Digital Wallet e utilizzo fraudolento – guida rapida

Digital Wallet e utilizzo fraudolento – guida rapida

• Cosa è accaduto alla ricorrente
• Le eccezioni dell’intermediario
• Le decisioni del Collegio rimettente
• L’esame dell’eccezione preliminare
• Le questioni di merito
• Le operazioni di pagamento
• L’Opinione EBA Q&A 2021_6145

Sempre più utilizzati in tutta Italia, i digital wallet sono un frequente strumento di pagamento. Ma che cosa accade nelle ipotesi di utilizzo fraudolento? Quali sono le responsabilità?

A fornire una guida in tal senso ci ha pensato l’Arbitro Bancario Finanziario, che con la decisione n. 9559 del 4 settembre 2024 da parte del suo Collegio di Coordinamento si è espresso sul tema.

Cosa è accaduto alla ricorrente per il digital wallet

La ricorrente è titolare di una carta di credito gestita dall’intermediario e si è rivolta all’Arbitro Bancario Finanziario dichiarando di essere stata contattata il 10.10.2023 da un operatore dell’intermediario, che domandava chiedeva conferma dell’ordine di disposizione di un pagamento online di 816,90 euro.

La ricorrente disconosce però l’operazione verificando che, nel periodo compreso tra il 24.9.2023 e il 5.10.2023, erano state effettuate con la sua carta di credito dieci operazioni da lei non autorizzate, per un esborso totale di 8.160,01 euro.

Come conseguenza di quanto sopra, la ricorrente chiede il rimborso della somma in questione.

Le eccezioni dell’intermediario sul digital wallet

L’intermediario eccepisce in via preliminare l’inammissibilità del ricorso in ragione della incompletezza della ricostruzione dei fatti e di una finalità sostanzialmente consulenziale.

In particolare, fa presente nel merito che il 3.09.2023 (ventuno giorni prima della prima operazione contestata) la ricorrente aveva ricevuto un SMS truffaldino con il quale era stata indotta ad aprire un link e a compilare un modulo.

Al termine della procedura, la ricorrente aveva ricevuto un ulteriore SMS che la informava dell’avvenuta attivazione della carta ad A**** Pay, ma, nonostante questo, non si era allarmata né aveva ritenuto di mettersi in contatto con la resistente per chiedere spiegazioni.

Per quanto poi concerne le operazioni che sono ora oggetto di contestazione, l’intermediario ha precisato che esse sono state effettuate tramite digital wallet e ha dedotto la loro corretta autenticazione tramite procedura conforme a quanto richiesto dalla normativa sulla Strong Costumer Authentication (SCA).

Infine, l’intermediario resistente ha dedotto di avere già provveduto a stornare una operazione dell’importo di 1.124,00 euro che andrebbero dunque in ogni caso sottratti dalle somme richieste dalla ricorrente.

Le decisioni del Collegio rimettente sul digital wallet

Il Collegio di Roma viene così investito della decisione e, superata l’eccezione di inammissibilità del ricorso, acclarato che

• le operazioni sono state effettuate previa tokenizzazione della carta nel wallet presente su un cellulare del truffatore, autorizzata “con inserimento della password (fattore di conoscenza) e riconoscimento biometrico (fattore di inerenza)”;
• le successive operazioni dispositive risultano effettuate con la carta tokenizzata su wallet A**** Pay e autorizzate con impiego del dispositivo certificato (fattore di possesso) e di un passcode definito dall’utente, che l’intermediario qualifica come fattore di conoscenza, e che corrisponde al codice di sblocco del dispositivo.

Ciò premesso, il Collegio di Roma rileva la sussistenza dei fattori di autenticazione forte nella operazione di associazione della carta al wallet e dubita però della conformità a SCA del procedimento di autorizzazione delle singole operazioni di pagamento, ponendo soprattutto la questione della possibilità di considerare quale valido fattore rilevante ai fini della SCA – segnatamente, quale fattore di conoscenza – il codice di sblocco del dispositivo.

Nel far ciò, il Collegio di Roma richiama una Opinion dell’EBA (Q&A 2021_6145), con cui in riferimento alla fase della tokenizzazione della carta ritiene che lo sblocco del dispositivo mediante faceid, o pin/password non dovrebbe essere considerato un elemento SCA valido ai fini dell’aggiunta di una carta di pagamento a un portafoglio digitale se il meccanismo di blocco dello schermo del dispositivo mobile non è sotto il controllo dell’emittente o se il pagatore non è stato associato precedentemente tramite una SCA con le credenziali utilizzate per sbloccare il telefono.

Questioni di sicurezza

In aggiunta a quanto sopra, il Collegio di Roma segnala il rischio che

una volta sbloccato lo smartphone mediante l’inserimento del codice, fingerprint o riconoscimento biometrico che serve a questo fine, il device potrebbe essere utilizzato per autorizzare un numero indefinito di operazioni di pagamento mediante un solo fattore di autenticazione, ossia quello del suo possesso

cosa che farebbe dubitare della conformità a SCA dell’operazione.

Alla luce di ciò e in valutazione di alcune difformità nei precedenti dei Collegi territoriali, il Collegio di Roma rimette l’esame del ricorso al Collegio di coordinamento.

L’esame dell’eccezione preliminare per il caso sul digital wallet

Il Collegio di Coordinamento, nel suo esame, ricorda che la controversia ha come riferimento una vicenda di uso non autorizzato di uno strumento di pagamento, consistente nella fattispecie in alcuni pagamenti effettuati mediante carta di credito previamente “tokenizzata” su un telefono cellulare e poi utilizzata attraverso il digital wallet installato sul medesimo apparecchio.

In via preliminare esamina poi l’eccezione sollevata dalla parte resistente, che ritiene il ricorso “oscuro e confuso”, al punto da meritare la sanzione dell’inammissibilità.

Ebbene, si osserva che, sebbene parte ricorrente non descriva nei dettagli le modalità esecutive della frode subita, petitum e causa petendi del ricorso risultano nel complesso ben chiari, non sussistendo dubbi sul fatto che oggetto del ricorso sia la richiesta di rimborso di alcune specifiche operazioni disconosciute.

L’eccezione preliminare dell’intermediario, pertanto, non trova accoglimento.

Le questioni di merito

Si giunge così all’esame della questione del merito, con cui la ricorrente domanda il rimborso di alcune operazioni disconosciute in quanto eseguite fraudolentemente da terzi.

Il Collegio di Coordinamento rileva prima di tutto come l’operazione contestata sia stata eseguita sotto il vigore del d.lgs. 27.1.2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13.1.2018.

Rileva altresì che l’operazione contestata è stata eseguita successivamente all’entrata in vigore delle nuove disposizioni in materia di “autenticazione e misure di sicurezza” (c.d. autenticazione forte), a norma del Regolamento Delegato (UE) della Commissione, del 27 novembre 2017, n. 2018/389, che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri (cfr. anche il disposto dell’art. 5, d. lgs. n. 11/2010, come novellato).

La disciplina in vigore

Il richiamo alla disciplina in vigore è importante, perché permette di rammentare come il rischio di utilizzazione fraudolenta degli strumenti di pagamento ricada, in prima battuta, sull’intermediario, che può sottrarsi all’obbligo di rimborso delle somme fraudolentemente sottratte fornendo la prova del dolo ovvero della colpa grave dell’utilizzatore.

In particolare, si legge nel quadro normativo in vigore

qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

In aggiunta a ciò, se l’utente nega di avere autorizzato un’operazione di pagamento eseguita,

l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento […] non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.

L’autenticazione forte

Ai sensi del successivo art. 12, co. 2 bis, d.lgs. cit., inoltre,

salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente”.

Ricordiamo in questa occasione che per “autenticazione forte” si intende

un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

Ulteriormente, la normativa ricorda che i prestatori di servizi di pagamento sono tenuti a utilizzare l’autenticazione forte

quando l’utente: a) accede al suo conto di pagamento on-line; b) dispone un’operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

In rapporto a questa disciplina, il Collegio di Coordinamento ha in più occasioni precisato che istituisce

un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori, i quali sono, dunque, tenuti al semplice disconoscimento delle operazioni di pagamento contestate, mentre è onere del prestatore dei servizi di pagamento provare che l’operazione disconosciuta sia stata autenticata, correttamente registrata e contabilizzata e che la sua patologia non sia dovuta a malfunzionamenti delle procedure esecutive o ad altri inconvenienti del sistema […].

Neanche l’apparentemente corretta autenticazione dell’operazione è necessariamente sufficiente a dimostrarne la riconducibilità all’utilizzatore che la abbia disconosciuta, cosicchè la responsabilità dell’utilizzatore resta circoscritta ai casi di comportamento fraudolento del medesimo ovvero al suo doloso o gravemente colposo inadempimento degli obblighi previsti dall’art. 7 del decreto sopra menzionato.

Laddove una simile responsabilità non possa essere dimostrata dall’intermediario prestatore del servizio, pertanto, l’utilizzatore non sarà tenuto a sopportare le conseguenze dell’uso fraudolento, o comunque non autorizzato, dello strumento di pagamento (se non nei limiti, eventualmente stabiliti dall’intermediario, di una franchigia non superiore a 50 euro).

La ratio di tale scelta legislativa è fin troppo notoriamente quella […] di allocare sul fornitore dei servizi di pagamento il rischio d’impresa, essendo quest’ultimo in grado di parcellizzare, distribuendolo sulla moltitudine dei clienti, il rischio dell’impiego fraudolento di carte di credito o di strumenti di pagamento.

Il Regolamento Delegato n. 389/2018

Per dirimere la questione odierna è richiamata la disciplina di cui all’art. 24 del Regolamento Delegato n. 389/2018, secondo cui

i prestatori di servizi di pagamento assicurano che solo l’utente dei servizi di pagamento sia associato, in modo sicuro, alle credenziali di sicurezza personalizzate, ai dispositivi e al software di autenticazione

e

l’associazione tramite un canale a distanza dell’identità dell’utente dei servizi di pagamento alle credenziali di sicurezza personalizzate e ai dispositivi o al software di autenticazione è effettuata ricorrendo all’autenticazione forte del cliente.

Fatta tale premessa, il Collegio di coordinamento rileva come in questo caso tutte le operazioni contestate siano state eseguite mediante digital wallet.

Questa forma di pagamento ha richiesto preliminarmente la tokenizzazione della carta sul wallet installato sul dispositivo del truffatore. Quindi, ha richiesto l’esecuzione dei singoli pagamenti.

Non è posto in discussione il fatto che sia la tokenizzazione dello strumento di pagamento sia i successivi pagamenti effettuati mediante wallet richiedano la procedura di autenticazione forte.

Dinanzi al disconoscimento delle operazioni di pagamento effettuato dall’utente, si verifica pertanto che l’intermediario abbia assolto l’onere di dimostrare che l’operazione di pagamento è effettuata mediante uso della SCA in tutte le fasi rilevanti.

Dalle evidenze prodotte dall’intermediario si evince che il 3/9/2023, alle 15.26, è eseguito l’accesso all’app dell’intermediario con contestuale certificazione di un nuovo dispositivo, autorizzata tramite username e password (fattore di conoscenza), nonché OTP SMS inviato sul numero della ricorrente (fattore di possesso).

Con le stesse modalità è attivato il riconoscimento biometrico sul nuovo dispositivo. Subito dopo è eseguita la tokenizzazione della carta della ricorrente su wallet A**** Pay, autorizzata con inserimento della password (fattore di conoscenza) e riconoscimento biometrico (fattore di inerenza).

Le successive operazioni di disposizione dei singoli pagamenti sono poi state effettuate tutte con la carta tokenizzata sul wallet A*** Pay e autorizzate con il dispositivo certificato (fattore di possesso), nonché con digitazione del codice di sblocco del dispositivo, che l’intermediario qualifica come fattore di conoscenza.

L’intermediario ha fornito adeguata prova dell’uso effettivo di questi fattori di autenticazione in tutti i passaggi evidenziati.

Le operazioni di pagamento

Per quanto riguarda le singole operazioni di pagamento, risultano dunque autorizzate con il dispositivo certificato nonché con digitazione del codice di sblocco del dispositivo.

I due fattori rilevanti ai fini della SCA sarebbero quindi:

• il possesso, rappresentato dalla disponibilità del dispositivo abilitato;
• la conoscenza, rappresentata dal codice di sblocco del dispositivo.

Dinanzi a tale scenario, il Collegio di Roma non dubita del fatto che l’uso del dispositivo certificato con la carta tokenizzata costituisca valido fattore di possesso. Dubita invece sull’idoneità del passcode del dispositivo a costituire valido fattore di conoscenza.

Il Collegio romano rileva come sul punto sussista un atteggiamento non uniforme dei Collegi di merito, con alcuni di questi che hanno ritenuto il passcode quale valido fattore di autenticazione e altri che invece sono giunti a conclusione diversa, richiamando in particolare una Opinion dell’EBA (Q&A 2021_6145), che aveva ritenuto non idoneo il passcode quale fattore di autenticazione nella fase (diversa da quella del pagamento, come del resto sottolinea lo stesso Collegio rimettente) della tokenizzazione della carta.

In aggiunta a ciò, il Collegio di Roma osserva che

lo sblocco di operatività dello smartphone prescinde dall’inserimento di una specifica operazione di pagamento che debba essere autenticata, in particolare per quanto riguarda il suo importo e il suo beneficiario. In altri termini, una volta sbloccato lo smartphone mediante l’inserimento del codice, fingerprint o riconoscimento biometrico che serve a questo fine, il device potrebbe essere utilizzato per autorizzare un numero indefinito di operazioni di pagamento mediante un solo fattore di autenticazione, ossia quello del suo possesso.

L’Opinione EBA Q&A 2021_6145

In tale ambito, il Collegio di coordinamento ritiene prima di tutto utile avviare l’analisi dell’esame dell’Opinion EBA Q&A 2021_6145.

Per quanto le opinioni espresse dall’EBA non siano vincolanti, ma costituiscono solo un riferimento utilizzabile in sede interpretativa, in questo caso è rilevante definire con precisione l’ambito in riferimento al quale il parere sopra richiamato è espresso.

Ebbene, nella fattispecie era posto all’EBA un quesito proprio sulla possibilità di considerare il passcode per sbloccare il dispositivo mobile come uno degli elementi di autenticazione forte del cliente quando un utente di un servizio di pagamento tokenizza una carta su una soluzione di portafoglio elettronico come A**** Pay (lo stesso usato nel caso in esame).

L’EBA nel suo riscontro cha chiarito che il passcode

non dovrebbe essere considerato un elemento SCA valido ai fini dell’aggiunta di una carta di pagamento a un portafoglio digitale se il meccanismo di blocco dello schermo del dispositivo mobile non è sotto il controllo dell’emittente o se il pagatore non è stato associato precedentemente tramite una SCA con le credenziali utilizzate per sbloccare il telefono.

Va dunque sottolineato che l’Opinion dell’EBA riguarda il caso specifico dell’uso del passcode nella fase della tokenizzazione e che nel parere è ritenuto che la preventiva associazione del pagatore tramite SCA con le credenziali utilizzate per sbloccare il telefono consenta, in seguito, di utilizzare il codice di sblocco quale valido fattore di conoscenza.

Le decisioni dei Collegi territoriali

Peraltro, questa impostazione ha trovato riscontro anche nelle decisioni di alcuni Collegi territoriali dell’Arbitro, mentre le difformità sono molto contenute.

Infatti, il Collegio di Milano ha ritenuto conformi a SCA i pagamenti effettuati mediante wallet e approvati con il possesso del dispositivo su cui sono presenti i wallet (elemento di possesso) e il passcode (elemento di conoscenza).

Anche il Collegio di Roma è giunto a una analoga conclusione, valorizzando il fatto che nel caso di specie il prestatore di servizi di pagamento risultasse coinvolto

nel processo di rilascio del token, in quanto […] l’OTP che consente l’associazione della carta al wallet è stata inviata all’utenza previamente registrata dal cliente presso il prestatore di servizi di pagamento.

Peraltro, in due lo stesso Collegio di Roma ha ritenuto non provata la SCA in relazione a operazioni effettuate tramite wallet. In entrambe le ipotesi, però, la ragione della decisione è individuata nella insufficienza della documentazione prodotta dall’intermediario, e in particolare in relazione alla fase della tokenizzazione.

Insomma, per il Collegio di Coordinamento non sembra che i Collegi territoriali abbiano mai escluso la validità del passcode a fungere da fattore di conoscenza valido ai fini SCA per i pagamenti effettuati tramite wallet in ipotesi sovrapponibili a quella ora esaminata.

La tokenizzazione della carta

La procedura di tokenizzazione della carta, se effettuata tramite SCA, consente infatti di portare il meccanismo di blocco dello schermo del dispositivo mobile (che può essere il passcode o il riconoscimento biometrico) sotto il controllo dell’emittente e per associare il pagatore con la credenziale utilizzata per lo sblocco del device.

Sul punto il Collegio di Coordinamento sottolinea come l’uso del passcode quale fattore di conoscenza è da considerarsi in tutto e per tutto fungibile con il riconoscimento biometrico quale fattore di inerenza.

Il dispositivo concretamente utilizzato nel caso di specie consente infatti all’utente di sostituire in qualsiasi momento (sia a livello di sistema, sia per la singola operazione) il riconoscimento biometrico con la digitazione del codice.

Si ritiene dunque come lo sblocco del telefono (o, in alternativa, il riconoscimento biometrico):

• non possa essere usato come elemento valido per la SCA durante la tokenizzazione;
• una volta effettuata la tokenizzazione mediante SCA, possa essere usato come elemento della SCA durante le successive operazioni di pagamento, in quanto l’utente è ormai previamente associato tramite SCA alle credenziali usate per lo sblocco del telefono.

La fattispecie

Tornando alla fattispecie in esame, il fatto che il codice di sblocco del cellulare sia utilizzato nella fase di tokenizzazione della carta, insieme a un sistema di autenticazione conforme a SCA, ha permesso di associarlo univocamente all’utente e ha fatto sì che lo stesso codice potesse essere validamente reimpiegato in fase dispositiva.

Sotto un altro profilo, a parere del Collegio rimettente, l’uso del codice di sblocco dell’apparato come elemento di conoscenza comporterebbe il rischio che, una volta sbloccato lo smartphone mediante passcode, il device potrebbe essere utilizzato per autorizzare un numero indefinito di operazioni di pagamento mediante un solo fattore di autenticazione, ossia quello del suo possesso.

Più nel dettaglio, nella specie si sarebbe al di fuori della ipotesi in cui, in caso di avvio di una sessione di pagamento mediante due fattori di autenticazione forte, sarebbe poi possibile tenerne fermo uno per la durata di tale sessione, autorizzando le singole operazioni al suo interno mediante un solo fattore aggiuntivo di autenticazione.

Il tutto perché, a parere del Collegio di Roma,

nel caso di cui si tratta […] la sessione di pagamento non sembrerebbe avviata mediante due fattori di autenticazione, ma mediante il solo inserimento del codice, fingerprint o riconoscimento biometrico che sblocca il cellulare: una volta che tale device è stato sbloccato, ciascuna operazione di pagamento parrebbe autorizzata mediante un solo fattore di autenticazione, ossia il possesso.

L’opinione del Collegio di Coordinamento sul digital wallet

Il Collegio di Coordinamento la pensa però diversamente e prova a fornire una ricostruzione differente.

In un caso come questo, infatti, la sessione di pagamento deve ritenersi avviata tramite un doppio fattore di autenticazione:

• il passcode quale fattore di conoscenza (che avrebbe potuto essere sostituito dal riconoscimento biometrico quale fattore di inerenza)
• la disponibilità del dispositivo precedentemente autenticato quale fattore di possesso.

All’interno della stessa sessione di pagamento, questo avrebbe in ogni caso consentito di ritenere possibile tenere fermo il primo fattore di autenticazione (il passcode) e autorizzare gli ulteriori pagamenti con il solo possesso.

Allo stesso modo, nella specie non vi è necessità di invocare la predetta eccezione, oltre al possesso è acquisito anche il secondo fattore, il passcode.

In sintesi, il Collegio di coordinamento ritiene di dover enunciare il seguente principio di diritto:

Nell’autenticazione di operazioni di pagamento tramite digital wallet, il codice di sblocco del dispositivo utilizzato (ovvero, in alternativa, il riconoscimento biometrico) può valere come secondo fattore rilevante ai fini della SCA, purché esso sia stato in via preventiva associato univocamente all’utente, mediante uso nella fase di tokenizzazione dello strumento all’interno del wallet, con procedura conforme a SCA.

L’onere probatorio per l’uso del digital wallet

Alla luce di quanto sopra illustrato, il Collegio ritiene che l’intermediario abbia adempiuto all’onere probatorio posto a suo carico dall’art. 10, comma 1, d.lgs. 11/2010.

Come illustrato, però, questo non consente di porre automaticamente le operazioni contestate a carico del cliente, dovendosi comunque verificare la sussistenza di una sua colpa grave o dolo.

Il Collegio ritiene in tal proposito che nella specie sussista effettivamente una colpa particolarmente grave della ricorrente.

Dalle allegazioni delle parti e dalla documentazione prodotta può considerarsi dimostrato che nella specie la ricorrente ha ricevuto un sms “civetta” sulla medesima chat abitualmente utilizzata dall’intermediario. Ha poi cliccato sul link contenuto nell’sms e ha fornito le proprie credenziali e comunicato il successivo SMS OTP al truffatore. Quindi, ha ricevuto un ulteriore SMS che le confermava l’attivazione della sua carta sul wallet “A**** pay” senza porsi il problema di contattare l’intermediario per chiedere spiegazioni.

In questo scenario, il fatto che il primo sms fosse contenuto nella chat dell’intermediario costituisce un elemento che rende la truffa particolarmente sofisticata e che in parte potrebbe giustificare l’aver dato seguito al link in esso contenuto.

Tuttavia, nel concreto svolgimento della vicenda, l’inerzia di fronte al successivo messaggio di conferma dell’attivazione della carta sul wallet ha costituito un elemento assolutamente decisivo, la cui autonoma efficienza causale ai fini della riuscita della truffa è stata tale da far ritenere sussistente la colpa grave della ricorrente e da porre a suo carico tutte le conseguenze dannose della vicenda.

Il ricorso non è dunque ritenuto meritevole di accoglimento.