Trustly säkerhet för betting — kryptering, licenser och bedrägeriskydd i detalj

Redaktionen «Trustly Betting» maj 11, 2026 Lästid: 15 min

Det finns en siffra jag återkommer till varje gång någon frågar mig om Trustly är säkert: 0,008%. Det är bedrägerifrekvensen för spelrelaterade transaktioner via Trustly — åtta tusendelar av en procent. I konkreta termer innebär det att av 100 000 transaktioner är åtta bedrägliga. Jämför det med kortbetalningar där siffran ligger 10-50 gånger högre, och du har en referensram för vad vi pratar om.

Men säkerhet handlar om mer än en siffra. Det handlar om vilka licenser som reglerar verksamheten, vilken teknik som skyddar dina pengar, och hur företaget har hanterat de utmaningar det ställts inför. Trustly är inte felfritt — det visade AML-böterna 2022 med all önskvärd tydlighet — och jag tänker inte låtsas att allt är perfekt. Istället tänker jag ge dig en komplett bild: det starka, det svaga och det som förändrats sedan dess.

Under nio år som analytiker av betalningslösningar i den svenska bettingbranschen har jag byggt en förståelse för vad som faktiskt utgör säkerhet i praktiken — inte bara vad som ser bra ut i marknadsföringsmaterial. Den här genomgången bygger på den erfarenheten, och den är skriven för den spelare som vill fatta ett informerat beslut baserat på fakta snarare än lösa formuleringar om att ”dina pengar är trygga hos oss”. Jag har hört den frasen tusentals gånger, och den säger ingenting utan substans bakom den.

Trustlys licenser och tillsynsmyndigheter

En bekant som jobbar på en bank sa något träffande till mig: ”Licenser är inte ett kvitto på att allt är bra — de är ett löfte om att någon tittar.” Det sammanfattar ganska väl hur regulatorisk tillsyn fungerar, och det gäller även Trustly.

Trustly är licensierat av Finansinspektionen, den svenska tillsynsmyndigheten för finansiella institutioner. Det är samma myndighet som övervakar storbankerna, och kraven är lika strikta: krav på kapitaltäckning, riskhantering, kundkännedom och rapportering. Finansinspektionen-licensen innebär att Trustly klassas som ett betalningsinstitut under svensk lag och EU:s betaltjänstdirektiv PSD2.

Utöver den svenska licensen är Trustly auktoriserat av FCA — Financial Conduct Authority — i Storbritannien, vilket möjliggör verksamhet på den brittiska marknaden. Dessa dubbla licenser innebär att Trustly granskas av två oberoende tillsynsmyndigheter i två jurisdiktioner med delvis överlappande men inte identiska krav. I praktiken betyder det att Trustly måste uppfylla den strängaste standarden från båda — det finns inget utrymme att välja den mer tillåtande tolkningen.

Vad innebär dessa licenser konkret för dig som spelare? Tre saker. För det första att Trustly måste separera kundmedel från företagets egna medel — dina pengar under en pågående transaktion är skyddade även om Trustly skulle hamna i ekonomiska problem. För det andra att Trustly måste ha en formell klagomålsprocess och att du kan eskalera ärenden till Finansinspektionen om du inte är nöjd med hur Trustly hanterar en reklamation. Och för det tredje att Trustly genomgår regelbundna revisioner av sina säkerhetssystem, riskprocesser och kapitalreserver.

Men licenser är inte immuna mot problem, och det visade sig med eftertryck 2022. Finansinspektionen utdömde böter på SEK 130 miljoner — ungefär 12,2 miljoner euro — mot Trustly för allvarliga brister i arbetet mot penningtvätt. Dåvarande generaldirektör Erik Thedéen pekade på att Trustlys position i betalningskedjan mellan spelindustrin och ett stort antal banker gör det möjligt för bolaget att se flöden som inte är tillgängliga för andra marknadsaktörer. Han framhöll att ett företag som valt snabbhet och enkelhet som affärsidé inom spelindustrin måste vara extra noggrann i sitt arbete mot penningtvätt.

Det var en allvarlig kritik, och den ledde till konkreta förändringar. Trustly förstärkte sin compliance-avdelning, implementerade mer avancerade transaktionsövervakningssystem och utökade sin KYC-process. Frågan för dig som spelare är: gör de åtgärderna Trustly säkrare idag? Mitt svar är ja, med förbehållet att tillsynen behöver fortsätta vara aktiv. En engångsbrand som leder till systematiska förbättringar är inte nödvändigtvis negativ för den långsiktiga säkerheten — förutsatt att organisationen faktiskt lär sig av misstagen.

Det som gör den regulatoriska ramen trovärdig är att den inte bara är papper. Finansinspektionen har visat att den är beredd att utdöma kännbara sanktioner — SEK 130 miljoner är inte symboliska pengar. Den signalen har ripplat genom hela betalningsbranschen och skärpt uppmärksamheten hos alla aktörer, inte bara Trustly. Spelinspektionen, som övervakar operatörerna snarare än betalningsleverantörerna, har också ett aktivt tillsynsmandat som kompletterar Finansinspektionens arbete. Tillsammans skapar de ett dubbelt skyddsnät: en myndighet granskar betalningsleverantören, en annan granskar operatören som använder den.

Kryptering och PSD2 — tekniken bakom Trustlys säkerhet

Varje gång du öppnar Trustlys betalningsfönster i din bettingapp pågår en serie tekniska handskakningar som du aldrig ser men som skyddar dina pengar. Jag ska försöka förklara dem utan att bli alltför teknisk — tänk på det som att följa ett paket från avsändare till mottagare, med kontroller vid varje steg.

Grundstenen är TLS-kryptering — Transport Layer Security — som skapar en krypterad tunnel mellan din enhet och Trustlys servrar. Det är samma typ av kryptering som din bank använder när du loggar in på internetbanken. All data som passerar genom tunneln — ditt kontonummer, beloppet, BankID-verifieringen — är oläslig för alla utom avsändare och mottagare. TLS-versionen uppdateras kontinuerligt för att möta nya säkerhetshot, och Trustly använder de senaste protokollversionerna som stöds av moderna webbläsare.

Ovanpå TLS ligger PSD2-ramverket med sitt krav på Strong Customer Authentication, förkortat SCA. SCA innebär att varje betalning måste verifieras med minst två av tre faktorer: något du vet (PIN-kod), något du har (din telefon med BankID-appen), eller något du är (fingeravtryck/ansiktsigenkänning). I det svenska Trustly-flödet uppfylls SCA genom BankID — du autentiserar med din telefon (något du har) och din personliga säkerhetskod eller biometri (något du vet/är).

Den tredje tekniska pelaren är Open Banking API:et som PSD2 möjliggjorde. Istället för att Trustly lagrar dina bankuppgifter kommunicerar det direkt med din banks API vid varje transaktion. Det innebär att Trustly aldrig ser ditt lösenord till internetbanken — BankID-autentiseringen sker direkt mellan dig och din bank, och Trustly får bara en bekräftelse att betalningen är auktoriserad. Det är en fundamental skillnad mot äldre betalningssystem där mellanhanden ofta hade tillgång till inloggningsuppgifter.

Trustly når idag 12 000 banker globalt och hanterar anslutningar till dessa banker via standardiserade API:er som varierar beroende på bankens infrastruktur. I Sverige, där bankinfrastrukturen är bland de mest avancerade i världen, fungerar dessa anslutningar i princip sömlöst. I andra marknader kan det finnas fler friktionspunkter, men för svenska spelare är den tekniska upplevelsen konsekvent pålitlig.

En detalj som ofta missas i säkerhetsdiskussioner: Trustly hanterar inga kortuppgifter. Det finns inget kortnummer att stjäla, ingen CVV-kod att extrahera, inget utgångsdatum att missbruka. Hela säkerhetsmodellen bygger på att din bank verifierar dig genom BankID — och den verifieringen sker varje gång, vid varje transaktion. Det eliminerar en hel kategori av bedrägerier som drabbar kortbaserade betalningssystem.

Det finns ytterligare en säkerhetsaspekt som är specifik för den svenska kontexten: BankID i sig är ett av världens mest robusta digitala identitetssystem. Det bygger på PKI-certifikat — Public Key Infrastructure — som är kryptografiskt starkt och svårt att förfalska. Kombinationen av Trustlys PSD2-compliance och BankIDs kryptografiska säkerhet skapar ett betalningsflöde som har fler och starkare säkerhetslager än de flesta alternativa metoder.

Jag brukar ge en enkel regel till spelare som oroar sig för säkerheten: om du litar på att logga in i din internetbank med BankID, kan du lita på att göra en Trustly-betalning. Det är samma tekniska infrastruktur, samma krypteringsnivå och samma verifieringsprocess. Trustly lägger bara till ytterligare ett lager genom sin egen bedrägeridetektering och transaktionsövervakning.

Bedrägeriskydd — hur Trustly skyddar spelarens pengar

Jag pratade nyligen med en spelare som var orolig för att ”Trustly har tillgång till mitt bankkonto”. Oron var förståelig men byggde på en missuppfattning — Trustly har inte åtkomst till ditt bankkonto i den mening att de kan logga in och göra vad de vill. De har auktorisering att initiera den specifika betalning du har godkänt, inget mer.

Den tekniska modellen är account-to-account, ofta förkortat A2A. Pengar flyttas direkt från ditt bankkonto till operatörens bankkonto utan mellanliggande plånböcker, kortprocessorer eller andra mellanhänder. Varje steg i kedjan kan revideras, och det finns en komplett transaktionslogg hos din bank som visar exakt vad som har auktoriserats.

Trustlys bedrägerifrekvens på 0,008% för spelrelaterade transaktioner är inte en slump — den är resultatet av ett realtidsbaserat detektionssystem som analyserar varje transaktion mot mönster av misstänkt aktivitet. Systemet kontrollerar bland annat om beloppet avviker från spelarens historiska mönster, om transaktionen initieras från en ovanlig enhet eller plats, och om det finns tecken på att BankID-autentiseringen har manipulerats.

Jag ska ge ett praktiskt exempel på hur detta fungerar. Säg att du normalt gör insättningar på 200-500 SEK från din telefon i Stockholm. Om en transaktion plötsligt initieras på 15 000 SEK från en okänd enhet i en annan stad flaggar systemet den för extra granskning. Det betyder inte att transaktionen blockeras automatiskt — det betyder att den genomgår ytterligare verifieringssteg. I de flesta fall visar det sig vara legitima transaktioner, men de fall som inte är det fångas innan pengarna har lämnat kontot.

En annan skyddsmekanism som är specifik för Trustlys modell: pengarna rör sig alltid mellan identifierade bankkonton. Till skillnad från kortbetalningar, där ett stulet kortnummer kan användas var som helst i världen, kräver en Trustly-betalning att du har tillgång till ditt BankID och att betalningen dirigeras till din banks API. Det gör det praktiskt omöjligt för en bedragare att använda dina uppgifter utan att fysiskt ha tillgång till din telefon med BankID-appen installerad och aktiverad.

Martin Walker, chef för Financial Services Sweden på PA Consulting, har påpekat att böterna mot Trustly visar att även den som bara tillhandahåller betalningsinfrastrukturen inte är befriad från krav på kundkännedom och penningtvättsregler. Det är ett viktigt perspektiv: Trustlys position i betalningskedjan ger dem unik insyn i transaktionsmönster, och med den insikten följer ett ansvar att identifiera och rapportera misstänkta flöden.

Vad innebär allt detta i praktiken för dig? Att dina pengar skyddas av flera oberoende lager: din banks egen säkerhet, BankID-verifiering, TLS-kryptering, PSD2-compliance och Trustlys interna bedrägeridetektering. Om något av dessa lager fallerar fångas det av nästa. Inget system är perfekt, men den redundansen gör Trustly till en av de säkraste betalningsmetoderna tillgängliga för sportsbetting i Sverige.

En fråga jag ibland får är vad som händer om Trustly som företag skulle gå i konkurs eller upphöra. Svaret är lugnande: Trustly hanterar inte dina pengar som en plånbok — de initierar överföringar mellan din bank och operatörens bank. Det finns inget saldo ”hos Trustly” som kan gå förlorat. Dina pengar befinner sig antingen på ditt bankkonto eller på ditt spelkonto hos operatören — aldrig i ett mellansteg hos Trustly. Den arkitekturen är en medveten säkerhetsdesign som eliminerar risken för förluster vid eventuella problem på Trustlys sida.

Jag vill också nämna den omvända risken: social manipulering, eller social engineering. Den största säkerhetsrisken med Trustly — liksom med alla digitala betalningsmetoder — är inte teknisk utan mänsklig. Bedragare som ringer och utger sig för att vara från din bank, phishing-mejl som leder till falska BankID-verifieringar, eller falska bettingsidor som imiterar kända operatörer. Mot dessa hot skyddar ingen teknik — det är din egen vaksamhet som är det sista försvarslagret.

Jag har tre enkla regler jag ger alla som frågar om säkerhet vid Trustly-betalningar. Första regeln: initiera alltid betalningen själv genom att navigera direkt till bettingsidans kassa — klicka aldrig på en länk i ett mejl eller SMS som påstår sig komma från operatören. Andra regeln: kontrollera alltid att BankID-appen visar rätt mottagare och rätt belopp innan du autentiserar — om något ser fel ut, avbryt omedelbart. Tredje regeln: om du får ett samtal från någon som ber dig göra en ”testbetalning” via Trustly, lägg på. Inga legitima aktörer begär betalningar via telefon.

Dessa tre regler eliminerar inte all risk — inget gör det — men de täcker de vanligaste attackvektorerna jag har sett under mina år i branschen. Tekniken kan vara hur säker som helst, men den svagaste länken är alltid den mänskliga faktorn. Trustlys tekniska säkerhetslager finns där för att minimera konsekvenserna av mänskliga misstag, men de kan inte helt kompensera för dem.

AML-efterlevnad — lärdomar från Trustlys böter 2022

Det vore intellektuellt ohederligt att skriva en artikel om Trustlys säkerhet utan att ta AML-fallet på allvar. SEK 130 miljoner i böter är inte en fotnot — det är den största sanktionen Finansinspektionen utdömt mot ett betalningsinstitut i samband med spelrelaterade brister. Och det är en historia som förtjänar mer än en sammanfattning i en mening.

Vad hände konkret? Finansinspektionen konstaterade att Trustly hade allvarliga brister i tre områden: identifiering av kunder med hög risk, övervakning av transaktionsmönster och rapportering av misstänkta transaktioner till Finanspolisen. Kritiken riktade sig inte mot att Trustly aktivt möjliggjorde penningtvätt, utan mot att systemen för att upptäcka och rapportera misstänkta aktiviteter var otillräckliga. Det är en viktig distinktion — det handlar om bristande övervakning, inte om medhjälp.

Kontexten är viktig. Under perioden som granskades — 2019-2021 — växte Trustly explosivt inom iGaming. Den totala betalningsvolymen ökade med tiotals procent per år, och compliance-kapaciteten hängde inte med. Det är ett klassiskt tillväxtproblem: volymen ökar snabbare än de system och processer som ska kontrollera den. Jag har sett samma mönster hos andra snabbväxande fintechbolag — skillnaden är att Trustlys position i spelindustrins betalningskedja gör konsekvenserna av den sortens bristande kapacitet allvarligare.

Sedan böterna har Trustly genomfört en rad åtgärder. Compliance-avdelningen har utökats med dedikerade team för spelrelaterad övervakning. Transaktionsövervakningssystemen har uppgraderats med mer sofistikerade mönsterigenkänningsalgoritmer. Och rapporteringsrutinerna har skärpts för att bättre fånga misstänkta transaktioner innan de hinner passera genom systemet. Trustly har också ökat transparensen i sin kommunikation med tillsynsmyndigheter.

Frågan som kvarstår är om dessa förändringar är tillräckliga. Jag lutar åt att de är det — men med en viktig reservation. AML-compliance är inte ett problem som löses en gång utan ett pågående arbete som kräver kontinuerlig investering och utveckling. Trustlys totala betalningsvolym har fortsatt växa kraftigt — från 87 miljarder dollar 2024 till över 100 miljarder 2025 — och varje ökning i volym skapar nya utmaningar för övervakningssystemen.

Det finns ett bredare perspektiv här som sällan diskuteras i spelguider. AML-regelverket för betalningsinstitut i spelsektorn är under ständig utveckling. EU:s sjätte penningtvättsdirektiv, nya riktlinjer från EBA — European Banking Authority — och nationella tolkningar skapar en regulatorisk miljö som kräver kontinuerlig anpassning. Trustly, med sin storlek och sin centrala position, granskas hårdare än mindre aktörer. Det är inte nödvändigtvis orättvist — storleken innebär ansvar — men det innebär också att Trustly sätter standarden för branschen. Om Trustly höjer sin AML-standard följer resten av marknaden efter.

Som spelare påverkar AML-efterlevnad dig indirekt. Starkare AML-processer kan ibland leda till längre uttagstider om en transaktion flaggas för manuell granskning. Det är priset för ett säkrare system, och det är ett pris jag anser värt att betala. En betalningsleverantör som aldrig flaggar transaktioner är inte nödvändigtvis effektiv — den kan helt enkelt ha otillräcklig övervakning.

Det jag tar med mig från AML-fallet är inte att Trustly är osäkert — det är att säkerhet inte är statiskt. Det kräver ständig investering, extern granskning och en organisation som är villig att erkänna och korrigera sina brister. Trustlys respons på böterna har, utifrån vad jag kan bedöma, varit seriös. Men det är resultaten som räknas, inte löftena, och den bedömningen pågår fortfarande. Mer om Open Banking och PSD2-ramverket finns i vår fördjupade guide.

Vanliga frågor om Trustly-säkerhet

Skapad av redaktionen på ”Trustly Betting”.