По закону штата Калифорния (SB 1386) компании, виновные в утечке персональных данных, обязаны сообщить об этом пострадавшим. Защищать права потребителей вызвался адвокат Айра Роткен (Ira Rothken), известный специалист, кормящийся преследованием IT-компаний.
В самом начале судебного разбирательства на поверхность всплыла очевидная дыра в американском законодательстве. В SB 1386, сообщает компания InfoWatch, отсутствует явное указание на инициатора и спонсора рассылки предупреждений. Поэтому Visa и MasterCard, не связанные с пострадавшими напрямую и не несущие вины за утечку данных, просто перевели стрелки на CardSystems и банки, выпустившие скомпрометированные карты. Другим аргументом стала ссылка на политику «отсутствия ответственности», которая гласит, что клиентам платежных систем угрожают лишь незначительные «финансовые риски». По федеральному закону владельцы кредитных карт несут ответственность не более чем за $50 неавторизованных расходов. Что же до шансов на осуществление «кражи личности», то они минимальны, так как утечка из CardSystems Solutions не затронула номера социального страхования и адреса проживания граждан.
Но ключевым аргументом ответчиков стало красочное описание масштабов, затрат и эффективности рассылки предупреждений. Для сравнения, другая американская компания, ChoicePoint, в схожем случае потратила на уведомление 145 тысяч клиентов два миллиона долларов.