Sí, es problemático.
Un atacante puede interceptar la conexión, devolver un "Inicio de sesión fallido, inténtelo de nuevo" al cliente y proceder a utilizar el pin de una sola vez. Si la transacción es de bajo valor, este puede no ser un problema, pero es trivial evitarlo: use TLS.
En general, no hay razones reales para no usar TLS hoy. Los certificados son gratuitos, la configuración es fácil y los navegadores pronto marcarán los envíos de formularios a través de HTTP como inseguros:
Entonces, aunque puede ser tolerable en algunas aplicaciones, la pregunta es ¿por qué querría eso, cuando es tan barato reducirlo a casi cero?