Aham, aki phising oldalt csinál (majd) úgy, hogy tovább küldi a DÁP-os QR kódot is az átvert user felé, azt biztosan érdekli, hogy ez "btk-s téma, nem technikai". A probléma az a DÁP-pal, hogy ennek az implementációja kötelező. Ha ez már implementálva lett volna MBH-nál, akkor is ugyan úgy átverik őket, mert technikailag nem erősebb a TOTP-nél vagy az SMS-nél. Holott már kitalálták WebAuthn-t, ami ezt a problémát megoldja.