Il Collegio di Palermo dell’Arbitro Bancario Finanziario, con decisione n. 4292 del 30 aprile 2025 (Pres. M.R. Maugeri, Rel. A. Forgione), si è pronunciato sulla portata dell’obbligo di strong customer authentication previsto dall’art. 10-bis del D. Lgs. n. 11/2010, in un caso che vedeva il titolare di due carte di credito chiedere all’intermediario il rimborso di diverse operazioni – a suo dire – non autorizzate.
Dalla documentazione prodotta dalle parti, l’Arbitro ha rilevato come le operazioni di pagamento contestate fossero state autorizzate tramite uno strumento di sicurezza, implementato attraverso un’applicazione, da installare su un dispositivo mobile, che generava codici OTP per autorizzare in modo sicuro i pagamenti (c.d. “mobile token”).
Tuttavia, secondo il ricorrente, l’attivazione di tale sistema era avvenuta su un dispositivo elettronico a lui sconosciuto, diverso da quello in suo possesso.
Rispetto a tale contestazione, l’intermediario non era riuscito a fornire elementi atti a dimostrare i fattori autenticativi utilizzati per la riconfigurazione del mobile token sul nuovo dispositivo, né il rispetto delle procedure di sicurezza prescritte dall’art. 10-bis del D. Lgs. n. 11/2010.
L’Arbitro, quindi, richiamando quanto già affermato dal Collegio di Coordinamento con la decisione n. 21285/2021, ha ribadito come l’applicazione della strong customer authentication interessi non soltanto le operazioni dispositive, ma ogni modifica potenzialmente incidente sulla sicurezza dello strumento di pagamento.
Il Collegio, quindi, ha accolto il ricorso e condannato l’intermediario al rimborso delle somme: infatti, l’intermediario, «a fronte del disconoscimento di un’operazione di pagamento, ha l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata secondo gli obblighi di cui all’art. 10-bis del d.lgs. 11/2010. Il mancato adempimento dell’onere probatorio comporta la responsabilità dell’intermediario per le operazioni disconosciute».
