С одной стороны список организаций способных получать сведения конечно достаточно широкий, но с другой стороны это всё же конкретные организации и определенные требования или условия составления запросов. И это именно ручные запросы, а отнюдь не прямой канал в базу данных.
На самом деле, канал массового получения информации заинтересованными сторонами он другой. На сахаре уже писалось, я напомню и дополню:
1) гражданам массово раздали шпионские "приложения" от банков (хотя внутри на самом деле тот же веб-браузер), хотя это кое в чем лучше защищает граждан (см. ниже);
2) веб-сайты удаленного обслуживания почти всех крупных банков содержат вставки загружаемые с серверов яндекса и т.п., понятно что одна "частичка" сайта может видеть содержимое всего сайта (если находится на одной странице, а не посажена в frame) -- это либо большая глупость, либо очень умный ход, понимай как хочешь (тем более, что поймать невозможно, т.к. нужный скрипт может загружаться только для нужных клиентов и только когда нужно);
3) чтоб не воровали деньги у всех подключена услуга SMS-информирования, и теперь информация о всех банковских операциях сливается, по закону Яровой, в специальную базу данных, видна через СОРМ (интерфейс к которому местами торчал в интернет без пароля -- презентация была на CC'2019), хранится на серверах опсосов (услуги чтения СМС на сайте или в приложении -- есть, например, у Мегафона или МТС) и доступ к смскам в итоге имеет много кто;
4) многие мобильные телефоны поражены "вредоносным ПО" сливающим СМСки и что нужно на сервера разных организаций -- это может быть ПО (китайского) производителя телефона, предустановленное "ПО российского производства", незаконно установленное ПО (путем эксплуатации уязвимости -- над этим работают целые фирмы, почему нужно ставить фирменные обновления), и наконец приложения установленные самим пользователем -- на первом месте (я поэтому писал на сахаре, как запретить звонки и смски на основной симкарте оставив только интернет -- лучше использовать вторую карту, мультифон-бизнес, отдельный телефон без андроида).
5) сами банки передают третьим фирмам "обезличенную аналитическую информацию", которая в умелых руках теряет обезличенность.
Но выше только про получение информации. А мы же о начертании зверя? Практически сейчас паспорт при использовании банковской карты никто не проверяет и можно получить карту с надписью "MR. CARDHOLDER". И соответственно её может получить другой человек с другим паспортом, за свой скромный процент разумеется. Я не в теме, но думаю такие "услуги" на рынке вовсю есть. Для крупных сумм, понятно, не годится, но для мелких ежедневных трат -- самое оно. Некоторое время назад были предоплаченные карты, но простым людям их не очень продавали, видимо как в ссср, формально есть, а практически только для своих.
Другое дело, что человек не имеющий типового паттерна расходов и доходов по банковским картам становится подозрительным.
С крупными суммами как бы не проще: чтоб запретить наличку, нужно запретить валюту. Ибо толку рубли запрещать? Будут пачки долларов приносить. Придётся и доллары запрещать, и евро, и прочие валюты мира. Вообще все валютные операции. Вот тогда возможно.