почему решил, что там OTP, а не тот же принцип, что в транспортных картах, вроде «тройка», «подорожник» и т.п.?

Не, там все проще, ты делаешь в ИБ платежку, жмешь кнопку, тебе ИБ рисует QR код, ты наводишь на него камеру мобилки и она тебе выдает числовой код подтверждения. Кстати на сцайте разраба все написано - http://paycontrol.org/
В прицнипе ОК решение, да, лучше чем СМС, ток что в нем инновационного-то?

ну почти наверняка оно берёт хеш-сумму после объединения нескольких вещей в одно целое:
• числа прочитанного в качестве QR-кода
• текущей даты + время
• идентификатор клиента банка
• секретный ключ для он-лайн сервиса

Вот последний должен храниться так, чтобы его не могли стырить всякие malware, которых довольно много не только на всяких андройдах-ведройдах.

Такой сервис безопасного хранения предоставляют SIM-карты операторов связи, уже больше 15 лет в них можно заливать свои java-applet'ы и пользоваться защищённым хранилищем. Тем самым операции с секретным ключом выполняются на ЦПУ и памяти самой этой SIM-карты, не покидая её, тем кодом что в java-applet.

Закинуть внутрь SIM'ки свои такие данные можно не только на заводе по их производству, но и через OTA — по воздуху пачкой специальных sms'ок. Или же это может сделать софтина-клиент, распространяемая через Play.Market, используемая пользователем для сканирования-показывания кода Two-way аутентификации, если она писана в сотрудничестве с операторами связи.

Был один такой старый проект, растущий из Yota, лет шесть назад. Вычислительных мощностей на SIM'ках очень немного и потому там сложно исполнять апплетами асимметричные алгоритмы цифровой подписи. Но можно в них брать хэш-сумму от комбинации из некоего значения и секретного ключа в защищённом хранилище.