Con Decisione n. 13398 del 18 ottobre 2022, il Collegio di Coordinamento dell’ABF si è espresso in materia di autenticazione forte del cliente (Strong customer authentication – SCA).
In particolare, nel caso di specie, il ricorrente avrebbe tentato di effettuare un acquisto online mediante lo strumento di pagamento intestato a una delle società di cui era amministratore senza riuscirvi.
Avrebbe pertanto contattato l’intermediario resistente, telefonando al numero indicato nel sito Internet istituzionale, e un centralino automatico gli avrebbe chiesto di digitare il numero della suddetta carta di credito.
Un sedicente operatore dell’intermediario resistente gli avrebbe poi chiesto alcuni codici nel frattempo ricevuti sul suo telefono cellulare, comunicandogli che l’operazione di pagamento non sarebbe stata comunque eseguita e che la carta di credito di cui si è detto sarebbe stata bloccata per motivi di sicurezza.
Qualche giorno dopo, il ricorrente si sarebbe accorto che le quattro carte di credito in suo possesso (una intestata a lui personalmente e le altre tre alle società ricorrenti che egli legalmente rappresenta) erano state bloccate e, nel frattempo, erano state utilizzate per eseguire una serie di operazioni di pagamento online.
Tali operazioni non sarebbero state tuttavia autorizzate dai ricorrenti, bensì da un terzo sconosciuto, il quale avrebbe previamente modificato l’utenza telefonica associata alle carte di credito di cui si è detto e, così facendo, le avrebbe poi digitalizzate mediante un proprio dispositivo elettronico (ad es., un telefono cellulare).
Nel caso di specie, evidenzia il Collegio, è pacifico che mediante l’inserimento di una OTP, ricevuta mediante SMS sul cellulare del ricorrente, sarebbe stata effettuata la modifica dell’utenza telefonica associata a tutte e quattro le carte di credito in possesso del medesimo, peraltro intestate a soggetti diversi.
Secondo lo stesso, rispetto a tali operazioni, l’intermediario avrebbe omesso di richiedere un’autenticazione forte del cliente (Strong Customer Authentication) per ciascuna delle suddette carte di credito, avendo inviato mediante SMS una sola OTP cumulativa.
Per quanto riguarda i fattori di strong customer authentication che sono richiesti per modificare l’utenza telefonica, l’ABF evidenzia come non sia stato chiarito dal legislatore europeo se, qualora più strumenti di pagamento siano associati alla stessa utenza telefonica, la modificazione di quest’ultima costituisca un’unica operazione ovvero se si tratti di una pluralità di operazioni distinte.
Nel primo caso, l’invio di una sola OTP dovrebbe considerarsi idoneo a costituire uno dei fattori di Strong customer authentication (unitamente, ad es., alla password statica necessaria per accedere all’App); in caso contrario, occorrerebbe che per ciascuno degli strumenti di pagamento di cui si tratta fosse inviata una OTP diversa.
Richiamando le Q&A dell’EBA (Question ID 2018_4039 e Question ID 2019_4560) il collegio, ha ritenuto che he l’utenza telefonica non sia riferibile a ciascuno strumento di pagamento, bensì a ciascun titolare di uno o più di tali strumenti.
Pertanto, il Collegio di Coordinamento ABF ha pronunciato il seguente principio di diritto:
“L’invio di una sola OTP all’utenza telefonica associata a più strumenti di pagamento è idoneo a costituire uno dei fattori di autenticazione forte del cliente che sono richiesti ai fini della modificazione di tale utenza telefonica”.
