Con decisione n. 11938 del 26 agosto 2022, il Collegio ABF di Bologna si è espresso in materia di frode informatica nei servizi di pagamento.
Sul punto, il Collegio ABF evidenzia come, a fronte del disconoscimento delle operazioni di pagamento da parte dell’utente, al fine di evitare responsabilità per la frode informatica, incombe sul prestatore di servizi di pagamento l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata ai sensi dell’art. 10, comma 1, del D. lgs. 11/2010.
Nel caso di specie, la ricorrente disconosce ventuno operazioni di pagamento on line di cui cinque eseguite in data 27/08/2021 tra le ore 23,15 e le ore 23,46; quattro eseguite in data 28/08/2021 tra le ore 00,03 e le ore 00,06; quattro eseguite in data 29/08/2021 tra le ore 00,00 e le ore 00,05; cinque eseguite in data 01/09/2021 tra le ore 00,00 e le ore 00,04 e tre eseguite in data 02/09/2021 tra le ore 00,06 e le ore 00,09 per un importo complessivo pari a 16.206,00 euro, corrispondente a quanto richiesto in restituzione.
Nel caso di specie la documentazione fornita dall’intermediario non consente di ritenere sufficientemente protettivi per il cliente i presidi di sicurezza predisposti, in quanto non risulta che le operazioni contestate siano state autenticate mediante la combinazione di almeno due dei tre elementi che caratterizzano la c.d. “autenticazione forte”.
L’intermediario, al riguardo, afferma che le operazioni disconosciute risultano regolarmente autorizzate al primo tentativo ( “spunta verde”) e senza essere state precedute da richieste negate (eventualmente contrassegnate da una “X” rossa).
A sostegno produce evidenza relativa alla registrazione della carta intestata alla controparte al protocollo di sicurezza 3D e le relative richieste della SCA.
Null’altro veniva prodotto; in particolare non risultava prodotta la documentazione attestante l’invio dei messaggi recanti i codici OTP.
Con riferimento particolare alle tre transazioni da 5,00 euro l’intermediario osserva che, come previsto dalla normativa PSD2 (Regolamento (UE) 2018/389), per importi che non superino gli euro 30,00 ed al verificarsi delle condizioni previste dal medesimo articolo, è prevista l’operatività on line in 3ds senza necessità di autenticazione forte da parte del cliente, pur rimanendo le transazioni securizzate.
Sul punto il Collegio ricorda che, in base alle Q&A 2018-4042 dell’EBA, qualora l’intermediario decida di non adottare l’autenticazione forte, applicando un’esenzione alla SCA normativamente prevista (come nel caso di specie), resta ferma la sua responsabilità, qualora le operazioni siano state disconosciute dal cliente.
Pertanto nello specifico, l’intermediario, al fine di dimostrare la corretta autenticazione delle operazioni e l’assenza di frode informatica, non ha fornito evidenze informatiche o contabili certe che, nel caso concreto, simili presidi di sicurezza, conformi ai parametri SCA, siano stati applicati all’operazione disconosciuta.