Penelitian ini dilakukan bertujuan untuk mengetahui perlindungan hukum atas penyalahgunaan data nasabah pada lembaga perbankan dalam modus phising dan penyelesaian sengketa dan pertanggungjawaban bank yang merugikan nasabah atas pelanggaran kebocoran data nasabah Bank Panin Cabang Medan. Metode penelitian yang digunakan dalam penelitian ini ialah hukum normatif yang berfokus pada penelitian peraturan perundang-undangan, keputusan pengadilan, dan prinsipprinsip hukum yang berlaku. Selain produk hukum, wawancara yang berbentuk semi structured juga dilaksanakan sebagai data primer. Hasil penelitian dan analisis ialah perlindungan hukum atas penyalahgunaan data nasabah dapat dilakukan dalam 2 langkah. Secara preventif, hukum mengatur beberapa kewajiban bank seperti membina nasabah, menyediakan dan memastikan sistem elektronik yang baik, serta menjaga kerahasiaan informasi dan data nasabah. Secara represif, hukum mengatur bahwa bank wajib menerima dan memproses pendapat dan keluhan dari nasabah dan bertanggung jawab ketika terbukti kesalahan ada di pihak bank serta nasabah juga dapat melakukan upaya penyelesaian sengketa di pengadilan maupun di luar pengadilan. Hukum juga mengatur bahwa pelaku phising akan dikenakan hukuman sesuai dengan unsur hukum yang dilanggarnya yaitu penipuan, pemalsuan surat, penerobosan, dan pencurian. Dari wawancara yang dilakukan, Bank Panin telah melaksanakan langkah preventif sesuai dengan yang ditentukan oleh hukum, namun Bank Panin belum memberikan pengaturan yang jelas dalam pelaksanaan langkah represif sesuai yang ditentukan oleh hukum. Phising dapat terjadi ketika data nasabah bocor baik disengaja maupun tidak disengaja yang dilakukan oleh pihak bank ataupun dari nasabah sebagai bentuk kelalaiannya. Sengketa phising dapat diselesaikan dengan terlebih dahulu mengajukan pengaduan kepada pihak Bank yang harus didengar dan diproses keluhannya oleh pihak Bank. Bank kemudian berkewajiban untuk melakukan investigasi terhadap pengaduan tersebut. Apabila dari hasil investigasi tersebut terbukti bahwa kelalaian berada di pihak Bank, maka Bank wajib bertanggung jawab atas hal tersebut sebab berdasarkan hukum, pihak Bank yang terbukti membocorkan data nasabah yang kemudian mengarah kepada kerugian yang dialami nasabah dapat dikenakan sanksi administratif hingga dicabutnya ijin usaha Bank, selain itu terhadap karyawan Bank juga dapat dikenakan sanksi pidana. Selain penyelesaian sengketa di Bank, korban juga dapat menyelesaikan sengeketa di pengadilan, LAPS, OJK, BI, dsb. Bank Panin menyatakan bentuk tanggung jawab mereka berupa pendisiplinan karyawan yang memang terbukti membocorkan data nasabah dan mengakibatkan kerugian. / This research was conducted to determine the legal protections against the misuse of customer data in banking institutions, specifically in cases of phishing, and to explore dispute resolution and the responsibility of banks, focusing on customer data breaches at Bank Panin's Medan Branch. The research method used is normative legal research, focusing on laws, regulations, court decisions, and applicable legal principles. In addition to analyzing legal documents, semistructured interviews were conducted as primary data. The study found that legal protections against customer data misuse are provided through two approaches. Preventively, the law requires banks to uphold several obligations, including educating customers, maintaining a secure electronic system, and safeguarding the confidentiality of customer information and data. Repressively, the law mandates that banks must accept and address customer opinions and complaints, and banks are liable when it is proven that the fault lies with them. Customers also have the option to seek dispute resolution through legal channels, either in court or out of court. Additionally, the law stipulates that individuals committing phishing offenses can be penalized under laws related to fraud, forgery, trespassing, and theft. Interviews indicated that Bank Panin has implemented preventive measures in line with legal requirements. However, the bank lacks clear regulations for carrying out repressive measures as stipulated by law. Phishing incidents may arise from data leaks caused either intentionally or inadvertently by the bank or due to customer negligence. Such disputes can be resolved by first filing a complaint with the bank, which is then obligated to investigate. If the investigation reveals that the bank was negligent, it must take responsibility, as banks proven to have caused customer data leaks resulting in customer losses may face administrative sanctions or even revocation of their business license. Furthermore, bank employees implicated in such breaches may also be subject to criminal sanctions. Beyond bank-level dispute resolution, affected customers may also pursue their cases in court, or through institutions like the Financial Services Authority (OJK), Bank Indonesia (BI), or the Alternative Dispute Resolution Institution (LAPS). Bank Panin reported that their approach to responsibility includes disciplinary action against employees proven to have leaked customer data and caused financial losses to customers.