Die Gebete wurden wohl erhört 
Übrigens: Im Anschluss wird auch die bestehende Zwei-Faktor-Authentifizierung (2FA) durch den Scalable-Login mit 2FA ersetzt. Sie erhalten hierzu eine weitere E-Mail.
Push-Nachrichten mit Werbung habe ich auch keine (Android). 2FA ist aktiviert.
Support Antwort sieht übrigens wie folgt aus. Von "Sicherheit hat bei uns Priorität." ist das meiner Meinung nach weit entfernt. Und gerade bei Neobrokern/Fintechs erwarte ich doch den aktuellen Stand der Technik. Das erwähnte Szenario war: Einloggen und das Portfolio verändern/komplett verkaufen. Dieb kommt zwar nicht an Geld, aber schadet mir trotzdem.
Tatsächlich bezieht sich unsere Zwei-Faktor-Authentifizierung aktuell lediglich auf die Änderung persönlicher Daten in Ihrem Kundenprofil.
Dies ist bei Neobrokern nicht unüblich, da sich die gesetzliche Vorschrift zur weiteren Authentifizierung bei Anmeldung oder Zahlungsausführung seit 2021 lediglich auf Onlinebanking und Zahlungen (z.B. mit Kreditkarte) beschränkt.
Das Thema Sicherheit wird bei uns dennoch mit größter Sorgfalt behandelt. So arbeiten wir stetig an neuen Funktionen, welche die Sicherheit der Kundenprofile optimieren und schließen nicht aus, dass in absehbarer Zeit auch für die Anmeldung eine weitere Sicherheitsstufe implementiert wird.
Das von Ihnen beschriebene Szenario ist ein Risiko, welches nicht ganz ausgeschlossen werden kann - beispielsweise wenn die Login-Daten sehr leicht für unbefugte Dritte zugänglich gemacht werden.
Wie sieht es eigentlich mit der Umsezung der PSD 2 (Payment Service Directive 2) aus? Gilt die dort beschriebene starke Kundenauthentifizierung nicht für Depots/Broker sondern nur für "klassische Girokonten"?
Der reine Login wird zwar durch eine Ausnahme als Benutzer/Passwort erlaubt, aber "Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen."
Letzterem wird Scalable Capital ja nicht gerecht?
Finde es auch ziemlich mies, dass die keinen 2Faktor Login am Desktop anbieten. Dazu kommen die recht unnützen Aussagen vom Support "alles sei ja sicher dank Referenzkonto". Zudem suggieren die Antworten in deren FAQ auch "Wir sind sicher mit dem aktuellen Stand der Technik" – eben nicht! Und sowas will ein Fintech Unternehmen sein...
Vor allem haben die ja schon eine App, welche als Freischaltung des Desktop Logins den zweiten Faktor übernehmen könnte; das macht es irgendwie noch unverständlicher. SMS oder FIDO2 bleibt wohl reines Wunschdenken.
