Swish betting säkerhet: Så skyddas dina pengar och data vid Swish-betalning

Säkerhetsflödet vid Swish-betalning hos svenska spelbolag med BankID-verifiering

Loading...

Tre lager av skydd varje gång du bettar med Swish

En läsare frågade mig nyligen om det verkligen är säkert att skicka pengar till ett spelbolag via Swish. Frågan överraskade mig inte – den kommer regelbundet, och den förtjänar ett grundligt svar. Korta versionen: Swish-betalningar till licensierade spelbolag är bland de säkraste finansiella transaktionerna en svensk privatperson kan göra. Men ”säkert” är ett brett ord, och det finns anledning att förstå exakt vilka mekanismer som skyddar dig.

Det som gör Swish-betting unikt ur ett säkerhetsperspektiv är att du skyddas i tre separata lager. Först av BankID, som verifierar att det faktiskt är du som initierar betalningen. Sedan av Swish-infrastrukturen, som krypterar och behandlar transaktionen inom det svenska banksystemet. Och slutligen av spelbolagets licensvillkor, som ålägger operatören att skydda dina pengar och personuppgifter enligt svensk lag.

Varje lager fungerar oberoende av de andra. Även om ett lager teoretiskt skulle fallera – en oerhört osannolik händelse – stoppar de andra två transaktionen. Det är djupförsvar i praktiken, inte i teorin. Och det är en nivå av säkerhet som ingen annan betalningsmetod på den svenska spelmarknaden matchar fullt ut. Inte kortbetalningar, inte banköverföringar, inte förbetalda kort – ingen av dem erbjuder samma trippelskydd.

Låt mig gå igenom varje lager i detalj, med de siffror och den bakgrund som jag samlat under åtta år av betalningsanalys i den svenska bettingbranschen.

Och låt mig vara tydlig redan nu: säkerhet inom betting handlar inte bara om att skydda sig mot hackers och bedragare. Det handlar lika mycket om att skydda sig mot strukturella risker – olicensierade operatörer utan spelarskydd, betalningsmetoder som exponerar känsliga data, och avsaknaden av regulatoriskt skyddsnät. Swish adresserar samtliga av dessa risker, och det är därför jag anser att det är den säkraste betalvägen för svenska spelare.

BankID: 99,9 procent av svenskarna verifierar sig digitalt

Det finns ingen annan digital identitetslösning i världen med samma penetration som BankID i Sverige. 8,6 miljoner unika användare – 99,9 procent av alla registrerade medborgare mellan 18 och 67 år – identifierar sig digitalt med BankID. Jonas Brännvall, som ledde BankID:s internationella expansion, har beskrivit hur systemet möjliggjorde hela Sveriges digitala ekosystem, från e-förvaltning till det kontantlösa samhället. Och det ekosystemet inkluderar definitivt betting.

Vad BankID faktiskt gör vid en Swish-insättning är flerstegat. Först autentiserar det din identitet – det bekräftar att det är du, kopplat till ditt personnummer, som initierar transaktionen. Sedan signerar det betalningen digitalt, vilket innebär att transaktionen inte kan förfalskas eller ändras efter att du godkänt den. Varje BankID-signering skapar en unik kryptografisk signatur som kan verifieras av alla parter i kedjan – din bank, Getswish AB och spelbolaget.

Under 2024 var BankID anslutet till 7 500 olika tjänster. 51 procent av all användning skedde inom bank- och finanssektorn, och 18 procent gällde mobila betalningar – en kategori som inkluderar Swish. Under 2023 användes BankID totalt 7,1 miljarder gånger. Det är siffror som vittnar om ett system som inte bara är säkert i teorin utan som testas miljardtals gånger varje år utan systemkritiska incidenter.

I praktiken innebär BankID-kravet att ingen kan göra en Swish-insättning i ditt namn utan att ha tillgång till både din telefon och din BankID-autentisering. Det kräver antingen ditt fingeravtryck, ditt ansikte eller din personliga kod. Att stjäla den kombinationen – fysisk enhet plus biometrisk data eller personlig kod – är en helt annan utmaning än att kopiera ett kreditkortsnummer från en läckt databas.

Det är dock viktigt att du skyddar ditt BankID korrekt. Dela aldrig din BankID-kod med någon, inte ens med personer som påstår sig vara från din bank. Bekräfta aldrig en BankID-förfrågan som du inte själv har initierat. Och om du tappar din telefon, kontakta din bank omedelbart för att spärra ditt BankID. De här råden gäller inte specifikt för betting – de gäller för all BankID-användning – men de är extra viktiga i en kontext där pengar flyttas.

En detalj som jag sällan ser nämnas är att BankID-autentiseringen vid Swish-betting faktiskt sker dubbelt. Du autentiserar dig en gång för att logga in hos spelbolaget, och en gång till för att godkänna Swish-betalningen. Det innebär att varje insättning kräver två separata BankID-verifieringar – en redundans som ytterligare minskar risken för obehöriga transaktioner. Om någon på något sätt skulle lyckas logga in på ditt spelkonto behöver de fortfarande din aktiva BankID-bekräftelse för att kunna flytta pengar.

Kryptering och dataöverföring i Swish-transaktioner

Varje gång jag förklarar Swish-kryptering för läsare brukar jag använda en analogi: tänk dig att du skickar ett brev i ett kassaskåp, inuti en pansarbil, genom en tunnel. Brevet är ditt betalningsmeddelande. Kassaskåpet är TLS-krypteringen som skyddar kommunikationen mellan din app och bankens server. Pansarbilen är Getswish AB:s infrastruktur, som hanterar transaktionen inom det svenska banksystemet. Och tunneln är den reglerade bankmiljön som övervakas av Finansinspektionen. Ingen utomstående kan se, ändra eller avlyssna brevet under transporten.

Getswish AB, det bolag som driver Swish, grundades 2012 av sex av Sveriges största banker och har sedan dess växt till att hantera över 320 000 anslutna företag. Infrastrukturen är byggd inom det svenska bankgirosystemet, vilket innebär att transaktioner aldrig lämnar den reglerade svenska bankmiljön. Det här är en viktig distinktion jämfört med internationella betaltjänster – dina Swish-pengar rör sig aldrig genom servrar i andra länder eller genom tredjepartssystem utanför svensk jurisdiktion.

Den tekniska säkerheten i Swish bygger på end-to-end-kryptering av varje transaktion, certifikatbaserad autentisering av alla parter, och realtidsövervakning av transaktionsmönster. Getswish övervakar systemet dygnet runt, och ovanliga transaktionsmönster flaggas automatiskt. Om ditt Swish-konto plötsligt börjar skicka ovanligt stora belopp till mottagare du aldrig interagerat med kan systemet stoppa transaktionen och kräva extra verifiering.

För dig som spelare innebär det att dina bankuppgifter aldrig exponeras för spelbolaget. Operatören ser att en Swish-betalning har inkommit på ett visst belopp från ett visst Swish-nummer, men de har ingen tillgång till ditt kontonummer, ditt saldo eller någon annan bankinformation. Det är en fundamental skillnad mot kortbetalningar, där spelbolaget tar emot och lagrar ditt kortnummer – information som vid ett dataintrång kan missbrukas.

Jag vill sätta det i perspektiv med en siffra: under augusti 2025 hanterade Swish transaktioner för 48,3 miljarder kronor under en enda månad. Och under hela 2024 passerade Swish milstolpen en miljard betalningar på ett kalenderår. Den volymen av transaktioner skapar en massiv mängd data som måste skyddas – och det faktum att infrastrukturen har hanterat den volymen utan publikt kända säkerhetsincidenter vittnar om robustheten i krypteringslagret.

Något som är värt att förstå är att Swish-krypteringen inte bara skyddar din data i transit – den skyddar den också i vila. Bankerna som deltar i Swish-nätverket lagrar transaktionsloggar i krypterade databaser som uppfyller samma säkerhetskrav som deras övriga banksystem. Det innebär att historiken över dina Swish-insättningar hos spelbolag är lika väl skyddad som din lönespecifikation eller dina bolåneuppgifter.

Licensierade spelbolags ansvar för spelarskydd

Det tredje lagret i säkerhetskedjan handlar inte om teknik utan om reglering. Och det är detta lager som gör störst skillnad i praktiken, eftersom det bestämmer vad spelbolaget får och inte får göra med dina pengar och dina uppgifter. Teknik kan kringgås – men en myndighetskontroll med sanktionsbefogenhet är betydligt svårare att ducka.

Sveriges spelmarknad reglerades 2019 med ett licenssystem som administreras av Spelinspektionen. Kanaliseringsgraden – andelen spelande som sker hos licensierade operatörer – ligger på 85 procent totalt och 92-96 procent för sportvadslagning specifikt. Det innebär att nästan alla som bettar på sport i Sverige gör det hos en operatör som övervakas av en svensk myndighet.

Vad innebär den övervakningen konkret? Licensierade spelbolag måste separera spelarnas pengar från sina egna operativa medel. Det innebär att om spelbolaget går i konkurs är dina pengar skyddade – de ligger på ett separat konto som inte kan användas för att betala bolagets skulder. Det här är ingen garanti som olicensierade operatörer erbjuder.

Licensierade operatörer måste också följa penningtvättslagen, vilket innebär att de är skyldiga att rapportera misstänkta transaktioner till Finanspolisen. 96 procent av svenska spelare har använt en licensierad plattform minst en gång under 2024, och de spelarna omfattas av detta regelverk. Det kan upplevas som byråkratiskt – KYC-verifiering, transaktionsgränser, identitetskontroller – men det är byråkrati som skyddar både dig och samhället.

Spelinspektionen har dessutom befogenhet att utdöma sanktioner mot operatörer som bryter mot villkoren. Det kan handla om varningar, straffavgifter eller indragen licens. Det hotet skapar en stark incitamentsstruktur för operatörer att följa reglerna – att förlora sin svenska licens innebär att förlora tillgången till en marknad som omsatte 28,2 miljarder kronor 2025.

Det finns också en dimension av spelarskydd som handlar specifikt om Swish. Eftersom Swish-betalningar är knutna till ditt personnummer via BankID kan spelbolaget med säkerhet verifiera att du är den du utger dig för att vara vid varje transaktion. Det eliminerar möjligheten att spela med falsk identitet, att skapa dubbelkonton eller att kringgå insättningsgränser genom att använda andras betalningsuppgifter. Det kanske låter som självklarheter, men i länder utan BankID-liknande system är dessa problem verkliga och kostsamma.

Licensierade operatörer är dessutom anslutna till Spelpaus, det nationella självavstängningssystemet. Om du registrerar dig i Spelpaus blockeras ditt konto hos alla licensierade spelbolag omedelbart, och inga insättningar – varken via Swish eller någon annan metod – kan genomföras. Det är en säkerhetsmekanism som skyddar dig mot dig själv, och det är en mekanism som bara finns i den licensierade marknaden.

Vilka risker finns det – och hur undviker du dem?

Att Swish-betting är säkert betyder inte att det är riskfritt. Det finns hot som tekniken inte kan skydda dig mot – hot som handlar om beteende snarare än system. Och det är dessa hot jag ser spelare trampa i oftare än jag önskar.

Den största risken är att spela hos olicensierade operatörer. Var tredje spelande svensk vet inte om spelbolaget de använder har svensk licens – en siffra som borde vara noll men som visar att medvetenheten fortfarande brister. Hos en olicensierad operatör har du inget av de skyddsnät som det svenska licenssystemet erbjuder: inga separerade spelarmedel, ingen Spelpaus-koppling, ingen svensk myndighet att vända dig till vid tvister. Och dina vinster är beskattningsbara.

Varför väljer spelare ändå olicensierade operatörer? Data visar att 35 procent lockades av vad de uppfattade som bättre chanser att vinna, 23 procent var blockerade via Spelpaus och sökte en väg runt systemet, och 21 procent frestades av mer generösa bonusar. Varje anledning har sin logik, men ingen av dem uppväger den brist på trygghet som olicensierat spel innebär.

Jag vill vara rakt på sak: om ett spelbolag inte har svensk licens kan du inte använda Swish för att sätta in pengar. Swish-betalningar kräver ett svenskt företagskonto hos mottagaren, och olicensierade operatörer med bas utanför Sverige har inte det. Om du stöter på ett påstått ”spelbolag” som ber dig Swisha pengar till ett privatkonto ska alla varningsklockor ringa – det är med all sannolikhet bedrägeri.

En annan risk är bedrägerier riktade mot Swish-användare generellt – inte specifikt mot betting. Phishing-attacker, där någon utger sig för att vara din bank eller ett spelbolag och ber dig ”bekräfta” en BankID-signering, har ökat under de senaste åren. Regeln är enkel: initiera alltid BankID-förfrågan själv. Om du inte aktivt försöker logga in eller göra en betalning, godkänn aldrig en BankID-begäran, oavsett vem som påstår sig ligga bakom den. Din bank kommer aldrig att ringa dig och be dig signera med BankID – det scenariot är alltid ett bedrägeriförsök.

Det finns också en risk som sällan nämns i säkerhetstexter: osäkra wifi-nätverk. Att göra en Swish-insättning via ett öppet wifi-nät på ett café eller flygplats exponerar dig inte direkt – Swish-kommunikationen är krypterad – men det ökar risken för man-in-the-middle-attacker som kan fånga annan känslig data från din telefon. Om du ska göra en insättning i farten, använd mobildata istället för öppet wifi. Det är en försiktighetsåtgärd som kostar dig ingenting.

Slutligen vill jag nämna en risk som handlar om ditt eget beteende snarare än externa hot: impulsiva insättningar. Swish gör det extremt enkelt att sätta in pengar – så enkelt att du kan göra det utan att tänka efter. Det är inte en teknisk säkerhetsrisk, men det är en ekonomisk risk som Swish-betalningens smidighet kan förstärka. Sätt alltid en insättningsgräns hos spelbolaget innan du börjar spela, och använd den som din personliga broms. Enkelheten i Swish är en styrka när den används medvetet, men den kan bli en svaghet om du inte har kontroll över dina spelvanor.

Swish jämfört med kortbetalning ur ett säkerhetsperspektiv

Den jämförelsen gör jag med en tydlig preferens, och jag döljer den inte: Swish är överlägset ur ett säkerhetsperspektiv. Inte för att kortbetalningar är osäkra per definition, utan för att de bygger på en fundamentalt annorlunda modell som skapar fler angreppspunkter.

Vid en kortbetalning delar du ditt kortnummer, utgångsdatum och CVV-kod med spelbolaget. Den informationen lagras – antingen direkt hos operatören eller hos deras betaltjänstleverantör – och den kan potentiellt exponeras vid ett dataintrång. Vi har sett det hända otaliga gånger i andra branscher: databaser med miljontals kortnummer som läcker ut. Det behöver inte hända, och moderna PCI-DSS-standarder minimerar risken, men risken existerar strukturellt.

Med Swish delar du ingenting. Inget kortnummer, inget kontonummer, inga bankuppgifter. Spelbolaget mottar en bekräftelse från Getswish att betalningen genomförts, men har aldrig tillgång till den underliggande finansiella informationen. Det innebär att även om spelbolagets databas hackas finns det inga kortuppgifter att stjäla – för de har aldrig funnits där.

Det finns också en praktisk säkerhetsfördel vid uttag. När du tar ut pengar med Swish skickas de till ditt registrerade Swish-nummer, som är knutet till ditt bankkonto via BankID. Det finns ingen möjlighet att omdirigera pengarna till en tredje parts konto utan att ändra den kopplingen via banken. Vid kortuttag finns åtminstone en teoretisk risk att pengarna returneras till ett kort som du inte längre har tillgång till eller som har stulits. Swish eliminerar den risken helt.

Det här blir extra relevant i ljuset av kreditkortsförbudet som trädde i kraft den 1 maj 2026 i Sverige. Från och med det datumet är det förbjudet att använda kreditkort, lån, kontokrediter och köp-nu-betala-senare-tjänster för insättningar hos spelbolag. Sverige blev det första EU-landet med ett så omfattande förbud. Bakgrunden är alarmerande: 18 procent av alla insättningar på licensierade sidor gjordes med kreditinstrument 2025, och det genomsnittliga kreditdepositbeloppet var nästan tre gånger större än genomsnittet för debetinsättningar. Swish, som alltid har varit kopplat till debetsaldo, påverkas inte alls – det har aldrig gått att göra en Swish-betalning på kredit. För den som tidigare använde kreditkort hos spelbolag är Swish det naturliga och säkraste alternativet.

Det finns ytterligare en säkerhetsfördel med Swish som handlar om ansvarsfull spelkontroll. Eftersom Swish-betalningar dras direkt från ditt banksaldo ser du omedelbart konsekvensen av varje insättning. Det finns ingen kreditbuffert som döljer den verkliga kostnaden. Den omedelbara feedback-loopen – ”jag hade 5 000 kronor, nu har jag 4 500” – fungerar som en naturlig broms som kreditbaserade betalningsmetoder saknar.

Vanliga frågor om säkerhet vid Swish-betting

Kan någon annan använda mitt Swish-konto för att betta?
Nej, inte utan tillgång till din telefon och ditt BankID. Varje Swish-betalning kräver biometrisk verifiering eller personlig kod via BankID, och BankID är knutet till ditt personnummer. Det innebär att en obehörig person behöver både fysisk tillgång till din telefon och din BankID-autentisering för att kunna genomföra en transaktion.
Vad händer om en obehörig transaktion görs via Swish?
Kontakta din bank omedelbart och begär spärr av ditt Swish-konto och BankID. Banker har rutiner för att hantera obehöriga transaktioner, och i de allra flesta fall kan du få pengarna tillbaka genom din banks skydd. Polisanmäl händelsen och kontakta även spelbolaget om transaktionen gick till en operatör. Tack vare transaktionsloggarna i Swish-systemet kan obehöriga betalningar alltid spåras.
Sparar spelbolagen mina Swish-uppgifter?
Spelbolaget sparar ditt Swish-nummer och transaktionshistorik kopplad till ditt spelkonto, men de har aldrig tillgång till ditt bankkonto, saldo eller andra bankuppgifter. Swish fungerar som ett skyddande lager som håller din bankdata inom banksystemet. Spelbolaget ser bara att en betalning har inkommit och från vilket Swish-nummer den skickades.
Är det säkrare att använda Swish än bankkort hos spelbolag?
Ja, ur ett dataskyddsperspektiv. Vid kortbetalning delar du kortnummer, utgångsdatum och säkerhetskod med spelbolaget. Vid Swish delar du inga bankuppgifter alls. Om spelbolagets databas hackas finns det inga kortuppgifter att stjäla vid Swish-betalning, eftersom de aldrig har funnits i spelbolagets system. Båda metoderna kräver dock att du skyddar ditt BankID och din telefon.