«Единственный выход для клиентов переход в другой банк?»
Назовите хоть один, где не используется SMS.

Просто на вскидку: Укрэксимбанк, ОТП банк можно с помощью токенов, вместо смс. И о чудо, в том числе и Ощадбанк и множество других банков использует более сложную систему идентификации по ключу или токену для малого-среднего бизнеса. А для массово сегмента даже если у вас там несколько десятков-сотен тысяч — дырявая смс 2fa.

Насщет общебанковская практика — Ощадбанк очнитесь это было несколько лет назад.
А сейчас, как минимум начиная с 2016 года солидные организации не рекомендуют использовать смс 2фа
например U.S. National Institute for Standards and Technology (NIST)
американский институт стандартов и технологий
NIST Recommends SMS Two-Factor Authentication Deprecation
https://threatpost.com/nist-recommends-sms-two-factor-authentication-deprecation/119507/
источник
https://pages.nist.gov/800-63-3/sp800-63b.html
перевод вкратце для тех кто не шарит в инглиш
https://3dnews.ru/936742
Те кто не пользуется веб банкингом но имеет карты ощадбанка по зарплатным проектам
и считают что их деньги в безопастности. Попробуйти зарегистрироваться в веб банкинге ощадбанка — неприятно удивитесь. Даже если вы на него не подписывались когда заключали договор -внезапно обнаружите что имея клон вашей симки и зная номер карты (без ПИН-а) зарегистрировать может любой мошеник.