Если "напоили" и получили доступ к вашему телефону - точно не вина банка. Есть простые правила безопасности (пароли и коды для входа; блокировка экрана и прочее), которые должен соблюдать каждый из нас.

В законе нет четкого метода уведомления клиента с возможностью последующего подтверждения. Банк может уведомлять пуш кодами и любым удобным им способом. Это и есть главная дыра, чтобы потом уходить от ответственности. На западе при переводах есть еще буферный период для подтверждения чистоты операции. У нас этого тоже нет - а в итоге миллионы людей грабят через личные кабинеты, зачастую через пособничество сотрудников банков. И все молчат, пишут памятки обывателей или вот тут на форуме.

Если «напоить попутчика в поезде», как вы описываете, то тут из приложения любого банка можно перевести эти деньги на киви или ещё куда.

И в чём тут вина банка? Если клиент обязан следить за тем, чтобы к его ЛК не было доступа у посторонних.