Euh ça me semble clairement anormal, déjà pour les raisons que tu indiques, mais aussi parce que c'est contraire aux recommandations du type "ne tapez jamais votre mot de passe si vous n'êtes pas 100% certain d'être sur le site de votre banque" que toutes les banques rappellent régulièrement. Rien n'empêcherait un commerçant malhonnête de faire une page qui ressemble exactement au vrai formulaire pour récupérer tes identifiants bancaires, et je ne vois pas comment un utilisateur lambda pourrait s'en apercevoir.

Essaie de demander s'ils n'ont pas d'autres moyens d'authentification (et si on peut désactiver celui-là). Et s'ils te disent non... ben à part changer de banque, je ne vois pas vraiment de solution :/