Com relação ao NuBank, descobri que é bem fácil descobrir a senha transacional de 4 digitos:
https://blog.nubank.com.br/senha-do-cartao-nubank-como-funciona/
Pelos relatos que eu li, como os bandidos burlam facilmente a biometria, considero que o acesso à conta do Nubank (se o acesso estiver configurado via biometria pelo usuário do celular roubado) é feito sem problemas. Neste caso, basta o bandido entrar no item "Consultar senha de 4 dígitos" e, voilà, ela ficará disponível.
Mesmo que o usuário não tenha a biometria cadastrada, também parece que é bem fácil de resetar a senha do app. Ele pode ser resetado via e-mail cadastrado na conta do Nubank. Se o e-mail for o mesmo que está em uso no iPhone, o reset será bem fácil também (através de um link por e-mail).
Ainda não consigo entender como fizeram transferências de contas do Itaú (eu tenho conta nesse banco) e do Bradesco... Continua nebuloso para mim...