Con decisione n. 2146 del 25 febbraio 2025 il Collegio di Roma dell’Arbitro Bancario Finanziario (in sigla A.B.F.) si è pronunciato sul tema della responsabilità dell’intermediario per le operazioni di pagamento elettronico nell’ipotesi in cui l’utente abbia disconosciuto le operazioni e dedotto di non aver fornito le proprie credenziali di autenticazione a terzi soggetti.
Come chiarito dall’A.B.F., “il ricorso ad un sistema di autenticazione a doppio fattore, in assenza di malfunzionamento del sistema, consente di ritenere che l’intermediario abbia assolto all’onere della prova che la legge gli impone in caso di disconoscimento di una operazione di pagamento”. Ne discende che “grava sul prestatore di servizi l’onere di dimostrare che l’operazione di pagamento sia stata autenticata, correttamente registrata e contabilizzata e che non abbia subito le conseguente del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Come noto, l’articolo 7 del decreto legislativo 27 gennaio 2010, n. 11 (“Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE”) pone a carico dell’utente abilitato all’utilizzo di uno strumento di pagamento un triplice obbligo: (i) in primis adottare le misure idonee a proteggere le credenziali di sicurezza personalizzate (cfr. art. 7, co. 2, d.lgs. n. 11/2010); (ii) utilizzare lo strumento di pagamento attenendosi ai termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso; (iii) comunicare senza indugio al prestatore di servizi di pagamento, secondo le modalità fissate dal contratto quadro, lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne abbia conoscenza (cfr. art. 7, co. 1, d.lgs. n. 11/2010).
Il successivo articolo 10 del decreto legislativo n. 11 del 2010 è, invece, dedicato all’individuazione dell’onere gravante sul prestatore di servizi di pagamento al precipuo fine dell’esenzione da responsabilità: nell’ipotesi in cui l’utente di servizi di pagamento “neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10, co. 1, d.lgs. n. 11/2010). Il prestatore di servizi è, altresì, gravato dell’onere di “fornire la prova della frode, del dolo o della colpa grave dell’utente” (art. 10, co. 2, d.lgs. n. 11/2010): tale aggravamento dell’onere a carico del prestatore è giustificato in virtù della circostanza che l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento “non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento” (art. 10, co. 2, d.lgs. n. 11/2010).
Come chiarito dall’A.B.F., la normativa “fa ricadere sull’intermediario la responsabilità delle operazioni disconosciute laddove quest’ultimo non abbia predisposto un c.d. “sistema di autenticazione forte” (in inglese strong customer authentication o SCA). Un simile sistema deve essere applicato […] dai prestatori di servizi di pagamento anche quando l’utente dispone un’operazione di pagamento elettronico ovvero effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”.
Per “autenticazione forte del cliente” si intende “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione” (art. 1, co. 1, lett. q-bis, d.lgs. n. 11/2010).
