BBVA salva le password in chiaro?

Mi fa sorridere pensare a come spesso noi sviluppatori prestiamo la massima attenzione ad ogni best practice possibile ed immaginabile, per garantire la massima sicurezza delle nostre applicazioni, magari usate da poche migliaia di utenti, e invece poi sono sempre le aziende più grandi, spesso banche, ad avere i peggiori sistemi di sicurezza.

Sono rimasto abbastanza sconvolto quando, alcuni giorni fa, mia mamma ha dovuto chiamare l'asssistenza di BBVA per risolvere un problema con il suo conto e l'operatrice, per verificare l'identità, le ha chiesto a voce i primi due caratteri della password.

Inizio a subito a pensare al peggio, ma poi mi rincuoro un po', "magari salvano in chiaro solo i primi due caratteri", penso...

Invece no, perché alla successiva chiamata, le chiedono il 3° e il 5° carattere, e poi anche il 4° e il 5°, perché c'era stato un problema tecnico...

Sostanzialmente ho quindi la garanzia che abbiano salvato in chiaro almeno 5 caratteri, ma probabilmente l'intera password, e ad ogni chiamata ne chiedono due random per verificare l'identità del chiamante.

Ovviamente credo (e spero) che l'operatore non veda l'intera password, ma sia direttamente il loro gestionale che chiede le posizioni dei due caratteri, e l'operatore quindi vede e inserisce soltanto quei due.

Ma in ogni caso, per verificare che i caratteri siano corretti, significa che hanno la password salvata in chiaro, o gli hash di tutte le possibili coppie di caratteri, che quindi è sostanzialmente quasi come avere la password in chiaro.

Cosa ne pensate? È legale questa cosa?