Oft stellt sich die Frage, wer im Falle eins finanziellen Schadens bei einer Phishing-Attacke haftet: die Bank oder der Kunde? Insgesamt können Opfer eines Phishing-Angriffes durchaus Hoffnung haben, dass die Bank für den eingetretenen Schaden aufkommt. Der Bankkunde kann verlangen, dass Abbuchungen und Überweisungen, die ohne Rechtsgrundlage durchgeführt wurden, von der Bank wieder rückgängig gemacht werden.
Hier kann die Bank nur die Aufwendung für die Buchung einfordern. Die Bank kann der grundsätzlichen Haftung auf Erstattung des missbräuchlich verwendeten Betrages nur entkommen, wenn sie darlegen kann, dass der Kunde gegen seine Sorgfaltspflichten verstoßen hat. Das ist aber eine Ermessensentscheidung der Richter.
So hat beispielsweise das Amtsgericht Wiesloch entschieden, dass eine Bank für den Schaden haftet, der einem Online-Banking-Kunden durch einen Phishing-Angriff entsteht, wenn der Computer des Kunden durchschnittlichen Sorgfaltsanforderungen genügt. Von einem Kunden könne lediglich eine "irgendwie geartete Absicherung des Computers" erwartet werden.
Soweit keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart seien, reiche ein Antivirenprogramm aus. Das Gericht wies auch darauf hin, dass grundsätzlich die Bank das Fälschungsrisiko eines Überweisungsauftrags zu tragen habe. Ähnlich entschied kürzlich das Landgericht Landshut.