När en sajt försvann över en natt

I januari 2024 fick jag ett samtal från en bekant som plötsligt inte kunde komma åt sin bookmaker. Han hade ett pågående uttag på cirka 4 000 kronor, hade lagt det dagen innan, och nu svarade sajten med ett enformigt felmeddelande. Det visade sig att operatören hade fått sin svenska licens indragen den natten efter en längre Spelinspektions-utredning, och alla pågående transaktioner var frusna i upp till 60 dagar medan uppdraget hanterades. Min bekant fick till sist sina pengar — det var det som var poängen — men hela episoden påminde mig om en sak: säkerheten i en spelmarknad mäts inte i hur det går när allt fungerar, utan i hur det går när något går fel.

Den här artikeln handlar om just det. Pay N Play är en imponerande teknisk produkt — Trustlys gaming-vertikal har en bedrägerinivå på 0,008 procent, en deposit success rate på 98,8 procent och en uttagsframgång på 99,7 procent — men dessa siffror beskriver bara den glada vägen. Verklig säkerhet ligger i regelverket runtomkring: licenssystemet, AML-kontrollerna, GDPR-skyddet, spelarskyddsverktygen och Spelinspektionens tillsynsmaskineri. Är de skikten på plats är Pay N Play en av de tryggaste spelmodellerna som existerar. Saknas något skikt, även med all teknisk perfektion i världen, är du oskyddad.

Vi ska gå igenom säkerheten lager för lager. Spelinspektionens roll, skillnaden mellan licensierade och olicensierade operatörer, dataskydd och GDPR, AML-arbetet i bakgrunden, obligatoriska spelarskyddsverktyg, sanktionssystemet, och slutligen vad som faktiskt gör Pay N Play-modellen säker när alla skikt fungerar tillsammans. Jag tänker inte hymla med svagheter där de finns, men inte heller överdramatisera där produkten faktiskt levererar.

Spelinspektionen — myndigheten som gör Pay N Play möjlig

Spelinspektionen i Strängnäs är den enskilt viktigaste aktören i den svenska spelsäkerheten. Den utfärdar licenser, övervakar att de upprätthålls, och drar in dem när operatörer brister. Den 20 augusti 2025 hade myndigheten 66 licenser för kommersiellt onlinecasino och 55 för betting i sina register. Vid utgången av 2024 hade Spelinspektionen totalt 616 licenser och tillstånd utfärdade och 563 licenshavare i sina system.

Camilla Rosenberg, generaldirektör för myndigheten, har formulerat hur tillsynen fungerar i praktiken: kanaliseringsgraden 2024 uppskattas till 85 procent, vilket visar att den stora majoriteten av svenskt spel sker hos operatörer licensierade i Sverige, och endast en liten andel av trafiken till olicensierade webbplatser kommer från sajter som Spelinspektionen genom förbudsförelägganden bedömt aktivt rikta sig mot Sverige utan nödvändig licens. Det är, ska sägas, en formulering som tonar ner spänningen i debatten — men kvantifieringen är värdefull.

Tillsynsarbetet har trappats upp markant de senaste åren. Under 2025 ökade Spelinspektionen sina tillsynsåtgärder med 49 procent år över år, inledde tillsyn mot 35 licenshavare, och cirka 64 procent av avslutade ärenden ledde till sanktioner. Det betyder att risken för operatörer att slarva med sina skyldigheter är reell och kostsam — sanktioner kan uppgå till 10 procent av omsättningen, vilket på en stor operatör är hundratals miljoner kronor.

För dig som spelare betyder Spelinspektionens existens flera saker konkret. Att operatören håller dina pengar segregerade från sin egen rörelsekapital — så att vid konkurs är dina pengar fortfarande dina. Att operatören tillämpar obligatoriska spelarskyddsverktyg och kopplas till Spelpaus. Att din KYC-data hanteras enligt definierade procedurer och inte säljs vidare. Och att om allt går fel, finns en oberoende myndighet du kan klaga till med konkret befogenhet att ingripa.

Licensierade vs. olicensierade operatörer — den enskilt viktigaste distinktionen

Här blir det skarpt. Skillnaden mellan en svensklicensierad Pay N Play-bookmaker och en olicensierad sajt som ser ut precis likadan kan vara osynlig på framsidan men är total i rättigheter och skydd. Och det är just den distinktionen som driver hela den pågående debatten om kanaliseringsgraden i Sverige.

Officiella siffror från Spelinspektionen visar att kanaliseringsgraden för online-betting hålls stabilt på 92 till 96 procent, medan online-casino bara når 72 till 82 procent. Det betyder att den absoluta majoriteten av svenska bettingspel sker på licensierade sajter, men en betydande minoritet hamnar utanför systemet. H2 Gambling Capital reviderade 2025 ner Sveriges totala kanaliseringsgrad till 72 procent från en tidigare uppskattning på 91 procent — en omtolkning som varit kontroversiell men som speglar svårigheten i att mäta exakt hur stor läckaget är.

Branschföreningen för Onlinespel (BOS), som företräder licensierade operatörer, har varit ännu mer kritisk. Baserat på ATG Web Traffic Study uppskattar BOS kanaliseringen för online-casino till bara 57 procent och för betting till 77 procent. Gustaf Hoffstedt, BOS:s generalsekreterare, har formulerat sig skarpt: med den här bedömningen bekräftar Spelinspektionen att Sveriges stora problem på spelmarknaden är online-casino, och det är oacceptabelt att omkring en fjärdedel av allt online-casinospel läcker ut från den licensierade marknaden.

Vad innebär det här för dig som spelare? Konkret det här: en olicensierad Pay N Play-sajt som ser ut svensk, accepterar svenska kronor och har svenskspråkigt gränssnitt har inget av de skydd som svensk licens innebär. Ingen segregerad kontohantering — tappar operatören pengarna, är dina förlorade. Ingen Spelpaus-kontroll — du kan inte stänga av dig från olicensierade sajter via det centrala registret. Ingen AML-skyldighet att skydda dig från eget destruktivt spel. Ingen GDPR-styrd dataskydd som du kan kräva att få insikt i. Och vinster beskattas potentiellt som kapitalinkomst med 30 procent om operatören ligger utanför EES.

BankID-blockering är ett synligt skydd mot olicensierade Pay N Play-försök. Trustly och de flesta andra PSD2-PISP:er accepterar inte att initiera transaktioner till operatörer utan EU-licens. Det är inte tekniskt nödvändigt — BankID i sig kan signera vad som helst — utan ett medvetet kompliansval. När du försöker sätta in pengar på en olicensierad sajt och flödet bryts vid bankgränssnittet, är det inte ett bug. Det är systemet som skyddar dig.

Dataskydd och GDPR — vad operatören får och inte får göra med dina uppgifter

Pay N Play involverar att din KYC-data flödar från banken via Trustly till operatören på sekunder. Det är en imponerande teknisk effektivitet, men det väcker rimliga frågor om vad som händer med datan. Här är GDPR och svensk dataskyddslag det avgörande regelverket.

Operatören får hämta och spara den data som krävs för att uppfylla sina lagliga skyldigheter — KYC, AML, spelarskydd, skattefrågor. Det betyder namn, personnummer, adress, ekonomiska indikatorer, och spel- och transaktionshistorik. Datan måste sparas minst fem år enligt penningtvättslagen, ofta längre på grund av Spelinspektionens egna krav. Detta gäller oavsett om du registrerade dig via Pay N Play eller traditionellt.

Operatören får inte sälja eller dela datan med tredje part för marknadsföringssyften utan ditt explicita samtycke. Det skydd som GDPR ger är reellt — företag som brutit mot det har fått böter på flera procent av sin omsättning från Integritetsskyddsmyndigheten. Du har också rätt att begära ut all data om dig själv, korrigera felaktigheter, och i begränsad omfattning begära radering (begränsat eftersom lagringskravet löper).

Sedan 1 maj 2024 är funktionen Secure Start obligatorisk för alla företag som använder BankID. Det innebär ett extra phishing-skydd där BankID-flödet inte kan startas av en attackerare på distans. För Pay N Play är det ett av de mest synliga säkerhetsförbättringarna under det senaste året — det har i princip eliminerat en hel klass av angrepp där bedragare lurar spelare att signera transaktioner mot fel sajter.

Det finns en intressant paradox att lyfta. Pay N Play är ”kontolöst” i upplevd mening men inte i juridisk. Operatören skapar och underhåller ett spelarkonto med all din KYC-data, även om du som spelare inte interagerar med det aktivt. Det betyder att GDPR gäller dig precis som vid traditionella konton — du har samma rättigheter, samma skydd. Skillnaden är bara att gränssnittet inte påminner dig om det dagligen.

AML och fraud prevention — det osynliga säkerhetsarbetet

Det här är området där Pay N Play visar sin verkliga säkerhetsstyrka. Trustlys siffror — 0,008 procent bedrägerinivå, 98,8 procent deposit success rate, 99,7 procent uttagsframgång — är resultat av en flerlags-säkerhetsarkitektur som arbetar i bakgrunden vid varje transaktion.

Det första lagret är banken själv. Innan transaktionen ens når Trustly har banken redan kört sina egna fraud-kontroller — är detta ett ovanligt mönster för kontot, är beloppet rimligt, är destinationsadressen klassad som hög risk. Banker har decennier av investeringar i fraud detection och dessa kontroller går igenom Pay N Play-flödet utan att du märker det.

Det andra lagret är Trustly. Trustly kör maskininlärningsmodeller mot transaktionsmönster, jämför mot kända riskprofiler och kan i realtid avbryta misstänkta flöden. På 30 plus marknader hanterar Trustly volym som ger dem kraftfulla mönsterdata att jobba med.

Det tredje lagret är operatören. Svensk-licensierade bookmakers kör egna AML-system som tittar på det enskilda spelarmönstret — plötsliga ökningar i depositer, mönster som tyder på matchfixning, transaktioner som matchar PEP- eller sanktionslistor. Vid större belopp triggas Enhanced Due Diligence (EDD), där spelaren kan bli ombedd att lämna ytterligare dokumentation om pengarnas ursprung.

Det fjärde lagret är Spelinspektionen, som granskar operatörernas AML-arbete genom regelbundna tillsyner. Hittar myndigheten brister blir det viten — och i värsta fall licensåterkallelse, som vi sett under 2025 års uppskruvade tillsynstakt med 49 procent fler tillsynsåtgärder och 64 procent som leder till sanktioner.

I praktiken triggas EDD oftare än spelare tror. Tröskeln ligger inte vid något fixerat belopp utan vid mönster — kumulativ deposit över tid, plötslig avvikelse från historiskt beteende, geografisk inkonsistens, eller transaktioner som i kombination med andra signaler ger förhöjd riskscore. Får du en EDD-förfrågan från en licensierad operatör är det inte misstro mot dig som person, utan en regulatorisk skyldighet operatören måste uppfylla. Att ignorera den leder till att kontot fryses tills dokumentationen kommit in. Lönespecifikation, deklaration eller utdrag från arbetsgivaren brukar räcka. Processen är obekväm men välbeprövad — och det är just den här typen av kontroller som gjort att svensk online-betting hamnar bland de mest reglerade marknaderna i Europa.

Den här flerlagsarkitekturen är faktiskt mer omfattande än hos många traditionella betalningsmetoder. Skillnaden mot exempelvis kortbetalningar är att Pay N Play hämtar verifierad bankdata vid varje transaktion, snarare än bara kortdata. Det gör att alternativa identitetsförsök, kortbedrägerier och account takeover-attacker har fundamentalt högre tröskel. Lägg till BankID-verifieringen vid sidan av — bara ID-handlingen räcker inte, det krävs aktiv autentisering med en enhet kopplad till just det personnumret — och man får ett system där den traditionella attackvektorn ”stulen kortdata” helt enkelt inte fungerar.

Obligatoriska spelarskyddsverktyg på licensierade sajter

Här är något som inte alltid kommuniceras tydligt: alla svenska licensierade Pay N Play-bookmakers är skyldiga att erbjuda samma spelarskyddsverktyg som traditionella sajter. Det finns ingen ”express-version” där tröskeln är lägre. Ramverket är likadant.

Den första obligatoriska komponenten är insättningsgränser. Du måste sätta gränser per dag, vecka och månad innan du kan sätta in pengar. Sänker du gränsen träder den i kraft omedelbart. Höjer du den kommer en lagstadgad cooling-off-period — typiskt 24 till 72 timmar — innan höjningen aktiveras. Det är en av de viktigaste skyddsbarriärerna mot impulsdriven hög-spend.

Den andra är tids- och förlustgränser. Operatören måste låta dig sätta dagliga maxtider och maxförluster. Verklighetscheck — påminnelser om hur länge du spelat och hur mycket du satt in — är obligatorisk på svenska licensierade sajter, oftast efter 60 minuters spel.

Den tredje är Spelpaus-koppling. Spelpaus är det nationella självavstängningsregistret som lanserades 1 januari 2019. I slutet av Q4 2025 hade ungefär 134 500 personer registrerat sig, och vid början av 2026 var siffran cirka 137 660. Det är ett betydande antal — för jämförelse har GAMSTOP i Storbritannien runt 600 000 registreringar och tyska OASIS runt 350 000. Camilla Rosenberg har lyft varför skyddet behövs särskilt vid mobil och snabb registrering: unga vuxna är en grupp som är särskilt sårbar, och genom kampanjer vill myndigheten nå dem vid rätt tidpunkt och ge dem verktyg att fatta välinformerade beslut om sitt spelande.

Hur Spelpaus interagerar med Pay N Play är värt att förstå. Är du registrerad i Spelpaus och försöker logga in på en licensierad Pay N Play-sajt, görs en realtidskontroll vid BankID-signaturen. Dina personnummer kollas mot registret, och är du där bryts flödet omedelbart. Det är ett av de mest robusta skyddsverktyg som finns i den svenska spelmarknaden — du kan inte komma runt det med hjälp av lösenordsåterställning eller liknande, eftersom det finns inget lösenord och kontrollen sker vid varje transaktion. Vill du fördjupa dig i Spelpaus-funktionaliteten kan jag rekommendera min separata genomgång av Spelpaus och Pay N Play betting.

Det fjärde är prevalensdata. Forskning visar att utbredningen av problem gambling (PGSI ≥ 3) bland vuxna svenskar har sjunkit från 2,2 procent 2008-09 till 1,3 procent 2021. Bland online-spelare har andelen problemspelare gått från 12 procent 2008-09 till cirka 4 procent 2018-2021. Det är förbättringar som speglar att regleringen fungerar — även om det fortfarande finns mycket att göra, särskilt bland unga vuxna där 31 000 personer mellan 18 och 25 år har skulder hos Kronofogden på över 1,9 miljarder kronor.

Sanktionssystem och konsekvenser vid regelbrott

Vad händer egentligen när en operatör bryter mot reglerna? Det är värt att vara konkret om sanktionssystemet eftersom det är där säkerheten testas i praktiken.

Spelinspektionens sanktionstrappa börjar med en kallelse — operatören måste förklara sig. Är förklaringen otillräcklig kan en varning utfärdas, vilket är offentligt och påverkar operatörens rykte. Är problemet allvarligare blir det en sanktionsavgift, som kan uppgå till 10 procent av operatörens omsättning. För en stor operatör är det hundratals miljoner kronor — verkligt avskräckande.

Den allvarligaste sanktionen är licensåterkallelse, vilket inneburit en handfull operatörer under 2024 och 2025. När licensen återkallas måste operatören upphöra med all svensk verksamhet, betala tillbaka alla pågående saldon till spelare, och hamnar på en blockeringslista. Cirka 64 procent av Spelinspektionens avslutade tillsynsärenden under 2025 ledde till någon form av sanktion, vilket är en hög träffsäkerhet och tyder på att myndigheten inte öppnar utredningar utan grund.

Det finns en intressant fråga om vad som händer med spelarens pengar vid licensåterkallelse. Eftersom operatören är skyldig att hålla spelarsaldon segregerade från sin egen rörelse, ska pengarna i princip vara säkrade. I praktiken har återbetalningen ibland försenats med veckor till månader, beroende på hur den indragna verksamheten avvecklas. Det är en risk värt att vara medveten om, och en av anledningarna till att jag rekommenderar att inte ha mer pengar liggande på spelkonton än man har i avsikt att spela för inom kort framtid.

Vad som faktiskt gör Pay N Play säker

Som avslutning vill jag sammanfatta vad som matematiskt gör Pay N Play-modellen säker när alla skikt fungerar. Det är inte en enskild teknik utan ett system som arbetar tillsammans.

BankID är fundamentet. 99,9 procent av svenskar mellan 18 och 67 år har BankID, och 7,5 miljarder användningar under 2024 har skapat infrastruktur som testats i extrem skala. Sedan 1 maj 2024 är Secure Start obligatorisk, vilket eliminerar en hel klass av phishing-attacker. För Pay N Play betyder det att autentiseringslagret är extremt robust — i princip alla angrepp som inte involverar fysisk åtkomst till spelarens enhet stoppas.

Trustlys gaming-vertikal med 0,008 procent bedrägerinivå är effekten av det fundament. Vasilije Lekovic, VP of Gaming på Trustly, har beskrivit varför arkitekturen är annorlunda: Pay N Play förenklar spelarens registrering och verifieringsprocess, erbjuder en sömlös upplevelse där spelaren börjar sin resa på en spelsajt genom att helt enkelt deponera med Trustly, samtidigt som verifierad KYC-data hämtas i bakgrunden från spelarens bankkonto och från externa dataleverantörer, och delas med operatören som sedan skapar ett verifierat spelarkonto. Den arkitekturen är fundamentalt säkrare än att förlita sig på spelaren att själv lämna in dokument.

Spelinspektionens tillsyn över alla licensierade operatörer skapar ett ekonomiskt incitament att inte slarva. När en operatör vet att 64 procent av tillsynerna leder till sanktioner och att avgifterna kan vara 10 procent av omsättningen, är det rationellt att investera i robusta system snarare än att försöka spara på dem.

GDPR och svensk dataskyddslag begränsar vad som får göras med din data, samtidigt som lagringskravet säkerställer att informationen finns kvar för revisioner och tvister. Det är en balans som inte alltid är perfekt — datalagring är aldrig idealt — men det är ett välutvecklat system jämfört med alternativen.

Spelpaus, insättningsgränser och verklighetscheck skyddar dig mot dig själv, vilket är den svåraste typen av säkerhet att bygga. Det är ett område där Sverige ligger i den europeiska framkanten, även om kanaliseringsdebatten visar att det finns mer att göra.

Sammantaget: Pay N Play på en svensk-licensierad sajt är inte bara säker — den är troligen en av de säkraste spelmodellerna som existerar i Europa idag. Modellen är inte ofelbar, och inget säkerhetssystem är, men de skikt som arbetar tillsammans har visat sig hålla under skala. Vad du som spelare ska göra är att hålla dig till den licensierade sidan av marknaden, använda spelarskyddsverktyg aktivt, och vara medveten om vad som händer med dina pengar och din data. Det är en mindre lista än många tror, och resten kan du i hög grad lita på att systemet hanterar.

Vad gör Spelinspektionen om en Pay N Play-operatör bryter mot reglerna?
Sanktionssystemet är trappstegsvis uppbyggt. Mindre brott leder till varning eller mindre vite. Allvarligare brott resulterar i sanktionsavgifter som kan uppgå till 10 procent av operatörens omsättning. De allvarligaste fallen leder till licensåterkallelse, vilket innebär att operatören måste upphöra med svensk verksamhet och betala tillbaka spelarsaldon. Under 2025 ökade Spelinspektionen sina tillsynsåtgärder med 49 procent år över år, och cirka 64 procent av avslutade ärenden ledde till någon form av sanktion.
Är min data säkrare på en Pay N Play-sajt än på en traditionell?
Ja, i flera avseenden. Pay N Play eliminerar lösenordsbaserad autentisering, vilket tar bort en hel klass av attacker som account takeover via komprometterad e-post. BankID med Secure Start (obligatorisk sedan 1 maj 2024) ger ett robust autentiseringslager. KYC-data hämtas verifierad direkt från banken i stället för att laddas upp som dokument som kan komprometteras. Allt detta gäller utöver de gemensamma skydd båda modeller har under GDPR och Spelinspektionens tillsyn — så Pay N Play adderar säkerhet snarare än subtraherar.
Vilka spelarskyddsverktyg är obligatoriska för en svenskt licensierad Pay N Play-bookmaker?
Insättningsgränser per dag, vecka och månad — sänkningar verkställs omedelbart, höjningar har lagstadgad cooling-off-period. Tids- och förlustgränser. Verklighetscheck-påminnelser, oftast efter 60 minuters spel. Realtidskoppling till Spelpaus, så att registrerade spelare blockeras vid BankID-signering. Möjlighet till sessionsstopp och självavstängning från enskild operatör. Alla dessa verktyg gäller identiskt för Pay N Play och traditionella konton — det finns ingen express-version med lägre tröskel.
Vad händer med mina pengar om en Pay N Play-operatör mister sin svenska licens?
Pengarna ska teoretiskt vara skyddade eftersom svensk-licensierade operatörer är skyldiga att hålla spelarsaldon segregerade från sin egen rörelsekapital. Vid licensåterkallelse är operatören skyldig att betala tillbaka aktuella saldon till spelare. I praktiken har avvecklingsprocesser ibland försenats med veckor till månader. Det är en risk värt att vara medveten om — och en av anledningarna till att inte ha större belopp liggande på spelkonton än vad du faktiskt avser spela för inom kort tid. Vid akuta problem kan du vända dig till Spelinspektionen som har befogenhet att övervaka avvecklingen.