Il Collegio di Coordinamento dell’Arbitro Bancario Finanziario, con decisione n. 4274 del 12 maggio 2026, si è pronunciato sui presìdi di autenticazione forte del cliente in un caso di frode realizzata mediante SMS spoofing e vishing.
La controversia riguardava due operazioni disconosciute, per complessivi euro 5.075,77, eseguite dopo che la cliente aveva ricevuto un SMS apparentemente proveniente dall’intermediario ed era stata poi contattata da un falso operatore dell’ufficio frodi.
Il Collegio ha chiarito, in primo luogo, che è conforme alla disciplina PSD2 la procedura che consente l’accesso al conto con un solo fattore di autenticazione, in applicazione dell’esenzione prevista dall’art. 10 del Regolamento delegato (UE) 2018/389, e il successivo riutilizzo dello stesso fattore per autorizzare un pagamento, purché l’operazione avvenga nella stessa sessione, sia assicurato il dynamic linking, non si tratti del primo accesso e non siano decorsi più di 180 giorni dall’ultima applicazione della SCA.
Quanto al CVV dinamico, il Collegio ha inoltre affermato che il relativo utilizzo, se generato nella fase di accesso all’area riservata e accompagnato da un OTP inviato via SMS, configura un sistema di autenticazione a doppio fattore conforme alla disciplina sull’autenticazione forte.
Nel caso concreto, l’intermediario ha dimostrato la corretta autenticazione, registrazione e contabilizzazione delle operazioni. Il ricorso è stato quindi respinto, anche in ragione della condotta gravemente colposa della cliente, che aveva contattato un numero non riconducibile alla banca e comunicato a terzi i codici OTP ricevuti.




