Vasilije Lekovic, Trustlys VP för gaming, beskrev en gång deras Pay N Play-flöde med en formulering jag tycker fångar det perfekt: spelaren börjar resan på spelsajten genom att helt enkelt göra en insättning, och samtidigt — i bakgrunden — samlar Trustly in den verifierade KYC-datan från bankkontot och från externa dataleverantörer, för att sedan skicka den vidare till operatören som skapar ett verifierat spelarkonto. Det är där hela mekaniken sitter. Inget formulär, ingen uppladdning av ID, men full kundkännedom på plats redan från första klick.

Den frågan jag oftast får — ”betalar jag verkligen utan att lämna ID-handlingar?” — har ett bedrägligt enkelt svar. Du lämnar inte handlingarna men din bank har redan gjort det åt dig, och Trustly hämtar resultatet av den kontrollen. Den här artikeln går igenom exakt hur det fungerar, vad GDPR säger om dina data i den processen, och i vilka situationer du ändå kommer att bli ombedd att skicka in fler dokument senare.

Vad KYC egentligen betyder för en bookmaker

KYC står för Know Your Customer och är ett samlingsbegrepp för de kontroller en finansiell aktör måste göra för att veta vem deras kund är. För svensk betting-bransch innebär det fyra konkreta saker: bekräfta spelarens identitet, kontrollera ålder, bekräfta att spelaren inte står på sanktionslistor eller är PEP, och göra en grundläggande riskbedömning. Det är inte godtyckliga regler — de är direkta krav från penningtvättslagen och Spelinspektionens egna föreskrifter.

I den traditionella modellen, före Pay N Play, gjordes det här genom att spelaren registrerade sig med personnummer, fick en e-postlänk att verifiera, lämnade ID-kopia om belopp passerade vissa tröskelvärden och ibland fick lämna in lönespecifikationer. Hela processen kunde dra ut på dagar — ibland veckor — innan första uttaget kunde gå igenom. För spelaren betydde det att vinsten satt fast i en pappersbyråkrati.

Pay N Play tar bort den friktionen utan att ta bort kontrollerna. Det är skillnaden som är så missförstådd. Det är inte ett ”KYC-light”-flöde — det är ett KYC-flöde i bakgrunden.

KYC utan pappersarbete: vad sker tekniskt i den första insättningen

När du gör din första insättning på en svensk Pay N Play-bookmaker via Trustly händer fyra saker parallellt med själva betalningen.

För det första loggar du in i din bank. Banken har redan i sin tur gjort en grundlig KYC på dig när du öppnade kontot — de har kontrollerat din identitet, din folkbokföringsadress, ditt personnummer och deras egna AML-system har följt dina transaktionsmönster sedan dess. Den lojala identitetsverifieringen är alltså redan utförd och uppdaterad.

För det andra signerar du med BankID. Det är ett juridiskt bindande moment — banken försäkrar att den person som signerar verkligen är kontoinnehavaren. Det är samma typ av signering som används för deklaration eller för att teckna lån.

För det tredje plockar Trustly ut den verifierade datan från banksessionen — namn, personnummer, folkbokföringsadress, kontoinnehavare. Detta sker via Open Banking-standarder och med ditt explicita samtycke.

För det fjärde körs den datan mot externa databaser: Spelpaus-registret, sanktionslistor, PEP-listor, eventuella interna spärrar. Allt detta tar några sekunder. Resultatet skickas till operatören tillsammans med betalningen, och operatören kan skapa ditt verifierade spelkonto.

Det imponerande är att hela detta steg, från klick till färdigt konto, kan ske på under 20 sekunder med Trustlys nya generation. För tio år sedan var samma process flera arbetsdagar. Det är ingen liten produktivitetsvinst.

När operatören ändå begär extra dokument

Det här är scenariot som överraskar nykomlingar. Du har spelat ostört i några månader, du har vunnit, du klickar ta ut, och plötsligt ber operatören om en lönespecifikation. Vad hände?

Svaret är EDD — enhanced due diligence. Pay N Play-flödet ger basala KYC-data men det räcker inte alltid. Penningtvättslagen kräver att operatörer gör utökade kontroller när vissa villkor inträffar. De vanligaste utlösarna är: kumulativa insättningar över ett tröskelvärde (typiskt 50 000 kronor), enstaka stora insättningar, ovanliga mönster (många små insättningar i snabb följd), uttag till annat bankkonto än insättningskontot, eller flaggor från operatörens eget AML-system om misstänkt spelbeteende.

När EDD aktiveras kommer operatören att be om ett urval av: ID-handling i original (oftast pass eller körkort), en aktuell adressbekräftelse (lönespecifikation, elräkning, hyresavtal), och i vissa fall en source of funds — alltså ett underlag som visar var pengarna kommer ifrån. Det här är inte en tecken på att operatören misstänker dig. Det är en regulatorisk skyldighet.

Det jag rekommenderar: ha en aktuell lönespecifikation eller ett kontoutdrag liggande på din dator. När EDD-begäran kommer kan du svara inom minuter, och uttaget kan slutföras samma dag. Den som strular med dokument och tar veckor på sig att ladda upp dem är den som klagar över ”långa uttagstider” — och då sitter felet inte hos sajten.

Dataskydd och GDPR: vem har egentligen din KYC-data?

Här är frågan som juristerna brottas med och som de flesta spelare aldrig tänker på. När din KYC-information passerar genom Pay N Play-flödet finns den i tre olika system samtidigt: din bank, Trustly och operatören. Vem är ansvarig om något läcker?

Banken är personuppgiftsansvarig för data de redan hade. Trustly är personuppgiftsansvarig för den data de hanterar i sin egen plattform och samtidigt personuppgiftsbiträde när de delar vidare till operatören. Operatören blir personuppgiftsansvarig för den data de tar emot och använder för sitt spelkonto. Det betyder att alla tre måste följa GDPR — inklusive dataminimering, lagringskontroll och rätten att bli glömd.

Praktiskt betyder det här två saker för dig som spelare. För det första: Trustly cachar inte din kontoinformation efter transaktionen är klar. De har inte ditt saldo i sin databas i nästa session. För det andra: operatören får bara den minsta nödvändiga datamängden för att skapa ett licensierat spelkonto. De får inte din kontotransaktionshistorik, ditt sparande, dina lån eller någon annan finansiell profil.

Sedan maj 2024 är dessutom Secure Start obligatoriskt för alla BankID-tjänster, vilket gör att hela autentiseringen ankras till en enhet och blir betydligt svårare att kapa via social engineering.

EDD och stora belopp: när det blir mer påtagligt

Tröskeln där pappersarbete kommer in i bilden ligger ofta vid kumulativa insättningar runt 50 000 SEK eller motsvarande nivå i utländsk valuta. Vid den här punkten skickar operatören sannolikt ett automatiskt mejl om att tilläggsverifiering behövs.

För högrullare — alltså spelare med kumulativa insättningar över 100 000 SEK — kan operatören även begära source of funds-dokumentation. Det innebär ett underlag som visar var pengarna kommer ifrån: lönespecifikation, försäljning av en bostad, arv, något som logiskt förklarar inflödet. Operatören är skyldig att förstå pengarnas ursprung, inte bara identifiera kontoinnehavaren.

Den som tycker det här känns intrusivt har en poäng — det är intrusivt. Men det är också det som gör det licensierade systemet trovärdigt. Den dagen ett licensierat svenskt spelbolag inte längre genomför EDD är dagen då Spelinspektionen drar in licensen. Samma logik gäller de obligatoriska insättningsgränserna i Pay N Play — de är inte ett påhitt från enskilda operatörer utan en del av samma regelverk.

Kan jag spela helt utan att lämna några ID-handlingar på en svensk Pay N Play-sajt?
Vid registrering och första insättning ja — banken har redan gjort identifieringen och Trustly hämtar verifierad data via Open Banking. Men vid större belopp eller ovanliga mönster aktiveras enhanced due diligence och då kommer operatören att be om dokument. Det är inget undantag i Pay N Play-flödet, det är obligatoriskt.
Vad är EDD i samband med Pay N Play och när aktiveras det?
Enhanced due diligence är en utökad kontroll som regleras av penningtvättslagen. Den aktiveras vid kumulativa insättningar över ett tröskelvärde, ovanliga betalmönster, uttag till annat bankkonto än insättningen kom från eller flaggor från operatörens AML-system. När EDD aktiveras ber operatören om ID-handling och source of funds.
Vem äger min KYC-data när den passerar genom Trustly och operatören?
Banken äger sin egen registrerade kunddata och förblir personuppgiftsansvarig för den. Trustly är personuppgiftsansvarig för data i sin plattform och biträde när data skickas vidare. Operatören blir personuppgiftsansvarig för den data som registreras på ditt spelkonto. Alla tre lyder under GDPR med rätt till dataminimering och radering.