PSD2-SCA bei eps-Casino-Buchungen — die drei Faktoren und ihre Wirkung im Alltag

Wer eps in einem Casino bestätigt, durchläuft eine PSD2-Strong-Customer-Authentication. Diese sechs Buchstaben — SCA — sind seit 2019 das regulatorische Rückgrat aller Online-Zahlungen in der EU. Sie verlangen zwei unabhängige Faktoren aus den Kategorien Wissen, Besitz und Inhärenz, bevor eine Transaktion freigegeben wird.
In sechs Jahren Beobachtung sehe ich, wie SCA das Sicherheitsniveau im österreichischen Casino-Banking gehoben hat — und gleichzeitig wie sie für Spieler zu einer mentalen Routine geworden ist, ohne dass die meisten den regulatorischen Hintergrund kennen. Dieser Leitfaden zeigt, was SCA technisch verlangt, wo Ausnahmen greifen und wie sich der Standard im eps-Flow konkret umsetzt.
Die drei Faktoren — Wissen, Besitz, Inhärenz
PSD2 definiert drei Authentifizierungs-Kategorien. Wissen: Etwas, das nur der Kunde weiß — typischerweise ein PIN, ein Passwort oder eine Verfügernummer-PIN-Kombination. Besitz: Etwas, das nur der Kunde hat — ein Smartphone mit registrierter Banking-App, ein cardTAN-Lesegerät, ein FIDO2-Schlüssel. Inhärenz: Etwas, das nur der Kunde ist — Fingerabdruck, Gesichtsscan, Iris-Scan.
SCA verlangt, dass mindestens zwei Faktoren aus verschiedenen Kategorien kombiniert werden. Wissen plus Besitz ist klassisch (PIN-Login plus pushTAN). Wissen plus Inhärenz ist modern (Banking-App-Login mit Face ID). Besitz plus Inhärenz ist Premium (Hardware-Schlüssel plus Biometrie am Smartphone).

Was nicht zählt: Zwei Faktoren aus derselben Kategorie. PIN plus zweite PIN ist keine SCA, weil beide aus Wissen kommen. Smartphone-App plus zweite Smartphone-App ist keine SCA, weil beide aus Besitz kommen — beide auf demselben Gerät.
Ausnahmen und Low-Value-Transactions
SCA gilt nicht für jede Buchung gleich strikt. Die EBA (European Banking Authority) hat Ausnahmen definiert. Erstens: Beträge unter 30 Euro können ohne SCA durchgewunken werden — vorausgesetzt, fünf solche Buchungen hintereinander oder ein kumulierter Betrag über 100 Euro lösen keine SCA aus. Zweitens: Wiederkehrende Buchungen an denselben Empfänger nach erster SCA-Bestätigung. Drittens: Buchungen an „vertrauenswürdige Empfänger“ auf einer White-List, die der Kunde selbst gepflegt hat.
Im eps-Casino-Kontext greifen diese Ausnahmen praktisch nicht. Casino-Buchungen sind typischerweise höher als 30 Euro, der Empfänger STUZZA wird selten als vertrauenswürdig gewhitelistet, und die Risiko-Algorithmen der Banken stufen Casino-Einzahlungen oft in höhere Sicherheitskategorien ein, sodass auch kleinere Beträge SCA auslösen.

Das heißt praktisch: Jede eps-Casino-Buchung verlangt eine vollständige SCA. Es gibt kein „Schnell-Modus“ für wiederholte Buchungen an dasselbe Casino — auch bei der zehnten Einzahlung beim selben Operator wird die pushTAN abgefragt.
Wie eps die SCA-Anforderung konkret umsetzt
Der eps-Flow erfüllt SCA in einer eleganten Form. Phase eins: Der Spieler loggt sich im Bank-Frontend mit Verfügernummer und PIN ein — Wissen. Phase zwei: Die Banking-App auf dem Smartphone empfängt einen Push, der Spieler bestätigt mit Biometrie oder App-PIN — Besitz plus optional Inhärenz.

Damit sind zwei unabhängige Faktoren erfüllt: Online-Banking-Login (Wissen) plus Smartphone-App-Bestätigung (Besitz). Wenn Biometrie aktiviert ist, kommt ein dritter Faktor (Inhärenz) hinzu — über das Minimum, aber kostenfrei für die Sicherheit.
Eine wichtige technische Eigenschaft: Die beiden Faktoren müssen auf unabhängigen Kanälen laufen. Das Online-Banking-Login passiert im Browser, die App-Bestätigung am Smartphone — zwei Geräte oder zwei Kanäle. Wer das Bank-Login direkt am Smartphone-Browser macht und die App auf demselben Gerät zur Bestätigung nutzt, läuft theoretisch in eine Ein-Geräte-Situation. PSD2 erlaubt das, sofern die App ihre Integrität selbst prüft und gegen Manipulation gesichert ist. In der österreichischen Praxis ist das der Standard — alle großen Banking-Apps haben die entsprechenden Schutz-Mechanismen.
Usability vor und nach SCA — der Vergleich
Vor 2019 lief eps oft mit einer einfachen TAN-Bestätigung — SMS-TAN war die häufige Variante. Die Bestätigung war ein Code aus einer SMS, der ins Browser-Frontend getippt wurde. Das war pragmatisch, aber aus Sicherheitssicht heute nicht mehr ausreichend, weil SMS-Channels über SIM-Swap-Angriffe kompromittiert werden können.
Nach 2019 mit voller SCA-Pflicht haben die Banken auf pushTAN umgestellt. Aus Spieler-Sicht ist die Buchungsdauer leicht angestiegen — von typischerweise 25 auf 38 Sekunden Median — aber die Sicherheit hat einen großen Sprung gemacht. Phishing-Angriffe gegen eps-Casino-Buchungen sind seither praktisch verschwunden.

Ein konkreter Indikator: Mehr als 80 Prozent der österreichischen E-Commerce-Shops unterstützen eps. Diese hohe Akzeptanz wäre ohne PSD2-SCA-konforme Authentifizierung nicht möglich, weil viele Operatoren ohne SCA-Garantie keine Eps-Buchungen mehr abwickeln würden. SCA ist also nicht nur eine Belastung, sondern ein Enabler für die Methoden-Breite.
Praxis-Fallstricke im SCA-Alltag
Drei häufige Stolpersteine, die in der Beratung regelmäßig auftauchen.
Erstens: Smartphone ohne Banking-App. Wer das Smartphone wechselt und die Banking-App nicht neu aktiviert hat, hat keinen zweiten Faktor mehr. Im eps-Casino-Flow bedeutet das eine Ablehnung beim App-Push-Schritt. Lösung: App neu installieren und über die Bank-Aktivierungs-Prozedur freischalten — typischerweise mit Verfügernummer, PIN und einem Aktivierungscode aus dem Banking-Portal.
Zweitens: Biometrie deaktiviert. Wer Face ID oder Touch ID am Smartphone deaktiviert hat oder das Gerät erst neu eingerichtet hat, muss möglicherweise einen App-PIN eingeben. Das verlangsamt den Flow um wenige Sekunden, ist aber kein Problem — nur ein anderer Inhärenz-Ersatz durch Wissen.
Drittens: Zeitsynchronisierung. SCA-Push-Notifications haben ein Zeitlimit, typischerweise 60 bis 90 Sekunden. Wer in dieser Zeit nicht bestätigt, läuft in einen Timeout, und der Vorgang muss neu gestartet werden. Bei langsamen Mobilfunk-Verbindungen kann das Timing knapp werden — die Lösung ist eine stabile Wi-Fi-Verbindung oder die Wahl eines Casino-Operators mit etwas längeren Timeout-Fenstern. Wer die zugehörige Protokoll-Architektur sehen will, findet die ePI-Protokoll-Architektur in derselben Reihe.

Ein abschließender regulatorischer Blick: PSD2 ist auf EU-Ebene 2015 verabschiedet, in Österreich über das Zahlungsdienstegesetz 2018 (ZaDiG) umgesetzt, und die SCA-Anforderung wurde im September 2019 schrittweise verbindlich. STUZZA hat seine Spezifikation und die Bank-Frontends entsprechend angepasst, ohne den Spieler-Workflow strukturell zu verändern. Das macht eps zu einem der wenigen Zahlungs-Verfahren, die einen so tiefen Regulierungs-Schritt nahezu unsichtbar für den Endkunden absolviert haben.

Eine Eigenheit der österreichischen Umsetzung: Die FMA hat das Banking-Frontend-Audit nicht zentral geprüft, sondern jeder Hausbank überlassen, die SCA-Compliance ihrer eigenen TAN-Verfahren zu garantieren. Das hat zu einer leicht heterogenen Landschaft geführt — scotty bei Erste fühlt sich anders an als RaiffeisenSign bei Raiffeisen, beide erfüllen aber denselben PSD2-Standard. Aus Spieler-Sicht ist das irrelevant; aus Audit-Sicht ist es ein Hinweis darauf, dass die SCA-Konformität ein Vertrag zwischen Bank und Aufsicht ist, kein zentrales Casino-Feature.
Welche zwei Faktoren erfüllt eps in der österreichischen SCA-Umsetzung typischerweise?
Wissen (Online-Banking-Login mit Verfügernummer und PIN) plus Besitz (pushTAN-Bestätigung in der Banking-App des Smartphones). Bei aktivierter Biometrie kommt ein dritter Faktor (Inhärenz) als Bonus dazu.
Gilt PSD2-SCA bei kleinen Casino-Beträgen unter 30 Euro automatisch entfallend?
Theoretisch erlaubt die EBA Ausnahmen für Beträge unter 30 Euro, aber Banken stufen Casino-Buchungen oft in höhere Risikokategorien ein, sodass die Ausnahme in der Praxis selten greift. Eine eps-Casino-Buchung verlangt typischerweise immer eine vollständige SCA-Bestätigung.
Warum verschlechtert die SCA-Anforderung die eps-Geschwindigkeit kaum?
Push-TAN ist als Bestätigungs-Methode auf Geschwindigkeit optimiert — eine Banking-App-Notification trifft binnen Sekunden ein, ein Fingerabdruck bestätigt. Im Vergleich zur älteren SMS-TAN-Variante ist die Mehr-Dauer minimal, der Sicherheitsgewinn dagegen groß.
Verfasst vom Team von „Casino eps”.
