BankID och betting: Hur digital identifiering gör Swish-betting möjligt

En smartphone som visar BankID-appen med fingeravtrycksverifiering på ett skrivbord

Loading...

Utan BankID – ingen Swish-betting

Det är lätt att ta BankID för givet. Du öppnar appen, bekräftar med fingeravtryck, och sedan händer det du vill ska handa – en inloggning, en betalning, en Swish-överföring. Men bakom den enkla gesten döljer sig ett system som är själva ryggraden i svensk Swish-betting, och utan det skulle hela modellen kollapsa.

99,9 procent av alla registrerade svenska medborgare mellan 18 och 67 år har BankID. Lat den siffran sjunka in: i praktiken har varje vuxen svensk digital identitet. Det är den penetrationen som gör det möjligt att bygga ett betalningssystem som Swish, ett spelregleringssystem som Spelpaus och en bettingmarknad där identitet aldrig är en fråga.

Under mina åtta är av marknadsbevakning har jag sett hur BankID gatt från att vara ett komplement till att bli en förutsättning. Inget licensierat svenskt spelbolag fungerar utan det, och för den som bettar med Swish är BankID lika viktigt som själva internetuppkopplingen.

Så fungerar BankID-verifiering steg för steg

BankID användes vid 7 500 anslutna tjänster under 2024 och totalt 7,1 miljarder gånger. Det är inte en experimentell teknik – det är en samhällskritisk infrastruktur som testar på nationell skala varje dag.

När du bettar med Swish används BankID vid minst två tillfällen: inloggning och betalning. Vid inloggning skickar spelbolaget en verifieringsförfrågan till din BankID-app. Du bekräftar med biometri eller kod, och spelbolaget får en kryptografisk bekräftelse på att du är den du utger dig för att vara. Vid Swish-betalningen sker en ny BankID-verifiering för att godkänna den specifika transaktionen. De två stegen är oberoende av varandra – du kan vara inloggad på ett spelbolag utan att ha godkänt någon betalning, och varje enskild betalning kräver separat godkännande.

Det som gör BankID unikt är att verifieringen sker lokalt på din enhet. Din personliga nyckel lämnar aldrig telefonen – istället skickas en kryptografisk signatur som bevisar att nyckeln används utan att avslöja själva nyckeln. Det är samma princip som används i banksystemet globalt, men implementerad för konsumentbruk på ett satt som fa andra länder lyckats med.

51 procent av alla BankID-användningar sker inom bank och finans, och ytterligare 18 procent för mobila betalningar – där Swish är det största användningsområdet. Resten fördelas på e-förvaltning, sjukvård, försäkringar och andra sektorer. Den bredden visar att BankID inte är en nischlösning för spelande – det är en nationell infrastruktur som används av praktiskt taget alla digitala tjänster i landet, och bettingoperatörerna är bara en av många användare.

Kopplingen mellan BankID och Swish vid betting

Swish och BankID är två separata system som ägs av olika organisationer – Getswish AB respektive Finansiell ID-Teknik BID AB – men i praktiken är de oskiljaktig. Varje Swish-transaktion kräver BankID-verifiering, och varje BankID-baserad inloggning hos ett spelbolag öppnar dörren för Swish-betalningar.

Jonas Brännvall, chef för internationell expansion på BankID, har beskrivit hur BankID ”möjliggjorde ett helt digitalt ekosystem i Sverige – från e-förvaltning till ett kontantlöst samhälle”. Den beskrivningen är direkt tillämpbar på bettingmarknaden: utan BankID hade vi inte haft Swish, utan Swish hade vi inte haft omedelbara spelinsättningar, och utan omedelbara insättningar hade livebetting aldrig blivit så populärt som det är idag.

Swish lanserades 2012 av sex svenska storbanker och är idag anslutet till över 320 000 företag. Varje ett av dessa företag – inklusive spelbolag – litar på BankID för att verifiera att betalaren är den person som uppger sig vara. Det är en kedja av förtroende som börjar med din bank, går genom BankID och slutar med att pengarna landar på ditt spelkonto.

För den som väljer att betta utan registrering via pay-and-play-modellen är BankID ännu viktigare. Där ersätter BankID hela registreringsprocessen – din identitet, ålder och adress hämtas direkt från BankID-profilen, och du behöver aldrig fylla i ett enda formulär.

Tekniskt sett är det BankID som gör det möjligt att ha en ”kontolös” bettingupplevelse. När du identifierar dig med BankID hos ett pay-and-play-spelbolag skapas ett konto automatiskt i bakgrunden baserat på din verifierade identitet. Du märker knappt att det händer – men utan BankID hade varje ny spelare behövt fylla i formulär, skicka ID-kopior och vänta på manuell verifiering. BankID eliminerar allt det i en enda kryptografisk transaktion.

Säkerhetslager i BankID-autentisering

När jag pratar säkerhet med spelare är det vanligaste orosmomentet att någon ska kunna använda deras Swish eller BankID utan deras vetskap. Lat mig förklara varför det är extremt osannolikt.

BankID har flera oberoende säkerhetslager. Det första är själva enheten – din telefon måste vara registrerad hos din bank för att kunna använda BankID. Det andra är biometrisk inloggning eller personlig kod – någon måste ha tillgång till din telefon och kunna låsa upp BankID-appen. Det tredje är den kryptografiska nyckeln som lagras lokalt och aldrig skickas över nätet.

8,6 miljoner unika användare litade på det här systemet under 2024. Bedrägeriet som förekommer är nästan uteslutande av typen ”social engineering” – där någon lurar dig att godkänna en BankID-förfrågan du inte borde godkänna. Systemet självt har inga kända säkerhetsbrister som kan utnyttjas utan din medverkan.

För Swish-betting innebär det att den största säkerhetsrisken inte är teknisk utan mänsklig. Godkänn aldrig en BankID-förfrågan som du inte initierade själv. Om du får en oväntad BankID-notis – särskilt en som uppger sig komma från ett spelbolag – avvisa den omedelbart. Det är den gyllene regeln för BankID-säkerhet, oavsett sammanhang.

Ytterligare en säkerhetsaspekt: även om någon skulle fa tillgång till din olåsta telefon kan de inte använda ditt BankID utan att också känna till din personliga kod eller ha tillgång till din biometriska data. De multipla säkerhetslager gör att BankID-bedrägerier nästan aldrig är rent tekniska intrång – de är nästan alltid baserade på att offret lurats att själv godkänna en förfrågan. Var medveten, var skeptisk, och ditt BankID-baserade Swish-spelande är skyddat.

Frågor om BankID och betting

Kan man betta med Swish utan BankID?
Nej. Swish kräver BankID-verifiering för varje transaktion, och alla licensierade svenska spelbolag kräver BankID för inloggning. Utan BankID kan du varken logga in eller göra insättningar med Swish.
Vad gör man om BankID inte fungerar vid insättning?
Kontrollera att BankID-appen är uppdaterad och att din telefon har internetanslutning. Om problemen kvarstar, kontakta din bank för att säkerställa att ditt BankID är aktivt. Tillfaalliga driftstorningar förekommer men är sallsynta.
Sparar spelbolaget mina BankID-uppgifter?
Spelbolaget sparar den information som kravs för att identifiera dig – namn och personnummer – men inte din BankID-nyckel eller biometriska data. Din unika personliga kryptografiska nyckel lagras lokalt på din enhet och delas aldrig med tredje part.