A bank felelős azért, hogy olyan szolgáltatást nyújt, amin nem tudja megvédeni a felhasználókat. Az is valid irány, ha nem nyújtja ezt a szolgáltatást (pl. a Revolut ezt csinálja), meg az is, ha megfelelő kockázatelemzés van a tranzakciók mögött, meg az is, ha olyan módon van megcsinálva a szolgáltatás, ami megakadályozza a phisinget. De az MBH-nál tényszerűen ebből egyk sem teljesült.