Jag har suttit framför min terminal i åtta år och tittat på samma sak om och om igen — en spelare öppnar BankID-appen, drar pekfingret över skärmen, och sex sekunder senare står pengarna på casinospelkontot. För många ser det ut som en sömlös rörelse. För mig är det den synligaste delen av en hel rättslig och kryptografisk arkitektur som de flesta inte ens vet att de använder. På en svensklicensierad sajt är inte BankID ett extra säkerhetslager ovanpå Swish. Det är själva grunden. Utan BankID finns ingen laglig identifiering av spelaren, ingen riktig KYC och ingen giltig signering av transaktionen — och därmed ingen Swish-betalning till casinot.
Det jag ska gå igenom här är inte hastigheten på uttag och inte heller den tekniska routingen av själva betalningen. Det handlar uteslutande om säkerhetsmodellen: varför Spelinspektionen kräver kombinationen Swish plus BankID, vad kryptografin faktiskt gör, var hotet verkligen ligger — och varför svaret på tjugo år visat sig vara samma sak. BankID:s kryptografi har aldrig knäckts under sin tjugoåriga livstid. Det betyder inte att spelare aldrig blir lurade, men det säger något viktigt om vart vi ska titta när vi pratar säkerhet på casino.
BankID:s plats i Swish-flödet
Första gången jag försökte förklara den här arkitekturen för en branschkollega från Storbritannien fick jag rita en cirkel på en servett. Britten frågade vad som var själva betalningsfunktionen, jag svarade Swish. Vad som var identifieringen, BankID. Vad som var KYC, BankID. Vad som var signaturen av transaktionen, BankID. Vad som var inloggningen på casinot innan allt detta, BankID igen. Hen sa ”men det är samma sak fyra gånger”. Och ja, i Sverige är det det.
Det här är inte en överdrift. När du klickar på ”Sätt in via Swish” på en svensklicensierad operatör händer flera saker i parallell. Casinots front-end öppnar en BankID-prompt på din mobil. När du signerar i appen bekräftar du samtidigt fyra olika saker: att du är den person du säger dig vara, att du är minst 18 år, att du godkänner den exakta beloppsöverföringen, och att Swish-systemet får dra summan från ditt bankkonto. Banken i andra änden litar inte på casinots ord — banken litar bara på BankID-signaturen. Det är därför kedjan håller ihop juridiskt.
I slutet av 2025 fanns det fler än 8,5 miljoner registrerade Swish-användare i Sverige. För en marknad med drygt tio miljoner invånare är det en penetrationsnivå som få betalsystem i världen kommer i närheten av. Det betyder också att praktiskt taget varje spelare som loggar in på en licensierad casino-sajt redan har den hårdvara och den app som behövs. Operatören behöver inte bygga ett eget identifieringssystem, ingen extra registrering med sms-koder, inga utskickade verifieringsbrev. Allt vilar på den infrastruktur som bankerna redan etablerat.
För mig som arbetar med data är just det här det viktiga: två separata system — ett betalsystem och ett identifieringssystem — har vävts ihop så tätt att en spelare som använder det ena automatiskt använder det andra. Det är därför jag i den här texten behandlar dem som en enhet och inte som två parallella verktyg.
Tjugo år utan en komprometterad nyckel
Det finns en mening jag tröttnat på att skriva på olika sätt i olika sammanhang, men jag måste skriva den en gång till för att den ska sjunka in. Under tjugo år av drift har BankID:s kryptografiska kärna aldrig komprometterats. Inte en gång. Inga läckta privata nycklar, inga knäckta certifikat, ingen lyckad attack mot den matematiska grunden. Det är en siffra som är värd att stanna upp inför.
Svensk Juristtidning publicerade 2023 en längre genomgång om praktiska erfarenheter från BankID och formulerade det så här: ”BankID är tekniskt och kryptografiskt fullständigt säkert att använda, och dess skyddsfunktioner har inte en enda gång komprometterats under de 20 år systemet funnits. Därför koncentrerar sig bedragarna på innehavaren av BankID.” Den sista meningen är central, och jag återkommer till den i avsnittet om social ingenjörskonst längre ner.
För att förstå varför det här är ovanligt måste man veta något om hur betalningsidentifiering vanligtvis går till i andra länder. SMS-kod är ett vanligt andra-faktorsskikt — och SMS-kanalen är inte krypterad i någon meningsfull form. Den kan avlyssnas via SS7-attacker mot mobiloperatörens signalsystem, den kan dirigeras om genom så kallade SIM-swap-bedrägerier där angriparen lurar mobiloperatören att flytta abonnemanget. E-postbaserad verifiering har samma svaghet — angriparen kan ofta ta över själva inkorgen. Token-dosor är mer robusta men kräver att användaren har en fysisk apparat och att den inte tappas bort.
BankID-modellen är annorlunda eftersom själva privata nyckeln genereras och stannar i din egen enhet, skyddad av enhetens säkra element och din personliga kod. Casinot ser aldrig den privata nyckeln. Banken ser den heller aldrig. Vad alla parter ser är signaturer som matematiskt bevisar att rätt nyckel använts, men ingen sidopart kan reproducera den. Det är därför en knäckning skulle innebära ett katastrofalt brott mot matematiska antaganden som hela den moderna kryptografin vilar på — och det är därför sannolikheten är försvinnande liten.
Det betyder inte att inget kan gå fel. Det betyder att om något går fel kommer felet att ligga i ett annat lager — antingen i hur en operatör implementerar BankID, eller i hur en spelare hanterar sin egen app och sin egen kod. Det är där den verkliga risken finns, och det är där jag lägger min tid när jag granskar incidenter.
Så bekräftas en casinoinsättning steg för steg
Den ofta upprepade frasen ”Swish är direkt” döljer en koreografi som jag tycker är värd att titta noga på. När jag testar ett nytt licensierat casino och gör en första insättning brukar jag mäta varje delsteg. Det ser ut så här i praktiken.
Du knappar in beloppet och trycker på insättningsknappen. Casinots betalningsserver skickar en initierad transaktion till Swish-API:et och samtidigt en signeringsförfrågan till BankID. På din mobil dyker BankID-prompten upp inom någon sekund. Du anger din kod eller använder biometrisk identifiering, och signerar. Den signaturen skickas tillbaka till BankID:s servrar, som kontrollerar nyckeln, autenticitetsstämpeln och tidsstämpeln. När signaturen verifierats passerar Swish-betalningen till din bank, som drar pengarna och svarar med ett godkännande. Allt detta sker normalt inom åtta till femton sekunder, och beloppet är då tillgängligt på casinokontot.
Det är värt att jämföra med faktiska genomsnittssummor för att förstå proportionerna. En genomsnittlig Swish-överföring i februari 2025 låg på runt 466 SEK — det är där den typiska summan ligger när folk swishar varandra för en lunch eller en taxiresa. På casinosidan är insättningsbeloppen ofta i samma storleksordning eller något högre. En privatperson använder Swish ungefär elva gånger i månaden enligt mätningar från december 2024, så för många spelare ligger en casinoinsättning inom samma ramsystem som alla andra Swish-händelser de gör — ingen särskild upplevelse, ingen pålagd ceremoni, bara samma signering som när man delar lunchnotan.
Det som händer juridiskt under dessa sekunder är intressantare än det som händer tekniskt. Genom BankID-signaturen ingår du i praktiken ett avtal med casinot. Spelinspektionens regler kräver att operatören har identifierat dig innan transaktionen genomförs — inte efteråt. Det betyder att om BankID-signaturen av någon anledning saknas är insättningen inte juridiskt giltig och pengarna ska returneras. I praktiken stöter man aldrig på det här problemet eftersom systemet inte tillåter en transaktion utan signatur, men jag har sett ett par fall där en operatör försökt manuellt korrigera en strandad insättning, och där tillsynen funnit just brist på korrekt KYC-spår vid första kontakten.
BankID vid uttag och utvidgad KYC
Vid insättning är BankID en grindvakt. Vid uttag är BankID en advokat som granskar varje detalj. Skillnaden i tonläge är medveten — den speglar regulatorns verkliga prioritet.
När du begär ett uttag från ett svenskt licensierat casino sker först en bevisförfrågan mot ditt BankID som bekräftar att begäran kommer från samma person som från början registrerade kontot. Det är inte alltid identiskt med insättningsverifieringen, utan ofta strängare. Casinot är skyldigt enligt penningtvättslagstiftningen att kontinuerligt övervaka kunden, och vid uttag är detta det praktiska kontrolltillfället. Om kontot har varit inaktivt länge, om beloppet är ovanligt stort, eller om mönstret i spelhistoriken är oförenligt med spelarens deklarerade ekonomi, då initieras ett utvidgat KYC-flöde där BankID-signaturen kompletteras med begäran om dokumentation. Det är vid den punkten många spelare blir frustrerade och tycker att Swish-uttaget tar för lång tid. Det är inte Swish som är långsamt — Swish är fortfarande omedelbart. Det är compliance-lagret som arbetar.
Det finns också ett tak. En enskild Swish-transaktion får inte överstiga 150 000 SEK. Den gränsen är inte casinot som sätter — den ligger i Swish-protokollet och har funnits där länge som ett extra skydd mot att stora summor flyttas i en enda rörelse. För dagliga casinokunder spelar det ingen praktisk roll. För en spelare med en oväntat stor vinst betyder det att uttaget kommer att fördelas på flera transaktioner och att varje delbetalning kräver en egen BankID-signering. Jag tycker det är en av de mer underskattade konstruktionerna i hela betalsystemet — om en angripare på något sätt skulle komma över både din enhet och din kod, så finns det fortfarande ett hårdkodat tak per signering, och varje ytterligare transaktion ger banken och tillsynen ett nytt observationsfönster.
Det praktiska resultatet av denna struktur är att en spelare som följer reglerna sällan märker av KYC-lagret. Jag har många konton där jag aldrig blivit ombedd att skicka in ID-handlingar utöver första registreringen — eftersom BankID-signaturen vid varje transaktion redan bekräftar identiteten. Det är just därför integrationen sparar tid och inte bara teoretiskt utan i konkreta minuter.
Social ingenjörskonst är det största hotet
Här är en historia jag återberättat alltför många gånger. En äldre släkting fick ett samtal från någon som påstod sig vara från banken. Personen i andra änden visste hennes namn, hennes adress, ungefär hur mycket pengar hon brukade röra på sitt konto. Det fanns ett ”misstänkt köp” som man behövde ”bekräfta”, och hon skulle bara öppna BankID och signera när hon blev ombedd. Hon gjorde det. Och då försvann sjuttiotusen kronor. BankID hade inte hackats. Det fungerade exakt som det skulle — det signerade vad innehavaren bad det att signera. Problemet låg i att innehavaren signerade fel sak.
Under första halvåret 2025 registrerades 232 322 bedrägerier i Sverige, en ökning med ungefär en procent jämfört med samma period året innan. De kortbedrägerier där den fysiska kortet inte är närvarande växte med omkring tio procent. Det är en delvis annan kategori än det jag beskrev ovan, men siffrorna pekar i samma riktning — den volym av angrepp som riktas mot vanliga konsumenter genom digitala kanaler är massiv och växer. Genom betalningstjänster under Finansinspektionens tillsyn rapporterades bedrägerier för över en miljard kronor bara under första halvåret 2024.
I Riksbankens betalningsrapport från 2025 beskrevs angreppsmönstret koncist: ”Åtgärder som bankerna stöder inkluderar möjligheten att blockera brottslingar och bedragare från specifika tjänster, till exempel Swish och BankID. Det är positivt att konkreta steg tas för att stärka skyddet mot bedrägeri.” Det jag tar fasta på är att skyddet inte längre handlar om att förbättra kryptografin — den är redan så stark att ingen attackerar den. Skyddet handlar om att hindra bedragare från att övertala innehavaren att signera fel sak.
På casinosidan är det specifika hotbilden lite annorlunda. De vanligaste lurarna på det licensierade segmentet handlar inte om att stjäla insättningar, utan om att lura spelaren bort till olicensierade sajter där varken BankID eller den svenska tillsynen finns. För en spelare som hamnat där är skyddsnätet borta — och det är där bedragerier som handlar om ”stora bonusar utan krav” och liknande lockbeten oftast slutar. För djupare bakgrund finns en fullständig översikt av bedrägerier mot Swish-casinospelare som ligger inom samma kunskapsdomän och tar upp de specifika varianterna i detalj.
Det jag säger till alla, oavsett om de spelar eller inte: när BankID-prompten dyker upp utan att du själv initierat åtgärden, signera aldrig. Stäng appen. Ring banken på det nummer som står på baksidan av ditt kort, inte numret du har på skärmen. Det är samma regel som gäller för casino, för Swish till okänd person, för bedrägerisamtal från ”banken” eller ”Skatteverket” — alla varianter har samma motgift.
Spelinspektionens krav på tvåfaktorsidentifiering
Det är en specifik mening jag vill att alla läser i Spellagen någon gång — paragrafen som kräver att operatören identifierar spelaren innan transaktionen genomförs. Den meningen är skälet till att Swish och BankID är ihopkopplade på den svenska marknaden. Utan den meningen hade vi haft en marknad som liknar den utländska — med snabba betalningsmetoder utan motsvarande identifieringslager.
Spelinspektionen agerar regelbundet mot operatörer som inte uppfyller kravet. Under 2024 utfärdade myndigheten 18 olika förbud mot operatörer utan svensk licens och granskade ungefär 100 olicensierade sajter. Förbuden riktar sig oftast mot sajter som accepterar svenska spelare utan att ha licens, inte mot licensierade operatörer som brutit mot reglerna i sin egen verksamhet. Men för en spelare som vill förstå skyddssystemet är just det här viktigt — myndigheten arbetar aktivt med att avgränsa det licensierade segmentet, och en del av avgränsningen är att svenska betalningsmetoder som Swish bara ska kunna användas i kombination med BankID på sajter med tillstånd.
Det finns en strukturell skillnad mellan att en operatör har en svensk licens och att operatören uppfyller alla löpande villkor. En licensierad operatör som inte kan visa korrekt BankID-spår för varje insättning riskerar sanktioner i intervallet 5 000 SEK till 50 miljoner SEK, beroende på omsättningens storlek enligt kapitel 18 i Spellagen. För en mellanstor operatör på den svenska marknaden är det inte teoretiska siffror — vi har sett konkreta beslut med flera miljoner kronor i straffavgift för olika typer av compliance-brister, oftast med en KYC-komponent. Det innebär att även operatörer som annars skulle vilja förenkla sitt flöde har starka ekonomiska skäl att hålla BankID-signaturen obligatorisk och granskbar.
Spelinspektionen publicerar löpande sina granskningsbeslut, och en av de återkommande noteringarna är just att operatörens KYC-dokumentation måste kunna återskapas i efterhand. Det räcker inte att operatören vet att BankID användes — operatören måste kunna visa när, på vilken enhet, mot vilken signatursträng och med vilket utfall. För spelaren betyder det att ett spår sparas av varje BankID-händelse, och att det spåret är den sak som tillsynen tittar på vid revision.
Mina praktiska råd för spelare
Det jag rekommenderar bygger inte på generella säkerhetstips utan på de faktiska fel jag sett människor begå. Ingen av dem var dum, men alla var trötta eller stressade eller distraherade på fel ögonblick.
Använd alltid mobilt BankID på en enhet som är låst med fingeravtryck eller ansiktsigenkänning, inte bara med kod. Om någon snor din telefon i tunnelbanan ska de inte kunna komma åt din BankID-app även om de råkar känna till din PIN — och PIN-koder är ofta lättare att gissa än folk tror. Sätt också upp en separat säkerhetskod för BankID som du inte använder till något annat. Det är det enda numret som faktiskt betyder något för dina pengar.
Läs alltid texten som dyker upp i BankID-appen innan du signerar. Det låter självklart, men det är just det självklara folk slarvar med. Texten ska säga något i stil med ”Insättning 500 SEK till casino X” — om den säger något annat, eller om den är tom, signera inte. Vid uttag ska texten också identifiera mottagarkontot. Om något ser ovanligt ut, avbryt och kontakta casinots kundtjänst via det nummer som står inloggat på sajten.
Använd inte BankID från en länk i ett mejl eller sms. Gå alltid direkt till casinots sajt eller app via egen genväg eller egen sökning. De flesta lurar i den här kategorin börjar med ett oväntat meddelande där angriparen redan satt upp en falsk sajt som ser ut som operatörens, och där en BankID-signering omdirigeras till en helt annan transaktion än den du tror dig signera.
Spara aldrig din kod någonstans där en annan person kan hitta den, inte ens som kontakt i telefonen eller anteckning på papper. Många av de svåraste fallen jag sett handlar inte om främlingar utan om människor i samma hushåll. Det är en obekväm sanning men den ska sägas. Och om du har en äldre släkting som spelar — gå igenom de här reglerna med dem. Den största sårbarheten på den svenska marknaden 2026 är inte tekniken, det är generationsskillnaden i hur man förhåller sig till mobilen som ett ekonomiskt verktyg.
Det jag tar med mig från åtta år vid skärmen
Det viktigaste jag lärt mig från att titta på den här arkitekturen från insidan är att hela skyddssystemet vilar på en enda mekanism — innehavaren av BankID som faktiskt läser vad hen signerar. Allt annat är i praktiken vattentätt. Kryptografin håller, Spelinspektionen håller, Swish-protokollet håller. Den punkt där det kan brista är två sekunder i en koreografi som annars är robust. Det är den punkten varje spelare själv kontrollerar.
För mig personligen har det betytt att jag avdramatiserat BankID-prompten i mitt huvud. När den dyker upp behandlar jag den som ett kontrakt jag ska underteckna — inte som en knapp jag ska trycka på för att komma vidare. Det är skillnaden mellan att skydda sig och att tro att man är skyddad.
