PSD2-SCA bei eps-Casino-Buchungen — die drei Faktoren und ihre Wirkung im Alltag

PSD2 Strong Customer Authentication beim eps-Casino-Login mit Smartphone

Wer eps in einem Casino bestätigt, durchläuft eine PSD2-Strong-Customer-Authentication. Diese sechs Buchstaben — SCA — sind seit 2019 das regulatorische Rückgrat aller Online-Zahlungen in der EU. Sie verlangen zwei unabhängige Faktoren aus den Kategorien Wissen, Besitz und Inhärenz, bevor eine Transaktion freigegeben wird.

In sechs Jahren Beobachtung sehe ich, wie SCA das Sicherheitsniveau im österreichischen Casino-Banking gehoben hat — und gleichzeitig wie sie für Spieler zu einer mentalen Routine geworden ist, ohne dass die meisten den regulatorischen Hintergrund kennen. Dieser Leitfaden zeigt, was SCA technisch verlangt, wo Ausnahmen greifen und wie sich der Standard im eps-Flow konkret umsetzt.

Die drei Faktoren — Wissen, Besitz, Inhärenz

PSD2 definiert drei Authentifizierungs-Kategorien. Wissen: Etwas, das nur der Kunde weiß — typischerweise ein PIN, ein Passwort oder eine Verfügernummer-PIN-Kombination. Besitz: Etwas, das nur der Kunde hat — ein Smartphone mit registrierter Banking-App, ein cardTAN-Lesegerät, ein FIDO2-Schlüssel. Inhärenz: Etwas, das nur der Kunde ist — Fingerabdruck, Gesichtsscan, Iris-Scan.

SCA verlangt, dass mindestens zwei Faktoren aus verschiedenen Kategorien kombiniert werden. Wissen plus Besitz ist klassisch (PIN-Login plus pushTAN). Wissen plus Inhärenz ist modern (Banking-App-Login mit Face ID). Besitz plus Inhärenz ist Premium (Hardware-Schlüssel plus Biometrie am Smartphone).

Drei SCA-Faktoren in der Praxis: Wissen, Besitz und Inhärenz nebeneinander

Was nicht zählt: Zwei Faktoren aus derselben Kategorie. PIN plus zweite PIN ist keine SCA, weil beide aus Wissen kommen. Smartphone-App plus zweite Smartphone-App ist keine SCA, weil beide aus Besitz kommen — beide auf demselben Gerät.

Ausnahmen und Low-Value-Transactions

SCA gilt nicht für jede Buchung gleich strikt. Die EBA (European Banking Authority) hat Ausnahmen definiert. Erstens: Beträge unter 30 Euro können ohne SCA durchgewunken werden — vorausgesetzt, fünf solche Buchungen hintereinander oder ein kumulierter Betrag über 100 Euro lösen keine SCA aus. Zweitens: Wiederkehrende Buchungen an denselben Empfänger nach erster SCA-Bestätigung. Drittens: Buchungen an „vertrauenswürdige Empfänger“ auf einer White-List, die der Kunde selbst gepflegt hat.

Im eps-Casino-Kontext greifen diese Ausnahmen praktisch nicht. Casino-Buchungen sind typischerweise höher als 30 Euro, der Empfänger STUZZA wird selten als vertrauenswürdig gewhitelistet, und die Risiko-Algorithmen der Banken stufen Casino-Einzahlungen oft in höhere Sicherheitskategorien ein, sodass auch kleinere Beträge SCA auslösen.

Online-Kassenfenster mit niedrigem Buchungsbetrag und PSD2-Ausnahmehinweis

Das heißt praktisch: Jede eps-Casino-Buchung verlangt eine vollständige SCA. Es gibt kein „Schnell-Modus“ für wiederholte Buchungen an dasselbe Casino — auch bei der zehnten Einzahlung beim selben Operator wird die pushTAN abgefragt.

Wie eps die SCA-Anforderung konkret umsetzt

Der eps-Flow erfüllt SCA in einer eleganten Form. Phase eins: Der Spieler loggt sich im Bank-Frontend mit Verfügernummer und PIN ein — Wissen. Phase zwei: Die Banking-App auf dem Smartphone empfängt einen Push, der Spieler bestätigt mit Biometrie oder App-PIN — Besitz plus optional Inhärenz.

Parallele Bestätigung der eps-Buchung im Browser und in der Banking-App

Damit sind zwei unabhängige Faktoren erfüllt: Online-Banking-Login (Wissen) plus Smartphone-App-Bestätigung (Besitz). Wenn Biometrie aktiviert ist, kommt ein dritter Faktor (Inhärenz) hinzu — über das Minimum, aber kostenfrei für die Sicherheit.

Eine wichtige technische Eigenschaft: Die beiden Faktoren müssen auf unabhängigen Kanälen laufen. Das Online-Banking-Login passiert im Browser, die App-Bestätigung am Smartphone — zwei Geräte oder zwei Kanäle. Wer das Bank-Login direkt am Smartphone-Browser macht und die App auf demselben Gerät zur Bestätigung nutzt, läuft theoretisch in eine Ein-Geräte-Situation. PSD2 erlaubt das, sofern die App ihre Integrität selbst prüft und gegen Manipulation gesichert ist. In der österreichischen Praxis ist das der Standard — alle großen Banking-Apps haben die entsprechenden Schutz-Mechanismen.

Usability vor und nach SCA — der Vergleich

Vor 2019 lief eps oft mit einer einfachen TAN-Bestätigung — SMS-TAN war die häufige Variante. Die Bestätigung war ein Code aus einer SMS, der ins Browser-Frontend getippt wurde. Das war pragmatisch, aber aus Sicherheitssicht heute nicht mehr ausreichend, weil SMS-Channels über SIM-Swap-Angriffe kompromittiert werden können.

Nach 2019 mit voller SCA-Pflicht haben die Banken auf pushTAN umgestellt. Aus Spieler-Sicht ist die Buchungsdauer leicht angestiegen — von typischerweise 25 auf 38 Sekunden Median — aber die Sicherheit hat einen großen Sprung gemacht. Phishing-Angriffe gegen eps-Casino-Buchungen sind seither praktisch verschwunden.

Vergleich von alter SMS-TAN und moderner pushTAN-Bestätigung nebeneinander

Ein konkreter Indikator: Mehr als 80 Prozent der österreichischen E-Commerce-Shops unterstützen eps. Diese hohe Akzeptanz wäre ohne PSD2-SCA-konforme Authentifizierung nicht möglich, weil viele Operatoren ohne SCA-Garantie keine Eps-Buchungen mehr abwickeln würden. SCA ist also nicht nur eine Belastung, sondern ein Enabler für die Methoden-Breite.

Praxis-Fallstricke im SCA-Alltag

Drei häufige Stolpersteine, die in der Beratung regelmäßig auftauchen.

Erstens: Smartphone ohne Banking-App. Wer das Smartphone wechselt und die Banking-App nicht neu aktiviert hat, hat keinen zweiten Faktor mehr. Im eps-Casino-Flow bedeutet das eine Ablehnung beim App-Push-Schritt. Lösung: App neu installieren und über die Bank-Aktivierungs-Prozedur freischalten — typischerweise mit Verfügernummer, PIN und einem Aktivierungscode aus dem Banking-Portal.

Zweitens: Biometrie deaktiviert. Wer Face ID oder Touch ID am Smartphone deaktiviert hat oder das Gerät erst neu eingerichtet hat, muss möglicherweise einen App-PIN eingeben. Das verlangsamt den Flow um wenige Sekunden, ist aber kein Problem — nur ein anderer Inhärenz-Ersatz durch Wissen.

Drittens: Zeitsynchronisierung. SCA-Push-Notifications haben ein Zeitlimit, typischerweise 60 bis 90 Sekunden. Wer in dieser Zeit nicht bestätigt, läuft in einen Timeout, und der Vorgang muss neu gestartet werden. Bei langsamen Mobilfunk-Verbindungen kann das Timing knapp werden — die Lösung ist eine stabile Wi-Fi-Verbindung oder die Wahl eines Casino-Operators mit etwas längeren Timeout-Fenstern. Wer die zugehörige Protokoll-Architektur sehen will, findet die ePI-Protokoll-Architektur in derselben Reihe.

Banking-App mit Timeout-Hinweis bei verspäteter SCA-Bestätigung

Ein abschließender regulatorischer Blick: PSD2 ist auf EU-Ebene 2015 verabschiedet, in Österreich über das Zahlungsdienstegesetz 2018 (ZaDiG) umgesetzt, und die SCA-Anforderung wurde im September 2019 schrittweise verbindlich. STUZZA hat seine Spezifikation und die Bank-Frontends entsprechend angepasst, ohne den Spieler-Workflow strukturell zu verändern. Das macht eps zu einem der wenigen Zahlungs-Verfahren, die einen so tiefen Regulierungs-Schritt nahezu unsichtbar für den Endkunden absolviert haben.

Symbolische Visualisierung der PSD2-Umsetzung in Österreich über das ZaDiG

Eine Eigenheit der österreichischen Umsetzung: Die FMA hat das Banking-Frontend-Audit nicht zentral geprüft, sondern jeder Hausbank überlassen, die SCA-Compliance ihrer eigenen TAN-Verfahren zu garantieren. Das hat zu einer leicht heterogenen Landschaft geführt — scotty bei Erste fühlt sich anders an als RaiffeisenSign bei Raiffeisen, beide erfüllen aber denselben PSD2-Standard. Aus Spieler-Sicht ist das irrelevant; aus Audit-Sicht ist es ein Hinweis darauf, dass die SCA-Konformität ein Vertrag zwischen Bank und Aufsicht ist, kein zentrales Casino-Feature.

Welche zwei Faktoren erfüllt eps in der österreichischen SCA-Umsetzung typischerweise?

Wissen (Online-Banking-Login mit Verfügernummer und PIN) plus Besitz (pushTAN-Bestätigung in der Banking-App des Smartphones). Bei aktivierter Biometrie kommt ein dritter Faktor (Inhärenz) als Bonus dazu.

Gilt PSD2-SCA bei kleinen Casino-Beträgen unter 30 Euro automatisch entfallend?

Theoretisch erlaubt die EBA Ausnahmen für Beträge unter 30 Euro, aber Banken stufen Casino-Buchungen oft in höhere Risikokategorien ein, sodass die Ausnahme in der Praxis selten greift. Eine eps-Casino-Buchung verlangt typischerweise immer eine vollständige SCA-Bestätigung.

Warum verschlechtert die SCA-Anforderung die eps-Geschwindigkeit kaum?

Push-TAN ist als Bestätigungs-Methode auf Geschwindigkeit optimiert — eine Banking-App-Notification trifft binnen Sekunden ein, ein Fingerabdruck bestätigt. Im Vergleich zur älteren SMS-TAN-Variante ist die Mehr-Dauer minimal, der Sicherheitsgewinn dagegen groß.

Verfasst vom Team von „Casino eps”.

eps und giropay — Interoperabilität ab 2014 und Brand-Aus 2024 | Bankspin

Zehn Jahre eps-giropay-Brücke: technische Architektur, Bedeutung für AT-Casinos, Abkündigung 2024 in Deutschland und Ausblick auf…

win2day und eps: Österreichs Online-Casino-Monopol

win2day und eps: das österreichische Online-Casino-Monopol bis 30.09.2027 im Detail, GGR-Daten, Konzessionsbedingungen und Marktanteil im…

eps Casino legal in Österreich: Reform 2025–2027 im Check

eps Casino legal in Österreich: Glücksspielgesetz, win2day-Monopol, BMF-Reformentwurf 2025, Konzessionsende 2027 und EU-Lizenzen im Datenüberblick.

eps Casino Alternativen 2026: Trustly, Klarna, Karten, Wallets

eps Casino Alternativen 2026 im Vergleich: Trustly, Klarna Sofort, Skrill, Karten, Paysafecard, Apple Pay und…

eps-Casino-Gebühren 2026 — kostenlos im Casino, oft auch auf der Bank-Seite | Bankspin

Wie viel kostet eine eps-Einzahlung im Casino? STUZZA-Spezifikation, Casino- und Bank-Pauschalen, versteckte Kosten und Checkliste…