Doctrine
Doctrine
AccediRegistratiAccediRegistrati
Trib. Roma, sentenza 20/10/2025, n. 14529
TRIB
Sentenza 20 ottobre 2025

Fai una domanda sul provvedimento

Sintesi tramite sistema IA Doctrine

Commentari0

    Sul provvedimento

    Citazione :
    Trib. Roma, sentenza 20/10/2025, n. 14529
    Giurisdizione : Trib. Roma
    Numero : 14529
    Data del deposito : 20 ottobre 2025

    Testo completo


    REPUBBLICA ITALIANA
    IN NOME DEL POPOLO ITALIANO
    TRIBUNALE ORDINARIO DI ROMA
    SEZIONE XVI CIVILE
    Il Tribunale, in persona del Giudice Unico, dott. Paolo Goggi, ha emesso la seguente
    S E N T E N Z A nella causa civile di primo grado iscritta al n. 69454 del ruolo generale per gli affari contenziosi dell'anno 2021, trattenuta in decisione a seguito dell'udienza cartolare del 6.5.2025 e vertente
    T R A
    (C.F.: ), elettivamente domiciliata in Roma, Parte_1 C.F._1
    Via Germanico n. 12, presso lo studio legale degli Avv.ti Fiammetta Fiammeri e Silvia De Marzi, che la rappresentano e difendo giusta procura allegata all'atto di citazione
    Attrice
    E
    C.F./P.VA: , in persona del Controparte_1 P.VA_1
    Direttore della Direzione Legale Avv. Paolo D'Amico, elettivamente domiciliata in Roma, Via dei Barbieri n. 6, presso lo studio legale dell'Avv. Giovanni Maria Riccio, che la rappresenta e difende giusta procura allegata alla comparsa di costituzione e risposta
    Convenuta
    E
    C.F. P.VA: ), in persona dei procuratori Controparte_2 P.VA_2 P.VA_3 speciali Avv. Amelia De Luca e Avv. Alessandra Dodde, elettivamente domiciliata presso l'indirizzo di posta elettronica certificata dell'Avv. Antonella Migliaccio, che la rappresenta e difende giusta procura in calce alla comparsa di costituzione e risposta
    Terza chiamata in causa
    OGGETTO: responsabilità contrattuale banca
    CONCLUSIONI
    1 All'udienza cartolare di precisazione delle conclusioni, i procuratori delle parti così concludevano:
    • La difesa dell'attrice: “Piaccia all'Ill.mo Tribunale adito ogni avversa istanza respinta e disattesa: Accertata e dichiarata la responsabilità oggettiva della convenuta per CP_1
    l'operazione di bonifico effettuata a mezzo di strumenti elettronici di cui è causa, non avendo posto in essere appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente e non attribuibili al dolo o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo del titolare, condannarla al risarcimento del danno patito in €
    24.500,00 (€ 25.000,00 - € 500,00 già restituiti) o in quella diversa maggiore e\o minore somma che verrà ritenuta di giustizia, oltre interessi e rivalutazione. Rigettare, comunque tutte le domande eccezioni e deduzioni svolte nei confronti dell'attrice dalla convenuta e, ove occorrendo, dalla terza chiamata, siccome infondate in fatto e in diritto. Con vittoria di spese competenze ed onorari e con clausola come per legge. Si chiede altresì la concessione dei termini di legge per la redazione degli scritti conclusivi.”;
    • La difesa della convenuta: “Voglia il Tribunale adito, disattesa ogni istanza contraria o diversa, così giudicare: - nel merito, in via principale, respingere, perché infondate in fatto e in diritto, tutte le domande formulate da parte attrice per le ragioni dedotte nei precedenti scritti difensivi;
    - in ogni caso, con vittoria di spese e competenze di causa e chiede che la causa sia trattenuta in decisione con assegnazione dei termini di legge per il deposito degli scritti conclusivi.”    ;
    • La difesa della terza chiamata in causa: “…precisa le proprie conclusioni riportandosi a quelle rassegnate nella propria comparsa di costituzione e risposta, di cui si chiede l'integrale accoglimento, insistendo altresì per l'ammissione dei mezzi istruttori articolati dalla scrivente difesa nella propria memoria ex art. 183, comma 6, n. 2 c.p.c.. Si chiedono concedersi i termini di cui all'art. 190 c.p.c..”.
    Premesso in fatto che:
    Con atto di citazione ritualmente notificato, conveniva in giudizio la Parte_1 [...]
    esponendo: Controparte_1
    - che risultava vittima di una truffa del tipo "SIM swap fraud", attuata mediante la sostituzione della SIM telefonica;

    - che i truffatori, utilizzando una patente di guida contraffatta intestata alla vittima, richiedevano la portabilità del numero di telefono da a HO., disattivando la SIM originale CP_2
    e attivando quella in loro possesso;

    2 - che l'operazione consentiva loro di intercettare gli SMS contenenti messaggi di allerta e codici OTP inviati dalla eludendo così il sistema di autenticazione a doppio fattore e CP_1 disponendo un bonifico non autorizzato di euro 25.000,00;
    - che la recuperava e riaccreditava soltanto la somma di euro 500,00; CP_1
    - che sporgeva denuncia presso il Commissariato di P.S. Tuscolano e, a seguito del rigetto dei reclami da parte della adiva l'Arbitro Bancario e Finanziario (ABF); CP_1
    - che la si difendeva sostenendo l'adeguatezza del sistema di sicurezza basato su PIN, CP_1
    ID utente e codice OTP;

    - che l'ABF, con decisione n. 12203/2021, accoglieva il ricorso, affermando che in ipotesi di
    "SIM swap fraud" l'operazione non poteva ritenersi "regolarmente autenticata" e che la CP_1 non aveva provato la colpa grave della cliente, disponendo la corresponsione dell'importo di euro
    24.500,00;
    - che nonostante la decisione dell'ABF, la comunicava di non voler ottemperare;
    CP_1
    - che chiedeva di accertare la responsabilità oggettiva della per l'operazione non CP_1 autorizzata e di condannarla al risarcimento del danno per l'importo di euro 24.500,00.
    Concludeva, pertanto, come puntualmente riportato in epigrafe.
    Instauratosi il contraddittorio, si costituiva in giudizio la Controparte_1 la quale esponeva:
    - che l'operazione era stata eseguita mediante sistema di Autenticazione Forte (SCA), basato su fattori statici (codice cliente e PIN) e dinamici (codice OTP generato tramite Mobile Token
    BNL);
    - che l'attivazione del Mobile Token richiedeva la conoscenza di tutte le credenziali di sicurezza e quindi riteneva che la frode fosse dipesa dalla colposa divulgazione di tali dati da parte dell'attrice;
    - che aveva inviato un SMS l'8 aprile 2020, con cui informava dell'attivazione del Mobile
    Token;
    - che parte attrice, pur avendo ricevuto tale comunicazione (o, comunque, essendo a conoscenza della sostituzione della SIM dal 4 aprile 2020), non avrebbe segnalato tempestivamente l'anomalia;
    - che si dichiarava estranea alla sostituzione fraudolenta della SIM, qualificata come “reato- strumento” esterno alla propria sfera di controllo, precisando che l'operazione risultava correttamente autenticata, registrata e contabilizzata nei propri sistemi;

    3 - che l'art. 7 delle Condizioni Generali poneva a carico del cliente la responsabilità per ogni conseguenza dannosa derivante da uso illecito o sottrazione degli strumenti di sicurezza, imponendo la segnalazione immediata dell'accaduto e prevedendo l'esclusione della responsabilità in caso di corretta identificazione dell'operazione;
    - che ai sensi dell'art. 7 del d.lgs. n. 11/2010, l'utente era tenuto a proteggere le proprie credenziali e a comunicare senza indugio eventuali utilizzi non autorizzati;

    - che l'art. 12, comma 4, del medesimo decreto disponeva che, in caso di dolo o colpa grave dell'utente — come l'omessa custodia o la mancata tempestiva segnalazione — questi sopporti integralmente le perdite derivanti dalle operazioni non autorizzate;

    - che riteneva, pertanto, che la condotta colposa della cliente la esonerasse da ogni responsabilità;
    - che aveva adempiuto agli obblighi previsti dagli artt. 8 e 10-bis del d.lgs. n. 11/2010, implementando un sistema di autenticazione forte conforme alla normativa europea;

    - che chiedeva di autorizzare la chiamata in causa del terzo, individuato nell'operatore Par telefonico responsabile della sostituzione fraudolenta della;

    - che, quindi, domandava il rigetto integrale delle domande di parte attrice poiché infondate in fatto e in diritto.
    Concludeva, pertanto, chiedendo: “Voglia il Tribunale adito, disattesa ogni istanza contraria
    o diversa, così giudicare: - in via preliminare, autorizzare la convenuta ai sensi dell'art. CP_1
    269, c.p.c. a chiamare in causa (e quindi ad integrare il contraddittorio nei confronti di) la società C.F. – P.VA , in persona del legale Controparte_2 P.VA_2 P.VA_3 rappresentante pro tempore, con sede in Largo Metropolitana, 5, 20017, RHO, Milano, perché sia accertata la sua responsabilità in ordine all'evento di sostituzione non autorizzata della sim card dell'odierna attrice e, per l'effetto, sia condannata al risarcimento del danno da questa eventualmente patito;
    - sempre in via preliminare, in accoglimento della richiesta di autorizzazione alla chiamata in causa del terzo, differire, sempre ai sensi dell'art. 269 c.p.c, la prima udienza per consentire la citazione del terzo nel rispetto dei termini di legge e la relativa costituzione in giudizio;
    - nel merito, in via principale, respingere, perché infondate in fatto e in diritto, tutte le domande formulate da parte attrice;
    - in ogni caso, con vittoria di spese e competenze di causa.”    .
    Nelle more del procedimento si costituiva la terza chiamata la quale Controparte_2 esponeva:

    4 - che deduceva la sua responsabilità per aver autorizzato Controparte_1 la portabilità dell'utenza telefonica di parte attrice verso l'operatore HO. senza adottare adeguate verifiche e misure di sicurezza per l'identificazione del cliente;

    - che chiedeva l'accertamento della sua responsabilità in Controparte_1 relazione alla sostituzione fraudolenta della SIM card e la conseguente condanna al risarcimento dei danni eventualmente subiti da parte attrice;

    - che eccepiva l'assenza di ogni propria responsabilità, in quanto l'obbligo di identificazione dell'utente richiedente la portabilità del numero (MNP) incombeva sull'operatore ricevente (HO.)
    e non su quello cedente ( , ai sensi del Regolamento AGCom n. 147/11/CIR; CP_2
    - che il proprio ruolo si limitava ad un controllo formale delle richieste e alla loro tempestiva lavorazione, senza alcun obbligo di verifica dell'identità dell'utente;
    - che la chiamata in causa doveva essere rivolta all'operatore ricevente HO.;
    - che eccepiva, inoltre, la concorrente o esclusiva responsabilità di parte attrice e/o della
    Controparte_1
    - che la Sig.ra aveva concorso con la propria negligenza, poiché, pur avendo ricevuto Pt_1 un SMS il 4 aprile 2020 che segnalava la richiesta di portabilità, non aveva adottato alcuna misura per impedirla o per informare la consentendo così il completamento della procedura in CP_1 data 8 aprile 2020;
    - che contestava, infine, alla di aver predisposto adeguate Controparte_1 procedure di sicurezza, avendo consentito l'accesso ai sistemi informatici a chiunque fosse in possesso della SIM del cliente e autorizzato un bonifico estero anomalo per importo e destinazione;

    - che chiedeva di accertare e dichiarare l'insussistenza di qualsiasi responsabilità a proprio carico in relazione ai fatti di causa e, per l'effetto, di rigettare le domande proposte nei suoi confronti da perché infondate in fatto e in diritto. Controparte_1
    Concludeva, pertanto, chiedendo: “Voglia l'Ill.mo Tribunale adito, in via principale:

    1. accertare e dichiarare che non sussiste alcuna responsabilità imputabile a in Controparte_2 ordine ai fatti oggetto del presente giudizio e, conseguentemente, rigettare, in quanto infondata in fatto e in diritto, le domande proposte nei suoi confronti da in via subordinata:

    2. CP_3 in caso di condanna di al risarcimento del danno richiesto da parte attrice, disporre la CP_2 riduzione dell'importo del risarcimento accertando il concorso di colpa dell'attrice, ai sensi dell'art. 1227 c.c. e, in ogni caso, disporre la predetta condanna in solido con Con CP_3
    5 vittoria di compensi e spese del presente giudizio, oltre spese generali, iva e cpa come per legge dovute.”.
    La causa, ritenuta inammissibile l'istanza di prova orale formulata dalla terza chiamata in causa nella memoria di cui all'art. 183, co. 6, n. 2 c.p.c., era istruita con l'acquisizione della documentazione prodotta dalle parti e, a seguito dell'udienza cartolare del 6.5.2025, era trattenuta in decisione, con assegnazione alle parti dei termini ex art. 190 c.p.c. per il deposito delle comparse conclusionali e delle memorie di replica.
    OSSERVA IN DIRITTO
    Preliminarmente, giova evidenziare che l'attrice ha chiesto nel presente giudizio accertarsi la responsabilità della nell'effettuazione, ad opera di ignoti, di un Controparte_1 bonifico per la somma di € 25.000,00, eseguito in data 08.04.2020, a valere sul c/c intrattenuto con l'Istituto di credito convenuto.
    Deduce l'attrice che i soggetti ignoti esecutori della movimentazione bancaria disconosciuta, in data 04.04.2020, per il tramite di documenti di identità a lei riferibili e contraffatti, hanno chiesto ad un operatore telefonico (HO) la mobilità del numero mobile a lei intestato e al tempo riconducibile a (+393392321284), portabilità poi perfezionatasi in data 08.04.2020. CP_2
    Sempre a mente della linea difensiva attorea, successivamente al passaggio di portabilità dell'utenza telefonica, i truffatori hanno potuto accedere alla home banking e operare sul conto corrente online, inserendo PIN e le OTP generate dal mobile token, così sottraendo gli importi per cui è causa.
    Di contro, la ha eccepito la infondatezza della domanda attorea, adducendo di aver CP_1 posto in essere tutti gli standards prescritti dalla disciplina di settore al fine di eliminare i rischi di truffe di tal genere e lamentando la colpa grave di parte attrice nell'aver omesso di avvisare il proprio servizio assistenza dell'avvenuto passaggio di portabilità dell'utenza telefonica, quale strumento di sicurezza necessario per il riconoscimento del cliente nell'utilizzo dei servizi bancari.
    Pertanto, l'Istituto di credito ha chiamato in causa ritenendola responsabile Controparte_2 di aver omesso i controlli necessari e prodromici al passaggio di portabilità del numero intestato all'attrice.
    Autorizzata la chiamata in causa, costituendosi, ha dedotto la sua estraneità Controparte_2 ai fatti, asserendo di essere qualificabile quale operatore donating e, dunque, di non aver avuto alcun obbligo di verificare l'effettiva coincidenza tra il soggetto richiedente il passaggio di
    6 portabilità e il documento di riconoscimento presentato a tal fine, né di verificare la validità di quest'ultimo.
    Ciò precisato, con riguardo proprio alla posizione della terza parte chiamata in causa, la domanda formulata dalla è infondata. CP_1
    Ed invero, come asserito dalla terza chiamata in causa, è qualificabile nel CP_2 CP_2 caso di specie quale operatore donating, ossia l'operatore di “provenienza” nell'ambito della procedura del passaggio di portabilità di un'utenza telefonica – fissa o mobile – verso un altro operatore (operatore receiving, ossia l'operatore di destinazione, presso cui il cliente vuole
    “portare il numero”).
    Nello specifico, è proprio quest'ultimo ad avviare e a gestire la procedura di portabilità richiesta dal cliente e ad avere, ad oggi, specifici obblighi di acquisizione e di controllo della documentazione presentata dal cliente istante, ai sensi della Delibera AGCOM del 2021 (n.
    86/21/CIR), che ha rafforzato la disciplina ratione temporis applicabile, di cui alla Delibera
    AGCOM 147/11/CIR.
    Quest'ultima normativa, infatti, stabiliva che l'identificazione dell'utente fosse obbligatoria in fase di attivazione o cambio intestatario, ma non prescriveva puntuali obblighi di identificazione del richiedente, in fase di passaggio di portabilità, come parte integrante della procedura.
    Ad ogni modo, ante 2021, era pacifico che il receiving, quale diretto interlocutore con la clientela, doveva richiedere al momento della richiesta di portabilità (parificata alla nuova attivazione sulla rete dell'operatore di destinazione), un documento di identità da acquisire in copia e da controllare, al fine di verificare la corrispondenza tra l'istante e la documentazione de qua. Al contempo, lo stesso operatore di destinazione, previa la predetta verifica, doveva conservare i documenti (modulo di richiesta di passaggio di portabilità e copia della documentazione attestante l'identità del cliente).
    Sostanzialmente, il receiving era, anche ante 2021, l'unico operatore tenuto a controllare il documento di identità, dal momento in cui il donating (che nella procedura in esame non acquisiva e non acquisisce contatti diretti con la clientela) non avrebbe potuto chiedere documentazione di identificazione e, dunque, non avrebbe potuto verificare la correttezza e validità di quanto dichiarato e attestato, ricevendo solo dati tecnici dal receiving (quali numero di utenza, ICCID, codice di migrazione ecc.) da comparare con quelli presenti nei propri archivi e avendo l'obbligo, pena sanzioni, di rendere possibile il passaggio di operatore entro un preciso termine temporale. Come previsto dall'art. 11, co. 5, Allegato 1 alla Delibera n. 147/11 CIR,
    7 Parte_ infatti, “L'operatore recipient conserva l'originale della richiesta di ricevuta dal cliente, unitamente alla documentazione a corredo della stessa, inclusa la documentazione della validazione parziale effettuata nel caso di utilizzo della facoltà di cui all'art. 6, rendendo disponibile in copia tale documentazione all'operatore donating che ne faccia documentata richiesta nel caso in cui il cliente contesti di aver richiesto al predetto operatore recipient la portabilità.”.
    Successivamente, con la Delibera AGCOM del 2021, la disciplina ha subito un rafforzamento in punto di tutela del cliente, con l'aggiunta di controlli più stringenti dell'identità del richiedente
    (posti sempre a carico dell'operatore di destinazione) nel corso della procedura e con l'introduzione di notifiche personali all'utente, messo nelle condizioni di confermare o meno la prosecuzione dell'iter di portabilità della scheda.
    In definitiva, nel caso di specie, non può essere ritenuta responsabile di Controparte_2 quanto contestatole dalla non avendo alcun obbligo puntuale di identificazione del CP_1 richiedente il passaggio di portabilità dell'utenza, né essendo stata fornita la prova (da parte della convenuta chiamante in causa o da parte dell'attrice) che l' si sia tempestivamente attivata Pt_1 per contestare la portabilità, limitandosi quest'ultima a dedurre genericamente di aver provato a contattare l'assistenza telefonica della compagnia telefonica, senza fornire alcun riscontro probatorio sul punto e limitandosi a denunciare i fatti innanzi alle autorità cinque giorni dopo la ricezione del messaggio di avviso dell'inizio della procedura di portabilità.
    Ciò precisato con riguardo alla posizione della terza chiamata in causa, la domanda attorea formulata nei riguardi della è infondata. CP_1
    Sul punto, in termini generali, devesi ricordare che l'art. 10 bis del d.lgs. n. 11/2010, attuativo della direttiva 2007/64/CE (c.d. PSD1), da ultimo novellato con il d.lgs. n. 218/2017, emanato per recepire la nuova direttiva relativa ai servizi di pagamento 2015/2366/UE in vigore dal 13 gennaio 2018 (c.d. PSD2), individua in relazione all'utilizzo degli strumenti di pagamento elettronici e/o tramite canali a distanza che possano comportare un rischio di frode o di altri abusi, gli obblighi posti a carico del prestatore dei servizi e quelli gravanti sull'utente.
    Quest'ultimo, ai sensi dell'art. 7, è tenuto: ad utilizzare gli strumenti di pagamento secondo i termini d'uso pattuiti con il prestatore dei servizi ed esplicitati nel contratto quadro;
    a comunicare allo stesso, non appena ne venga a conoscenza, lo smarrimento, il furto,
    l'appropriazione indebita o l'uso non autorizzato dello strumento di pagamento, al fine di consentirne il blocco;
    ad adottare tutte le misure idonee a proteggere dall'altrui ingerenza i dispositivi di accesso personalizzati, tra cui le credenziali di sicurezza personalizzate.
    8 In base al successivo art. 12 c. 3, qualora l'utente dei servizi di pagamento violi uno dei suddetti obblighi con dolo o colpa grave o agisca in modo fraudolento, assume la responsabilità delle perdite relative all'utilizzo abusivo dello strumento di pagamento, per intero;
    diversamente, ha diritto di ottenere dal prestatore dei servizi il rimborso della somma illecitamente sottrattagli, al netto di una franchigia di 50 euro, da applicarsi in caso “di operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita”.
    Quindi, come espressamente previsto dall'art 10 c. 2 d.lgs. 11/2010, il prestatore di servizi di pagamento può escludere la propria responsabilità per l'utilizzo non autorizzato dello strumento di pagamento ad opera di terzi, provando la frode dell'utilizzatore o il suo inadempimento per dolo o colpa grave, che costituiscono fatti impeditivi del risarcimento del danno ex art. 2697 c. 2
    c.c.     Del resto, anche la giurisprudenza di legittimità ha affermato che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente” (cfr. Cass. 05/07/2019, n. 18045).
    Specularmente, il d.lgs. n. 11/2010 pone anche a carico del gestore dei servizi di pagamento il rispetto di obblighi determinati, tra i quali rientrano: l'obbligo di assicurare, tramite l'adozione delle misure più idonee alla luce dello sviluppo tecnologico, che i dispositivi personalizzati per l'utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato (art. 8 c. 1 lett. a); l'obbligo di assicurare che siano sempre disponibili gratuitamente strumenti adeguati affinché l'utilizzatore possa effettuare la comunicazione di cui all'art. 7 c. 1 lett. b (art. 8 c. 1 lett. c); l'obbligo di impedire l'utilizzo dello strumento di pagamento in seguito al blocco (art. 8 c. 1 lett. d); l'obbligo di attuare l'autenticazione forte del cliente, quando l'utente accede al suo conto di pagamento online, dispone un'operazione di pagamento elettronico o effettua qualsiasi azione tramite un canale di pagamento a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi (art. 10 bis c. 1).
    Di talché, per far sì che l'utilizzatore sopporti le perdite derivate da un uso illegittimo dello strumento di pagamento ad opera di terzi, non è sufficiente che il prestatore del servizio dia prova di una condotta fraudolenta o dell'inadempimento degli obblighi ex art 7 d.lgs 11/2010 sorretto da dolo o colpa grave del cliente, dovendo altresì dimostrare, preventivamente, di aver adempiuto i doveri di tutela del consumatore prescritti a suo carico dal decreto (cfr. Cass. 26/11/2020, n.
    26916    ).
    9 L'art. 10 c. 1 d.lgs. 11/2010 afferma infatti che, qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione già eseguita “è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti”.
    In conclusione, è possibile affermare che l'imputazione di responsabilità all'utilizzatore dello strumento di pagamento, ex art. 12 c. 3 d.lgs 11/2010, presuppone che l'istituto di credito raggiunga una duplice prova, ossia quella di aver usato un elevato grado di diligenza nell'adempimento dei propri oneri e quella che dimostri, con sufficiente grado di attendibilità giuridica, l'inadempimento degli obblighi del cliente dovuto a frode, dolo o colpa grave.
    Nel caso di specie, la a sostegno della regolarità formale dell'operazione in CP_1 contestazione, ritenuta correttamente autenticata, registrata e contabilizzata, nonché eseguita secondo un sistema di autenticazione a due fattori (Strong Customer Authentication), da cui evincere l'elevato livello di sicurezza dello strumento di pagamento, ha prodotto in atti i files log contenenti la tracciatura dell'operazione di bonifico svolta sul portale home banking dell'Istituto di credito, nonché i files log da cui evincere specificamente gli accessi, gli SMS, le notifiche push, le caratteristiche degli IP unici relativi agli accessi, concernenti il bonifico in oggetto (doc.ti 2 e
    3 fascicolo parte convenuta).
    Analizzata tale documentazione informatica, da ritenersi valida ed efficace, è stato accertato che, in data 08.04.2020, alle ore 10:56:17, l'utenza con Id 0055289337 intestata ad Pt_1 ha avviato la procedura di login alla home banking della banca, completata con
    [...]
    l'inserimento del Pin e della password dinamica OTP inviata tramite SMS al numero di cellulare certificato (+393392321284).
    L'operazione di login ha comportato, quindi, l'invio sul medesimo cellulare, di notifiche push di allerta, finalizzate a rappresentare al correntista la richiesta di attivazione del Mobile Token, la Contr configurazione dell'App e la successiva esecuzione della movimentazione contestata
    (inserimento ordine di bonifico per l'importo di 25.000,00 euro), definita alle ore 11:00:58 (doc.
    2 e 3 cit.), secondo il sistema di sicurezza antifrode della banca.
    Nel caso, le credenziali dinamiche sono state inserite correttamente, per cui il bonifico è andato a buon fine.
    Deve concludersi, dunque, per la regolarità formale del sistema di sicurezza approntato dall'Istituto di credito, le cui procedure non hanno sofferto alcun malfunzionamento.
    10 Relativamente, invece, alla colpa grave da imputarsi in capo all'attrice/utilizzatrice del servizio di pagamento, devesi evidenziare che l'attrice era a conoscenza che l'utenza telefonica a lei intestata era anche il recapito indicato alla Banca per il funzionamento dei sistemi di sicurezza nell'uso dei servizi di pagamento e, ai sensi delle disposizioni contrattuali intervenute tra le parti
    (art. 7 del contratto bancario, doc. 4 fascicolo di parte convenuta), “Nel caso di smarrimento o sottrazione il Cliente sarà tenuto a denunciare l'evento all'Autorità Giudiziaria o di Polizia e ad informare immediatamente la mediante comunicazione anche telefonica […]” e ciò al fine CP_1 di rendere possibile il blocco dei sistemi di sicurezza.
    Nella specie, ha affermato di aver ricevuto SMS di avviso di inizio della Parte_1 procedura di portabilità in data 04.04.2020 e, senza fornire alcuna prova, di aver tentato di prendere contatti con il servizio assistenza al fine di contestare la procedura, per Controparte_2 poi procedere solo il 09.04.2020 (doc. 1 fascicolo di parte attrice) a denunciare l'evento formalmente. In tale frangente temporale, tuttavia, l' non ha ritenuto di dover Pt_1 tempestivamente informare anche la dell'anomalia riscontrata, impedendo dunque a CP_1 quest'ultima di porre in essere tutte le attività preposte alla tutela della clientela.
    Ed invero, l' ha presentato denuncia per l'operazione di movimentazione bancaria Pt_1 contestata soltanto in data 14.04.2020 (doc. 2 fascicolo di parte attrice), dieci giorni dopo la ricezione del messaggio di avvenuta richiesta di passaggio di portabilità del numero telefonico e sei giorni dopo l'esecuzione del bonifico poi disconosciuto.
    Pertanto, deve ritenersi provata anche la colpa grave in capo all'attrice per non essersi attivata tempestivamente per evitare l'evento illecito poi verificatosi, rivolgendosi alla Banca convenuta al fine di rendere possibile il blocco dello strumento di pagamento e dei servizi ad esso collegati, pur essendo stata a conoscenza della richiesta avanzata da ignoti di passaggio di portabilità del numero comunicato alla Banca e in uso per le operazioni all'interno dell'internet banking.
    Non senza considerare che, attesa, dunque, la predisposizione da parte della banca di un sistema di autenticazione a due fattori come quello in esame ed in assenza di particolari anomalie tali da comprometterne il corretto funzionamento, si deve altresì presumere che ci sia stata una negligenza dell'utente nella custodia delle credenziali necessarie per utilizzare i servizi di pagamento.
    Sul punto si rammenta che la giurisprudenza di legittimità ha chiaramente affermato che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e,
    11 quindi, va esclusa se ricorre una situazione di colpa grave dell'utente” (cfr. Cass. sent. n.
    18045/2019).
    La recente giurisprudenza di legittimità ha altresì precisato che “non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali (verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato” (Cfr. Cass. sent. n. 7214/2023).
    Occorre, peraltro, considerare la capillare diffusione delle campagne informative assiduamente proposte da tutti gli istituti di credito e, in generale, dai mezzi di comunicazione, con l'avvertimento di non immettere le proprie credenziali in siti internet o in sede di risposta a mail apparentemente provenienti da banche trattandosi di dati che nessun dipendente di banca è legittimato a richiedere.
    Sicchè, alla luce di quanto precede, in ragione della comprovata condotta del cliente connotata da colpa grave, idonea a configurare un fattore causale immediatamente correlato all'evento lesivo denunciato dalla parte attrice, idoneo ad interrompere il nesso eziologico con successive eventuali condotte negligenti della banca in occasione dei singoli atti dispositivi, deve risolutivamente escludersi che una qualche responsabilità possa ascriversi all'istituto di credito, con la conseguenza che va rigettata la pretesa risarcitoria avanzata nei confronti dello stesso.
    Del pari, per le considerazioni suesposte, deve essere respinta anche la domanda formulata dalla Banca convenuta nei confronti della anche sotto il profilo dell'asserito Controparte_2 concorso colposo della terza chiamata nel fatto doloso del terzo, così come dedotto dalla convenuta nella propria comparsa conclusionale, dopo aver modificato, in tal senso, le proprie originarie conclusioni nelle note di trattazione scritta del 5.5.2025.
    Le spese di lite seguono la soccombenza delle parti nei reciproci rapporti e sono liquidate come da dispositivo, ai sensi del D.M. 147/2022.


    P.Q.M.
    Il Tribunale di Roma, in persona del Giudice Unico, definitivamente decidendo nella causa civile come sopra promossa, disattesa ogni diversa domanda ed eccezione, anche istruttorie, così provvede:
    1) Rigetta la domanda formulata da nei riguardi della Parte_1 Controparte_1
    [...]
    2) Rigetta la domanda formulata dalla nei confronti di Controparte_1
    Controparte_2
    12 3) Condanna alla rifusione delle spese di lite in favore della Parte_1 [...]
    liquidate in € 5.077,00, per compensi, oltre rimb. spese generali ed accessori Controparte_1 come per legge;

    4) Condanna la alla rifusione delle spese di lite in favore Controparte_1
    di liquidate in € 5.077,00, per compensi, oltre rimb. spese generali ed accessori Controparte_2 come per legge.
    Così deciso in Roma, il 20.10.2025
    Il Giudice
    Dott. Paolo Goggi
    13