Y, digo yo:
Si un cliente ha recibido ese SMS,
pero no ha accedido a la web del Banco, porque ha identificado claramente que el SMS era fraudulento, y lo ha borrado e ignorado,
¿cómo se entera de que debe cambiar su contraseña? ¿por la Prensa? ¿por foros como éste? ¿de casualidad?
A lo que voy es a que, si el Banco considera necesario que tales clientes cambien sus contraseñas, debe avisarles de forma directa (ej. e-mail).
Y si el Banco desconoce qué clientes han recibido ese SMS, entonces debe avisarles a todos, aunque eso pueda suponer cierta "mala imagen" de cara a los clientes que no estuvieran afectados.
P.D.: a la hora de enviar e-mails y SMS con información promocional de productos, pseudo-spam (lo digo porque probablemente envían demasiados, no porque no dispongan del permiso expreso del cliente), no se cortan tanto.