Er ist nicht unsinnig, weil beim ersten geht es wirklich nur um die Identifikation und bei zweitem „sagt” man explizit, dass das Online Banking wirklich aufrufen will. Das ist das gleiche Prinzip wie bei klassischer Anmeldung bei der ING und anderen Geldinstituten, die eine TAN bei jedem Login wollen:
Zuerst gibt man eigene Logindaten ein und im zweiten Schritt bestätigt man den Zugriff auf das Online Banking.
Das ist nichts gewöhnliches, schließlich auch im normalen Leben (abseits des Online Bankings/Apps) legitimiert man sich z. B. mit Ausweis oder einer Bankkarte und danach wird der Vorgang mit Unterschrift oder Geheimzahl bestätigt.
Beispiele:
PostIdent: Identifikation mit einem Ausweis, Bestätigung der Daten durch Unterschrift
Anträge bei Behörden: Identifikation mit einem Ausweis, Bestätigung durch Unterschrift
Kartenzahlung: Identifikation mit Karte und Bestätigung mit PIN, Unterschrift oder der Händler verzichtet darauf.
Bargeldabhebung: Identifikation mit Karte und Bestätigung mit PIN.
Du sagst:
Schon klar, aber ich habe mich ja bereits am Smartphone mittels 2FA autorisiert.
Das gilt aber nur auf diesem Gerät. Sonst könnte jemand z.B. dir einen QR Code zuschicken und sagen, dass wenn du den Code scannst, dann bekommst du Geld überwiesen. Das wäre dann ein Phishing Versuch. Leute, die auf sowas einfallen, gibt es bestimmt nicht wenige.