Il Collegio di Coordinamento dell’ABF, con decisione n. 9559 del 04 settembre 2024, pubblicata nella giornata di oggi, si è nuovamente pronunciato in tema di utilizzi non autorizzati di strumenti di pagamento e, in particolare, sull’autenticazione forte del cliente (SCA) in caso di pagamenti tramite digital wallet.
Questo il principio di diritto espresso dal Collegio:
Nell’autenticazione di operazioni di pagamento tramite digital wallet, il codice di sblocco del dispositivo utilizzato (ovvero, in alternativa, il riconoscimento biometrico) può valere come secondo fattore rilevante ai fini della SCA, purché esso sia stato in via preventiva associato univocamente all’utente, mediante uso nella fase di tokenizzazione dello strumento all’interno del wallet, con procedura conforme a SCA.
Nel caso di specie le operazioni non autorizzate – contestate dal ricorrente in quanto eseguite fraudolentemente da terzi – erano state effettuate previa tokenizzazione della carta nel wallet presente su un cellulare del truffatore, autorizzata con inserimento della password (fattore di conoscenza) e riconoscimento biometrico (fattore di inerenza).
Le successive operazioni dispositive risultano poi essere state effettuate con la carta tokenizzata su wallet e autorizzate con impiego del dispositivo certificato (fattore di possesso) e di un passcode definito dall’utente (fattore di conoscenza), e che corrisponde al codice di sblocco del dispositivo.
Il Collegio rimettente (di Roma) ha rilevato la sussistenza dei fattori di autenticazione forte nella operazione di associazione della carta al digital wallet, ma dubita della conformità a SCA del procedimento di autorizzazione delle singole operazioni di pagamento, in particolare ponendo la questione della possibilità di considerare quale valido fattore rilevante ai fini della SCA (di conoscenza), il codice di sblocco del dispositivo.
Il Collegio di Roma richiama una Opinion dell’EBA (Q&A 2021_6145), nella quale – con riferimento alla fase della tokenizzazione della carta – si è ritenuto che lo sblocco del dispositivo mediante faceid, o pin/password non dovrebbe essere considerato un elemento SCA valido ai fini dell’aggiunta di una carta di pagamento a un portafoglio digitale, se:
- il meccanismo di blocco dello schermo del dispositivo mobile non è sotto il controllo dell’emittente
- alternativamente, se il pagatore non è stato associato precedentemente tramite una SCA, con le credenziali utilizzate per sbloccare il telefono.
Il Collegio rimettente segnala inoltre il rischio che una volta sbloccato lo smartphone mediante l’inserimento del codice, fingerprint o riconoscimento biometrico che serve a questo fine, il device potrebbe essere utilizzato per autorizzare un numero indefinito di operazioni di pagamento mediante un solo fattore di autenticazione, ossia quello del suo possesso, il che farebbe dubitare della conformità a SCA dell’operazione.
Il Collegio di coordinamento ABF avvia quindi l’analisi proprio dall’esame dell’Opinion EBA Q&A 2021_6145, ove era stato posto un quesito sulla possibilità di considerare il passcode per sbloccare il dispositivo mobile come uno degli elementi di autenticazione forte del cliente quando un utente di un servizio di pagamento tokenizza una carta su una soluzione di portafoglio elettronico.
L’Opinion dell’EBA, secondo il Collegio, riguarda in realtà il caso specifico dell’uso del passcode nella fase della tokenizzazione; inoltre, nel parere, EBA ha comunque ritenuto che la preventiva associazione del pagatore tramite SCA con le credenziali utilizzate per sbloccare il telefono consenta, in seguito, di utilizzare il codice di sblocco quale valido fattore di conoscenza.
Questa impostazione ha trovato riscontro nelle decisioni dei Collegi territoriali dell’Arbitro, e le difformità segnalate dal Collegio rimettente sono, a parere del Collegio di coordinamento, da ridimensionare, poiché le ragioni delle decisioni vanno individuate nell’insufficienza della documentazione prodotta dall’intermediario, in particolare in relazione alla fase precedente a quella del pagamento della tokenizzazione: tale deficit documentale non aveva infatti consentito di appurare la previa associazione del passcode all’utente, tramite una procedura adeguata in fase di tokenizzazione, il che ha poi prodotto conseguenze sulla successiva utilizzabilità del passcode medesimo.
In altre parole, i Collegi territoriali, secondo il Collegio di coordinamento, non hanno mai escluso la validità del passcode a fungere da fattore di conoscenza valido ai fini SCA (autenticazione forte del cliente), per i pagamenti effettuati tramite digital wallet.
Il Collegio sottolinea quindi che la procedura di tokenizzazione della carta, se effettuata tramite SCA, consente di portare il meccanismo di blocco dello schermo del dispositivo mobile (che può essere il passcode o il riconoscimento biometrico) sotto il controllo dell’emittente e per associare il pagatore con la credenziale utilizzata per lo sblocco del device: l’uso del passcode quale fattore di conoscenza è da considerarsi in tutto e per tutto fungibile con il riconoscimento biometrico quale fattore di inerenza, poiché consente all’utente di sostituire in qualsiasi momento (sia a livello di sistema, sia per la singola operazione) il riconoscimento biometrico con la digitazione del codice.
Pertanto, deve ritenersi che lo sblocco del telefono (o, in alternativa, il riconoscimento biometrico):
- non possa essere usato come elemento valido per la SCA durante la tokenizzazione
- una volta effettuata la tokenizzazione mediante SCA, possa essere usato come elemento della SCA durante le successive operazioni di pagamento, in quanto l’utente è stato ormai previamente associato tramite SCA alle credenziali usate per lo sblocco del telefono.
In definitiva, la circostanza che il codice di sblocco del cellulare sia utilizzato nella fase di tokenizzazione della carta, unitamente a un sistema di autenticazione conforme a SCA, consente di associarlo univocamente all’utente e ha fatto sì che lo stesso codice potesse essere validamente reimpiegato in fase dispositiva.
Quanto al secondo profilo di criticità segnalato dal Collegio rimettente (relativamente alla circostanza che l’uso del codice di sblocco dell’apparato come elemento di conoscenza comporterebbe il rischio che, una volta sbloccato lo smartphone mediante passcode, il device potrebbe essere utilizzato per autorizzare un numero indefinito di operazioni di pagamento mediante un solo fattore di autenticazione, ossia quello del suo possesso) il Collegio di Coordinamento sottolinea che, nel caso di specie, per tutti i singoli pagamenti (effettuati tra l’altro non in sequenza ma a distanza di tempo l’uno dall’altro, quindi in diverse sessioni di pagamento), oltre al possesso, era stato acquisito in realtà anche il secondo fattore, rappresentato per l’appunto dal passcode, e che la documentazione tecnica relativa al funzionamento del digital wallet nella specie utilizzato aveva dimostrato che in ogni caso sarebbe sempre richiesto il secondo fattore di autenticazione (inerenza/conoscenza).