Предвосхищаю череду постов в Приёмной о том, что "пропали деньги со счёта/при переводе другому клиенту через бот ВТБ"

Комментарий недоступен

Я на той встрече был, слушал.
Думаю, или там функциональность, близкая к нулю (анонсы втб можно на это число и умножать, и делить, если что), или безов просто бизнес прожал со словами "денюшки надо делать".

Не совсем понял какую конкретно ситуацию вы себе представляете. Что значит доступ к клиентам ТГ?
Авторизация в боте всё равно через форму в webview(грубо говоря параллельно открывается вкладка браузера) с подтверждение по смс коду.
При этом ВТБ получает данные вашего аккаунта ТГ. Как минимум user id, как максимум все ваши членства в группах/каналах и всё что доступно по интеграции. После авторизации время сессии (отрезок времени до автоматического выхода или проще сказать сброса авторизации) ограничено. То есть не будете пользоваться например 10 минут и придётся заново по коду из смс авторизовываться. Если даже они не ограничили время сессии, то тогда нужен другой механизм для защиты. Тогда это например подтверждение 3Ds - когда каждую операцию надо также подтверждать кодом из смс, которая и так есть.
Авторизоваться же в ВТБ на одном устройстве и использовать банк на другом - ну не пробовал, но такое допустить это надо быть "сказочным *дебилом". Так что эту лазейку думаю можно не рассматривать.
"Взломанный смартфон" это очень неопределённо. Взломанный смартфон может лежать у специалиста из органов на столе, а может на смартфон установлено приложение, дающее полный доступ по удалёнке. И в том и в другом случае безопасность бота уже не имеет значения.

А вы попробуйте :). В случае конкретно ВТБ - функциии телеграма тут:
1) показать кнопочку входа
2) написать что авторизовались
3) открыть webview, где и дать работать с ботом "ботом". TG так умеет.
так что дыр похоже не больше чем в веббраузере (ну разве что кастомный TG-клиент будет инжектом баловатся)