosciuto, il quale avrebbe previamente modificato l’utenza telefonica associata alle carte di credito di cui si è detto e, così facendo, le avrebbe poi digitalizzate mediante un proprio dispositivo elettronico (ad es., un telefono cellulare).

Nel caso di specie, evidenzia il Collegio, è pacifico che mediante l’inserimento di una OTP, ricevuta mediante SMS sul cellulare del ricorrente, sarebbe stata effettuata la modifica dell’utenza telefonica associata a tutte e quattro le carte di credito in possesso del medesimo, peraltro intestate a soggetti diversi.

Secondo lo stesso, rispetto a tali operazioni, l’intermediario avrebbe omesso di richiedere un’autenticazione forte del cliente (Strong Customer Authentication) per ciascuna delle suddette carte di credito, avendo inviato mediante SMS una sola OTP cumulativa.

Per quanto riguarda i fattori di strong customer authentication che sono richiesti per modificare l’utenza telefonica, l’ABF evidenzia come non sia stato chiarito dal legislatore europeo se, qualora più strumenti di pagamento siano associati alla stessa utenza telefonica, la modificazione di quest’ultima costituisca un’unica operazione ovvero se si tratti di una pluralità di operazioni distinte.

Nel primo caso, l’invio di una sola OTP dovrebbe considerarsi idoneo a costituire uno dei fattori di Strong customer authentication (unitamente, ad es., alla password statica necessaria per accedere all’App); in caso contrario, occorrerebbe che per ciascuno degli strumenti di pagamento di cui si tratta fosse inviata una OTP diversa.

Richiamando le Q&A dell’EBA (Question ID 2018_4039 e Question ID 2019_4560) il collegio, ha ritenuto che he l’utenza telefonica non sia riferibile a ciascuno strumento di pagamento, bensì a ciascun titolare di uno o più di tali strumenti.

Pertanto, il Collegio di Coordinamento ABF ha pronunciato il seguente principio di diritto:

L’invio di una sola OTP all’utenza telefonica associata a più strumenti di pagamento è idoneo a costituire uno dei fattori di autenticazione forte del cliente che sono richiesti ai fini della modificazione di tale utenza telefonica”.

Di cosa si parla in questo articolo

WEBINAR / 11 Ottobre
Il nuovo Regolamento Antiriciclaggio


Le novità al processo di Adeguata Verifica

ZOOM MEETING
Offerte per iscrizioni entro il 18/09


WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10

Iscriviti alla nostra Newsletter