sì però l'anello debole è sempre l'utente.
Se l'utente nell'ordine:
1) ha un username facile da indovinare (potrebbe essere uno standard della banca, per esempio codice fiscale o email, ok... ma anche quelli non dovresti metterli a disposizione del primo che passa, ecco)
2) password facile (non trovata con bruteforce perchè ti blocca il server. Devono proprio carpirtela, perchè usi ovunque la stessa, perchè ti hanno installato un keylogger, etc)
3) manda documenti in giro (senza i quali l'attaccante non può chiedere una nuova sim con il tuo numero)
...onestamente se la cerca un po' eh.
Bisogna anche capirci su che livello di sicurezza serva per ogni scopo. Se un bambino deve proteggere lo scrigno delle caramelle dal fratello goloso, basta un pin da 3-4 cifre probabilmente. Se devi proteggere i sistemi che governano il lancio di testate atomiche, avrai qualcosa di molto più strutturato e resistente agli attacchi.
Io credo che per proteggere un normale conto corrente la 2FA sia sufficiente.
Anzi, sta banca è sin troppo paternalista con il limite dei bonifici in uscita a 10k.