金融業界の人間だけど
ゆうちょがこんな発言してるのには理由があるので説明させて欲しい

元々ゆうちょや地銀はネットサービスに凄い後ろ向きで
自分達の口座をインターネットに開放することに否定的だった
その理由は地銀は自らシステム開発する余力無し
ゆうちょは最初からセキュリティを心配していた

しかし決済業者達が政府や政治家に「このままだと世界に遅れを取ります」とアピールをした結果
政府は「金融APIを開放せよ」と言う至上命題が出来た
猛烈な国と決済業者からの圧力に晒されて金融機関は渋々ネットサービスを開放
ただし自分達でサービスの開発は経験が無いしそもそも後ろ向きだから自ら開発するつもりも無い
だから決済業者に丸投げの構図になった

決済業者は金融機関側業務のことが分からないので「口座認証仕様を出して欲しい」と言った
金融機関側ではあくまでも口座から金を出し入れするのはカードや通帳(口座番号情報)と暗証番号だけなのでその仕様を伝える
ただこれは物理メディアの場合の認証方式なのと本人確認とは全く別次元の話だった
決済業者側は金融機関側の仕様を元に金融機関口座と接続するシステムを開発
これが今回の不正利用に繋がった

金融機関側としては「システム開発してるのは決済業者側でそもそも政治圧力かけて無理矢理金融機関口座開かせに来たのは決済業者側なんだから決済業者が責任をとって欲しい」と考えていて
決済業者側としては「なんで正しい認証仕様を金融機関側が出してくれなかった、認証仕様が正しく無い金融機関側のせいだ」と考えてる

これが両者すれ違いの原因