Supponendo che li hai chiamati su un numero pubblicato, direi che questo suona come se fosse un sistema interattivo Voice Response (IVR), che è piuttosto comune nel mondo bancario.
Il concetto è che il sistema acquisisca le informazioni di autenticazione prima di passare a un agente del contact center. Il vantaggio di questo dal punto di vista della sicurezza è che l'agente del call center non deve chiederti di autenticarti prima di discutere il tuo account.
Se correttamente implementato, questo non dovrebbe essere più insicuro della semplice digitazione della password in un sito web. Esiste un sistema automatico che elabora i dati vocali e dovrebbe archiviarli / registrarli in modo appropriato.
Naturalmente, come fai notare, c'è il rischio di intercettazioni telefoniche, ma se si presume che la linea telefonica sia sfruttata, qualsiasi forma di phone banking è insicura dato che devono autenticarsi in qualche modo per poter discutere il tuo account con te.
EDIT: per aggiungere ulteriori dettagli, piuttosto che lasciarli sparsi per i commenti che potrebbero essere cancellati.
Fondamentalmente le banche devono autenticarti in qualche modo, indipendentemente dal canale (ad esempio web, telefono, filiale) che utilizzi per contattarli e ci sono dei compromessi da prendere in considerazione.
Da un lato avere credenziali dedicate per canale è utile in quanto riduce il rischio di compromissione ed evita di confondere il messaggio di "non dire alla gente la tua password web" ma lascia agli utenti più credenziali da gestire e in tutte le probabilità si azzerano un sacco di password se gli utenti utilizzano raramente un canale specifico (con tutte le vulnerabilità che i reset frequenti attirano)
Quindi l'opzione che appare, dalle informazioni fornite, utilizzata qui è quella di combinare le credenziali per i canali web e telefonici e di utilizzare un sistema IVR automatico sul canale telefonico per evitare di fornire le credenziali agli agenti dei contact center . Il vantaggio qui è un singolo set di cred, quindi gli utenti non li dimenticheranno e lo svantaggio è lo scenario che vediamo dove i messaggi bancari "non danno la tua password" portano a problemi nell'utilizzo di questo sistema.
In termini di sicurezza del sistema IVR, questo è essenzialmente come qualsiasi altro sistema che elabora i dati. Deve essere protetto in modo appropriato in modo che le credenziali dell'utente non siano esposte, non diversamente dal canale web.
Ovviamente un sistema come hardware (non SMS) 2FA potrebbe funzionare bene in questo scenario poiché i codici numerici vengono facilmente passati ai sistemi IVR, ma questo ha i suoi compromessi in termini di costi e di esperienza utente.