Если банк рассматривать холистически, как что-то цельное, то объяснить не удастся. Но банк -- это много людей, разделение ответственности и обязанностей, многие из этих людей даже не знают о существовании друг друга. И цели каждого не совпадают с целями банка.
Можно пофантазировать и представить себе организационные трудности -- может быть те, кто имел дело с исследователем, были сильно не заинтересованы в том, чтобы уязвимость всплыла, потому что они в какой-то мере были ответственны за разработку системы, и наличие уязвимости в системе было бы воспринято как пятно на их карьере.
А может быть они воровали денег, и им дыра была нужна на случай залёта, чтобы списать недостачу на дыру: мол, это не мы, это какие-то внешние хакеры.
Может быть разработчики системы оставили эту дыру намеренно, но имели компромат на того сотрудника банка. Разработчики потихоньку тырили денег, и шантажируя сотрудника вынуждали его работать прикрытием.
Можно и ещё чего-нибудь придумать. Но это всё фантазии, и я даже не могу оценить насколько они могут быть далеки от реальности, потому что в банках никогда не работал и с их внутренней организационной структурой не знаком.