Es cierto que 3 intentos sobre 100 puede parecer poco, pero ya es mucho más de lo que ofrece la mayoría (lo cual no es consuelo).
Un gesto tan simple como que la tarjeta de dos dígitos acepte también letras multiplicaría el número de combinaciones.
Por ejemplo, si para que ocupe el mismo sitio en el ordenador del banco y no haya que tocar casi nada, la combinación de los dos dígitos de la tarjeta estuviese compuesta de los números del 0 al 9 y de las letras de la A a la F, serían 256 combinaciones en lugar de 100 ocupando el mismo espacio en el disco y en la memoria (casi sin cambios, 2 bytes).
Si ampliar la ocupación no fuese problema para el banco se podrían utilizar dígitos y letras, (incluso diferenciando mayúsculas de minúsculas si fuese necesario), para multiplicar el número de combinaciones.
Se me ocurre incluso que si fuese problema, la tarjeta podría utilizar 16 símbolos de entre todos los disponibles (distintos para cada tarjeta), con lo cual, aunque la tarjeta utilice 16 símbolos, el hacker tendría que probar con todos (cualquier número y cualquier letra).
Yo creo que simplemente no se están tomando el tema muy en serio.
