Il Collegio di Coordinamento ABF sul rispetto dei requisiti SCA

Il Collegio di coordinamento dell’ABF, con decisione n. 4274 del 12 maggio 2026 (Pres. Maugeri, Rel. Sillani), si è pronunciato sulla conformità ai requisiti della SCA dello specifico sistema di autenticazione posto in essere da un intermediario per autorizzare singole disposizioni di pagamento, sia mezzo giroconto, che bonifico, nonché tramite e-commerce.

In particolare, si è interrogato sulla possibilità concessa dall’intermediario al cliente di riutilizzare uno dei fattori di autenticazione, già inseriti dall’utilizzatore nella medesima sessione di accesso, nonché sulla possibilità di riutilizzarlo per la creazione del c.d. CVV dinamico.

In particolare, il Collegio in tale contesto esprime i seguenti principi di diritto:

“E’ conforme al quadro normativo di riferimento la procedura adottata dall’intermediario che consente ai clienti di accedere al conto con un unico fattore di autenticazione (in applicazione del regime di esenzione di cui all’art. 10 del Regolamento Delegato (UE) 2018/389) e di eseguire un’operazione di pagamento riutilizzando detto fattore insieme con un secondo elemento di autenticazione (di diversa natura), a condizione che: a) l’accesso e il pagamento avvengano nella stessa sessione; b) l’associazione dei fattori utilizzati produca il dynamic linking (di cui all’art. 5 degli RTS – Regulatory Technical Standards/PSD2 – ); c) non si tratti del primo accesso al conto da parte dell’utente (nel qual caso è necessaria l’adozione della SCA); d) non siano decorsi più di 180 giorni dall’ultima applicazione della SCA”.

“Configura un sistema di autenticazione a doppio fattore (SCA), come richiesto dalle disposizioni vigenti per autorizzare le operazioni di pagamento, l’utilizzo di un cd. CVV dinamico, generato nella fase di accesso all’area riservata del cliente, accompagnato dall’inserimento di un OTP inviato via SMS”.

Sul riutilizzo di un precedente fattore di autenticazione in fase di disposizione di pagamento

In particolare, il d.lgs. 11/2010, modificato dal d.lgs. 218/2017 recepisce la Direttiva (UE) 2015/2366 (c.d. PSD2 – Payment Services Directive 2) la quale, allo scopo di favorire l’uso di strumenti di pagamento diversi dal contante, prevede differenti obblighi in capo ai fruitori e ai prestatori di servizi di pagamento.

Per quanto concerne i fruitori, questi devono utilizzare i citati strumenti in maniera corretta e diligente, garantire la segretezza dei codici e informare tempestivamente i prestatori nell’ipotesi di operazioni fraudolente.

I prestatori, invece, sono tenuti all’adozione di sistemi di sicurezza che impediscano a terzi l’accesso ai dispositivi personali degli utilizzatori e, nell’ipotesi in cui venga disconosciuta un’operazione, devono provare che l’autenticazione sia stata registrata e contabilizzata correttamente e non abbia subito le conseguenze di eventuali malfunzionamenti.

L’art. 10 del d.lgs. 11/2010 prevede che i prestatori adottino la SCA (strong customer authentication) per l’accesso al conto di pagamento online, l’esecuzione di operazioni di pagamento elettronico o altre azioni che possano “comportare un rischio di frode nei pagamenti o altri abusi”.

In particolare, il requisito della SCA viene rispettato nel momento in cui vi siano almeno due dei seguenti fattori: conoscenza, inerenza e possesso.

Precisa il Collegio come l’intermediario sia tenuto ai citati doveri in ogni ipotesi in cui l’operazione sia stata disposta direttamente dal titolare dello strumento. Si precisa come, nel caso in cui inserisce solo uno dei fattori di autenticazione, il pagamento non deve intendersi autorizzato, in quanto può ritenersi sussistente solo nell’ipotesi in cui sia avvenuto tramite la forma convenuta tra prestatore e utilizzatore.

Si precisa come l’art. 10 del Regolamento (UE) 2018/389, preveda che non debba trovare applicazione la SCA nell’ipotesi in cui l’utente sia acceduto direttamente al proprio conto online per mera consultazione dei dati ivi inseriti, ovvero per accedere al “a) saldo di uno o più conti di pagamento designati; b) alle operazioni di pagamento eseguite negli ultimi 90 giorni attraverso uno o più conti di pagamento designati“.

Lo stesso articolo prevede una deroga alla citata disciplina, con conseguente applicazione della SCA (e quindi autenticazione ad almeno due fattori) nell’ipotesi in cui  l’utente acceda per la prima volta alle summenzionate informazioni mediante il prestatore di servizi, oppure se siano trascorsi più di 180 giorni dall’ultimo accesso alle informazioni in questione e sia stata applicata l’autenticazione forte del cliente.

Il Collegio, al fine di comprendere come interpretare la disciplina vigente, ha richiamato due Q&A di EBA secondo cui la SCA debba essere utilizzata tanto al momento dell’accesso al conto, quanto in quello della disposizione di pagamento. Uno dei due fattori può tuttavia essere riutilizzato al momento dell’accesso nell’ambito della stessa sessione per disporre un pagamento, a condizione che l’associazione di entrambi i fattori produca il c.d. dynamic linking (Q&A 2018_4141) al momento della disposizione di pagamento.

A seguire EBA ha precisato come allo stesso modo, nell’ipotesi di accesso ad un solo fattore, al momento della disposizione di pagamento può essere riutilizzato il medesimo fattore di autenticazione (possesso o conoscenza). Il sopracitato principio trova applicazione, quindi, anche quando l’accesso al conto non è presidiato da SCA (Q&A 2020_5516), ma solo se riconducibile a una delle ipotesi per le quali è prevista l’esenzione ai sensi dell’art. 10 del Regolamento delegato.

Il Collegio, quindi, ritiene conforme alla disciplina esistente e agli orientamenti di EBA il procedimento che consente di accedere all’area riservata utilizzando solo uno dei fattori impiegati in un precedente accesso avvenuto entro i 180 giorni antecedenti. Tale fattore, precisa, può essere utilizzato per autorizzare un pagamento, purché accompagnato da un altro fattore, di diversa natura, per garantire il “dynamic linking” (ad esempio, l’inserimento di un OTP).

In tale modalità, secondo l’ABF, si tutela, da un lato, l’utilizzatore del servizio e, dall’altro, viene garantito l’accesso al sistema con conseguente compimento di operazioni di pagamento in maniera rapida e semplice.

Sull’uso del CVV dinamico

Per quanto concerne l’utilizzo del CVV dinamico quale fattore di autenticazione, il Collegio evidenzia come il fattore di possesso non si riferisca solo ad un elemento di carattere fisico ma ad ogni mezzo che permetta “la generazione o la ricezione di un elemento di validazione dinamica sul dispositivo”.

In particolare, come ha chiarito altresì EBA nelle Q&A richiamate nella decisione:

• se il CVV è impresso nella carta non costituisce fattore di autenticazione
• se è dinamico può costituire fattore di possesso
• se inviato all’utente separatamente deve equipararsi ad un codice PIN e può configurarsi come fattore di conoscenza.

Nell’ipotesi in cui il CVV dinamico sia generato tramite SMS deve essere qualificato come elemento di possesso.

Nel caso di specie, il Collegio ha ritenuto non conforme alla SCA il sistema adottato in quanto anche il secondo fattore richiesto, ossia il codice OTP ricevuto via SMS configurava elemento di possesso e, per ritenersi conforme, i fattori utilizzati dovrebbero appartenere a due differenti categorie.

Allo stesso modo deve evidenziarsi come il CVV possa essere qualificato anche quale fattore di conoscenza: ai fini della configurabilità o meno di un valido sistema di autenticazione a doppio fattore nei casi di utilizzo di CVV dinamico, occorre infatti guardare al procedimento di autorizzazione dell’intermediario, posto in essere nel suo complesso.

Se, il CVV dinamico viene generato previo accesso all’area personale del cliente tramite username e password ed inserimento di un OTP inviato tramite SMS all’utente, si deve attribuire rilievo al fattore di conoscenza o inerenza (la password) che entra a far parte dell’articolato iter per produrre il predetto CVV: pertanto, la generazione del CVV dinamico prevede l’uso di due diversi fattori, uno di conoscenza (la password) e uno di possesso (l’OTP); quindi, il CVV può essere qualificato come fattore di conoscenza, valorizzandosi il riutilizzo di un fattore di autenticazione in fase di accesso avente tale carattere.

L’ABF, quindi, ha ravvisato la conformità a SCA del sistema di autenticazione predisposto dall’intermediario nel caso di specie per le operazioni con carta che impieghino quali fattori di autenticazione un CVV dinamico (fattore di conoscenza) e un OTP trasmesso via SMS al numero associato al conto del cliente (fattore di possesso).