Вы пожалуйста не обижайтесь, но то что вы написали это бред. Вы не понимаете даже основ.1) вы не понимаете разницы между шифрованным каналом данных (в случае https) и подписанным документом. В случае https -- как только документ получен серверной стороной - он уже ничем не отличается от других документов. В случае подписанного документа -- ваше авторство легко проверяется и через год и через два. Так что https не замена электронной подписи.
2) с чего вы вдруг решили что javascript управляет java апплетом?
3) С чего вы решили что апплет cможет украсть приватные ключи? К ключам лезет не апплет а java машина. И где именно находятся ключи -- апплет даже не знает. Он просто использует API. А ключи вы можете поместить куда угодно, зависит от степени паранои. Например в железку без файловой системы, с доступом по PKCS#11, с активацией по fingerprint.
4) подсунуть левый апплет, который будет что-то воровать -- проблематично. Чтобы обратиться к cry[toapi, апплет должен быть подписан банком и вы должны явно указать что доверяете подписи банка. Если подсунуть левый апплет неподписаный - он будет работать в sandbox - ничего вообще не сможет сделать. Если подписанный не банком - получите сразу, на стадии загрузки алерт, что подпись неправильная.