" это не просто нарушение внутренних норм информационной безопасности, это их _отсутствие_"Почему? Вы читали эти _внутренние_ нормы каждого конкретного банка? Проверьте отпечаток ключа в сертификате совместно с банковским работником, добавьте сертификат в хранилище доверенных и работайте спокойно.
"У налоговой другая проблема - она гос. орган, и должна получать сертификат от государственного сертификационного центра"
Не уверен насчет именно "государственного сертификационного центра", но таки тот-же Таском работает с вполне себе сертифицированным гос. органами CA КриптоКом'а.