HarborOne, une des institutions financières touchées par le piratage de TJX, lui a fait parvenir la facture : 590K$ ! Soit 90K$ pour les 9K cartes à réémettre (10$), et 500K$ de dommages pour atteinte à l'image.

En faisant une règle de trois, on se rend compte que la seule prise en charge du renouvellement des cartes compromises coûterait dans l'absolu 457 millions de dollars à TJX !

Mais la loi n'autorise (pour l'instant) que certaines instances gouvernementales telles la FTC et les consortiums Visa, Mastercard, etc... à sanctionner financièrement la société. Cette opération médiatique n'a ainsi que peu de chance d'aboutir en l'état. Cette "facture" sert en fait à appuyer l'intense lobbying des institutions financières pour une telle règlementation au niveau fédéral et/ou des Etats.

Une première loi est entrée en vigueur dans l'état du Minnesota pour contraindre les détaillants à adopter les standards PCI de Visa/Mastercard, qui interdisent notamment de stocker les données bancaires après transaction. Les détaillants de cet Etat peuvent désormais être tenus financièrement responsable en cas de compromission.

5 autres Etats, dont la Californie, sont en passe de faire de même.