Третьим лицам паспортные данные клиентов этого банка могут попадать очень просто. В два щелчка. Как выглядит процедура становления клиентом? После составления заявки через интернет, спустя какое то время, приходит дядя/тетя с конвертом. Делается фото счастливого клиента с конвертом. Фото паспорта естественно. На мобильное устройство дяди/тети.  Проверяются установочные данные в договоре. Подписывается. И вуаля. Клиент готов. Не нужно быть Мессингом, чтобы понять, что паспорт уже скомпрометирован. И находится у третьего лица. Хоть оно ещё и является курьером банка. И где ещё эти паспортные данные складируются и аккумулируются до того как попадут в банк неизвестно. Ну и главное банк заинтересован в движении денежных средств. А кто их двигает: мошенник или не мошенник не принципиально. Тут ещё вопрос и к правоохранительным и контролирующим органам по теме  защиты персональных данных. Могут ли эти персональные данные находиться на устройстве личного пользования сотрудника кредитнофинансового учреждения? Думаю ответа не будет. И главное мер предпринято не будет. И практически все клиенты банков подобных тинькоф, сидят на пороховой бочке. Фитиль зажжён. Только длина везде разная.