mentafresc, has dado en la diana: si traslado la responsabilidad al usuario tengo más facil invertir la carga de la prueba si hay problemas, o sea: "demuestranos que no te han hackeado el móvil".
Como recordatorio, cuando se terminó de diseñar el algoritmo de cifrado GSM A5/1, creado para su implementación con 128 bits, algunos pusieron el grito en el cielo, sacaron a sus lobbistas del armario y consiguieron reducirlo a 56 bits (solicitaban 48) con el pretexto de que "había que tener controlados a los malos" y ahora son los malos los que se aprovechan y hackean nuestras cuentas.
Aunque nos parezca extraño, obligar a tener móvil para disponer de seguridad en las transacciones es una auténtica aberración, otra cosa es que el grueso del personal "se deje", se popularice y las entidades aprovechen la coyuntura.
Para mi una posible solución sería aprovechar la tecnología blockchain en las transacciones, y con pinzas, a ver como la implementan!
Saludos