Az adathalászat (phishing) abból áll, hogy egy támadó e-mailben megpróbál rávenni bennünket arra, hogy adjuk ki számlánk adatait – többnyire jelszavainkat. Személyesen nagy munka lenne meggyőzni valakit, hogy átadja nekünk kódjait, e-mailben azonban egy óra alatt több millió embert is megkereshetünk. Ha millióból akár csak egytől sikerül megszerezni a jelszavakat, már elegendő ahhoz, hogy a bűnelkövető vállalkozás működőképes legyen.

Schneier szerint a pénzintézetek biztonsági ellenintézkedésekkel megakadályozhatnák és hamar felderíthetnék a csalásokat, de mindez drága mulatság, ami nem éri meg nekik. Az persze nem igaz, hogy a pénzintézetek az adathalász támadások során nem szenvednek semmilyen veszteséget. De az idő, a stressz és a hercehurca költségét teljes egészében az áldozatok viselik. A közgazdaságtanban ezt nevezik külső gazdasági hatásnak: amikor egy üzleti döntés következményeit nem a döntést hozó szervezet viseli.

Hárítsuk a személyiséglopás miatti felelősséget teljes egészében a pénzintézetekre, és ezzel felszámoljuk az adathalászatot - véli Bruce Schneier magyarul is olvasható könyvében. A csalás e formája nem azért fog eltűnni, mert az emberek hirtelen okosabbak lesznek, vagy mert az internetszolgáltatók felismerik és törlik az ilyen e-maileket. Azért fog eltűnni szerinte, mert az információ, amelyhez egy bűnöző adathalász-támadás útján hozzájuthat, nem lesz elegendő ahhoz, hogy csalást kövessen el – mert a vállalatok nem fogják eltűrni mindezt a veszteséget.

A biztonság Schneier szerint akkor működik a legjobban, ha az a gazdálkodó egység a felelős a kockázatért, amely a leginkább képes arra, hogy a kockázatot mérsékelje. A probléma Schneier szerint kizárólag úgy oldható meg, ha a pénzintézeteket tesszük felelőssé az adathalászat és a személyazonossággal való visszaélés miatt elszenvedett veszteségekért.