Non esiste nessun obbligo normativo, che io sappia, altrimenti il 99% delle banche italiane sarebbe fuori legge.
Io ho qualche dubbio anche sull'effettiva maggiore sicurezza di un sistema come O-Key del Gruppo Intesa Sanpaolo, in cui hai un codice cliente + password creata dal cliente + password creata da un algoritmo che elabora i primi due codici, rispetto a un classico codice cliente + due password create dal cliente.
Dunque la domanda che vi pongo è: non credete che questi sistemi non siano poi così più sicuri di quelli tradizionali se Fineco, una delle poche banche interamente online, non li usa?
Nota: non sono un cliente Fineco.