Szerintem abban tévedsz, hogy ki kinek az ügyfele ebben a helyzetben.
Az OTP és minden hasonló más szolgáltatónak kell valaki akire mutogathatnak, ha a számládról pénz tűnik el, mert rühellik saját profit terhére kifizetni a kártérítéseket. Remek példa az SMS-ben küldött 2FA kód, amit a mobilszolgáltatók képesek eltökölni azzal, hogy személyazonosság megfelelő ellenőrzése nélkül kiadnak csere SIM-kártyát a te nevedben jelentkező támadónak. Nyilván ilyenkor remek jogi csikicsuki indul, hogy ki kivel milyen jogviszonyban állt, ki kit perelhet és kin milyen kártérítést lehet behajtani.
A Google tkp ezt szolgáltatja nekik ezzel a safetynet dologgal. Igazából az sem feltétlen kell, hogy a Google tényleges pénzügyi kártérítési felelősséget vállaljon (bár nem lennék meglepve, ha háttérben létezne ilyen típusú business model, hogy nagy cégeknek sok-sok pénzért a G vállal valamekkora kártérítést, ha az ügyfelét a safetynet feltörtése miatt érte kár). A lényeg, hogy az OTP bíróságon - amikor te pereled őket az elveszett pénzed miatt - takarózhat azzal, hogy ők mindent megtettek, ami a technika aznapi állása szerint lehetséges volt. Azt is el tudom képzelni, hogy az OTP valami biztosítási konstrukcióval fizeti ki a kártérítéseket, és ennek feltétele, hogy papíron "mindent" megtegyen a kockázatcsökkentés érdekében.