Sofern eine Bank beim Online-Banking nicht das aktuelle iTAN-System verwendet, haftet sie grundsätzlich für Schäden aus Phishing-Attacken, d.h. der Kunde muss entsprechende Überweisungen nicht tragen.
Allerdings trifft den Kunden ein Mitverschulden von 30% (also seine Schadensquote), wenn er wiederholt zur TAN-Eingabe aufgefordert wird und ihm dies nicht verdächtig vorkommt.
KG Berlin, Urteil vom 29.11.2010, 26 U 159/09
Im entschiedenen Fall wollte der Kunde eine Überweisung tätigen. Nach Eingabe der PIN öffnete sich ein neues Fenster, das dem Internetauftritt der Bank glich. Er wurde aufgefordert, den Login zu wiederholen und vier unverbrauchte TAN einzugeben, was er auch tat. Mit diesen TAN erfolgten dann die schadensursächlichen Überweisungen.