Который управляет финансами, тот просто находится на сервере, где стараются не допускать уязвимостей, чтобы нельзя было загрузить "shell" или сделать инъекцию, а без уязвимостей доступа к данным на другой машине получить нельзя.
Клиентский код, который управляет финансами не банка, а клиента (например приложение Android) - не защищают почти никак, он исполняется в недоверенной среде и если установлен "троян" и у него есть данные аутентификации (имя карты и код CVV, логин и пароль и т.п.) то он сможет совершать платежи имитируя официальное приложение или Web-интерфейс.