Tra il 24 settembre e il 5 ottobre 2023, una cliente subisce dieci addebiti fraudolenti per un totale di 8.160,01 € sulla propria carta di credito. Le transazioni, tutte eseguite tramite digital wallet sul telefono del truffatore, vengono scoperte solo il 10 ottobre 2023, quando la banca la contatta per confermare un pagamento di 816,90 €. La cliente disconosce le operazioni e chiede all’ABF il rimborso integrale.

La posizione dell’intermediario

La banca eccepisce l’inammissibilità del ricorso, evidenziando che:

• la truffa è iniziata con un SMS phishing del 3 settembre 2023, a cui la cliente ha fornito le proprie credenziali;

• la carta è stata tokenizzata nel wallet mediante procedura conforme alla Strong Customer Authentication (SCA);

• ha già stornato 1.124 € di uno degli addebiti contestati;

• la colpa grave della cliente esclude il rimborso.

La questione di coordinamento

Il Collegio di Roma ha rimesso la causa al Collegio di Coordinamento per chiarire se il codice di sblocco del dispositivo (o il riconoscimento biometrico) possa costituire valido secondo fattore SCA nelle operazioni di pagamento tramite wallet, dopo una tokenizzazione eseguita con SCA.

Il principio espresso

Nell’autenticazione di pagamenti via digital wallet, il codice di sblocco del dispositivo (o, in alternativa, il riconoscimento biometrico) può fungere da secondo fattore di autenticazione ai fini SCA, purché sia stato previamente associato in modo univoco all’utente durante la tokenizzazione della carta mediante procedura conforme a SCA.

Decisione sul merito

Il Collegio accerta che la banca ha utilizzato due fattori SCA in tutte le fasi (tokenizzazione e pagamenti) e ravvisa colpa grave della cliente per aver fornito credenziali e OTP al truffatore nonostante l’SMS di conferma dell’attivazione del wallet. Il ricorso viene quindi respinto.

Implicazioni pratiche

• Wallet sicuri se tokenizzati con SCA: passcode o biometria possono valere come fattore di conoscenza/inerenza dopo corretta associazione.

• Onere probatorio rafforzato sul PSP: l’intermediario deve produrre log completi di tokenizzazione e pagamenti.

• Responsabilità dell’utente: fornire OTP o ignorare alert della banca configura colpa grave, che esclude il rimborso.

• Uniformità interpretativa: il principio dirime i precedenti contrasti tra Collegi territoriali sull’idoneità del passcode.

Conclusione

La decisione n. 9559 del 4 settembre 2024 chiarisce definitivamente che, nei pagamenti tramite digital wallet, il passcode dello smartphone può costituire il secondo fattore SCA se la carta è stata tokenizzata con procedura sicura; spetta invece all’utente evitare comportamenti gravemente negligenti che lo privano del rimborso.
Vuoi verificare la sicurezza e i costi della tua carta? Scopri l’Analisi Carta di Credito Tradizionale a Saldo di Welix.

Link alla decisione completa:
https://www.arbitrobancariofinanziario.it/decisioni/2024/09/Dec-20240904-9559.PDF