Скажите, а это нормально, что банк по IBAN'у показывает всем желающим имя-фамилию владельца счёта? Так принято, или это дыра и нарушение GDPR?

Ну я не хочу делать irresponsible disclosure, но один из банков. У меня не было прошлых платежей по IBAN'у.

Нет, они это прям на отдельной странице показывают (не в поле ввода).

То есть с помощью простейшего бота я могу собрать все имена/фамилии клиентов. wow.

... банковский чат? Админы сайта? Кипрский банк. Что-то мне кажется, что одно тут лишнее. (Хотя если такой есть - подскажите, пожалуйста). Я потыкался на их сайте, ничего про security researches там нет, и методов выйти на их security team нет.

Попросить его ввести при вводе счёта, и предупредить, что оно неправильное, если расходится. (ну, я бы так сделал, если бы дизайнил интерфейс).

Обычно в iban certificate оно указано.

Ctrl-C/Ctrl-V?

Я никогда не набирал iban'ы руками. Я что-то упустил в жизни?