ING sólo se podrán hacer operaciones a través del móvil (PSD2)

La MAC la puedes cambiar cuando quieras en un PC (y en un móvil o tablet si eres root). Puedes poner la misma MAC en todos los equipos que quieras mientras no estén conectados en la misma LAN. No se puede utilizar para validar un usuario de banca online, su propósito es totalmente distinto.

Claro, pero igual de fácil que se puede cambiar el IMEI de un terminal. Sigo sin ver la diferencia... El IMEI de un módulo 3G/4G es el equivalente a la MAC de un módulo LAN. Se puede cambiar exactamente igual siendo root... ¿Qué diferencia hay?

Hay mucha diferencia. El IMEI lo utilizan las operadoras para identificar unívocamente un terminal con acceso a redes móviles. Hay una base de datos con los IMEI que las operadoras pueden consultar.

Si cambias el IMEI, te arriesgas a duplicarlo con otro usuario (y todos los problemas que eso puede acarrear a la hora de pedir bloquearlo por robo etc etc). Por eso, tengo entendido (no estoy 100% seguro), que el cambio de IMEI es ilegal.

En cambio, la MAC sólo se utiliza para la comunicación entre los equipos conectados a tu LAN o red doméstica.

Probablemente la aplicación ING no funcione si se ha "rooteado" el teléfono, precisamente para evitar trampas.

Efectivamente, ING avisa de que no se puede utilizar su app en móviles rooteados, pero todo se puede trampear en esta vida. Hay formas sencillas de hacer creer a la app que no tienes root.

Tampoco es solo para eso. Muchas licencias de software de servidor, se liga a la MAC de la máquina, además de a la IP. Ese dato se utiliza a nivel servidores en Internet para asociar un usuario (licencia) a una máquina concreta. No es cierto que se utilice solo a nivel local (LAN). Un saludo.

Hombre, estamos hablando de usuarios domésticos de móviles y tablets para validar su app bancaria, no de servidores. Ese es otro mundo.

Y a efectos de comunicaciones, la MAC se sigue utilizando sólo a nivel de LAN. Puedes ligar la licencia de software a la MAC o a cualquier otra cosa que el vendedor estime.

Si, lo se, solo digo que es igual de "sencillo" cambiar el IMEI de un teléfono que su MAC para conectar a WIFI. Que si vale uno, tendría que valer lo otro. A nivel de seguridad, no veo diferencia...

A mí me sigue pareciendo más fácil y seguro una aplicación de autenticación con TOTP (Time-based One-Time Password = código de un solo uso basado en la hora)

Cambiar el IMEI de un dispositivo es como cambiar la matrícula de un coche. Cambiar la MAC es como, no se, cambiar las puertas dentro de tu casa.

Es fácil cambiar los dos, pero tiene consecuencias diferentes.

La aplicación (en este caso de ING, que es el hilo), puede registrar el IMEI o la MAC del dispositivo si quiere. Si solo tiene WIFI, puede perfectamente registrar la MAC para dejarlo vinculado solo a ese dispositivo. Es la "matrícula" de un adaptador o de otro. ¿Acaso piensas que la MAC no sale de tu Red local y que ese dato no se envía fuera a aplicaciones o proveedores?

Sigo sin ver la diferencia. ING no tiene acceso a la Red de tu operador para validar el IMEI y saber si es tuvo...

Lo que no nos ha explicado ING es qué pasa si has instalado la aplicación en un teléfono y luego por lo que sea quieres utilizar otro teléfono diferente para validar. 
Si para hacer una nueva vinculación a un nuevo aparato simplemente te piden, pongamos por caso, que metas tu contraseña o un código enviado por SMS entonces la seguridad de tu cuenta estaría al nivel de contraseña (vulnerable a programa espía) o de código SMS (vulnerable a duplicación SIM o interceptación SMS). O sea, mal.

La app de ING puede registrar la MAC y todo lo que quiera, sí. De hecho solicita todo tipo de permisos para hacer lo que quiera con tu móvil.

A nivel de paquete de comunicaciones, la MAC no sale de tu red, es como una matrícula "local" para que tu móvil se entienda con tu router, o con tu smartTV, etc. Si la MAC sale de tu red, es que ha sido recolectada como dato para algún propósito que no es la comunicación en sí (como la validación de una licencia software que comentabas antes).

Yo no defiendo el uso del IMEI,ni de la app....yo defiendo el uso del SMS!! y nos dejamos de tanto lio :)

URGE, me confirman que sin app no hay acceso a mi cuenta.

¿Sugerencias de otra entidad que no dé tanto por culo?

Gracias