Aus eigener Erfahrung würde ich sagen, es kommt auf das System drauf an: ich nutze (aus Sicherheitsgründen) für Onlinebanking seit Jahren grundsätzlich nicht die Webanwendung der Bank (und natürlich auch keine Smartphone-App ) sondern eine Software auf einem Rechner. Die Software holt sich die Daten von der Bank und verwaltet diese in einer lokalen Datenbank.
2017 kam es zu folgendem Vorfall bei meinem ING-Girokonto: nachdem ich die Buchungen am Sonntag in die Banking-Software heruntergeladen hatte konnte ich sehen, das am Samstag davor gegen 22:00 Uhr eine KK-Buchung in Höhe von 450,00 € an Dyson erfolgt war, die am darauffolgenden Montag gebucht werden sollte. Offensichtlich hattte sich ein unterbezahlter Mitarbeiter eines Zahlungsdienstleisters meiner Kreditkartendaten bedient, um auf meine Kosten zu shoppen: in der Webschnittstelle des ING-Onlinebankings war diese Buchung nicht zu sehen. Daraufhin rief ich bei der ING an und als ich gefragt wurde, was mein Begehr sei sagte ich nur, dass es um eine illegitime KK-Belastung gehe. Darauf fragte mich die Mitarbeiterin sofort, ob es um diese "Dyson-Buchung" gehe.
Die Buchung wurde von der ING storniert mit dem Hinweis, dass ich in der kommenden Woche per Post ein Formular erhalte auf dem ich mit Unterschrift bestätigen müsse, dass ich zum fraglichen Zeitpunkt nicht persönlich im Internet shoppen war und ich meine KK niemals in fremde Hände gegeben habe. Das habe ich unterschrieben, per Post zurückgesandt und damit war das Thema erledigt.
Auf meine Nachfrage, ob es sein könne, dass geplante Buchungen nicht im Onlinebanking, wohl aber in einer Bankingsoftware dargestellt werden, erhielt ich dann die Bestätigung, dass dem tatsächlich so sei.