Sikkerhedsniveauet bag Trustly: bank-grade kryptering og PSD2 i praksis
Loading...
“Bank-grade” er mere end et marketingord
Ordet “bank-grade” bruges så ofte i fintech-marketing, at det har mistet det meste af sin betydning. Når jeg første gang gravede ned i, hvad det reelt indebærer for Trustly, blev jeg overrasket — det er ikke en abstrakt label, men et konkret sæt tekniske og regulatoriske krav, der gælder for hver enkelt transaktion. PSD2-direktivet, Strong Customer Authentication, TLS-kryptering på transportlaget, segregerede databaser, AML-overvågning i realtid. Alle de elementer er ikke valgfrie — de er obligatoriske for, at Trustly overhovedet må operere som betalingsinstitution.
For dig som spiller hos en dansk bookmaker betyder det, at sikkerhedsniveauet på en Trustly-overførsel er fundamentalt anderledes end f.eks. en kreditkortbetaling. Det er ikke et tilvalg eller et premium-feature — det er hele setuppets udgangspunkt. I denne gennemgang ser jeg på, hvad PSD2 reelt kræver, hvordan SCA fungerer i praksis, hvilke data Trustly aldrig deler med bookmakeren, og hvor tæt sikkerhedsniveauet er på din egen bank.
Det er en teknisk gennemgang, men jeg holder det praktisk. Du skal ikke være sikkerhedsspecialist for at forstå mekanikken — du skal bare vide nok til at træffe oplyste valg om, hvordan du bruger metoden.
PSD2-rammen i EU
PSD2, eller Payment Services Directive 2, blev vedtaget af EU i 2015 og fuldt implementeret i 2018. Det er den lovgivningsmæssige ramme, der definerer, hvordan betalingstjenester må operere på det europæiske marked, og det er rammen, Trustly opererer under. Direktivet har tre primære mål: øge konkurrencen i betalingsmarkedet, beskytte forbrugerne og standardisere sikkerhedskrav på tværs af EU.
For Trustly betyder PSD2 helt konkret to ting. Først skal Trustly være licenseret som Account Information Service Provider (AISP) eller Payment Initiation Service Provider (PISP) i hvert EU-land, hvor virksomheden opererer. I praksis er Trustly licenseret bredt, herunder under svensk Finansinspektionen som hjemland-myndighed. Sværvægten af det danske marked følger direkte af PSD2-rammen og det åbne banking-passport, der gælder mellem EU-landene.
For dig som forbruger betyder PSD2, at du har en række lovbestemte rettigheder, der tidligere ikke var tydeligt formuleret. Du har ret til at kende vekselkurser før transaktion, ret til hurtig genoprettelse ved uautoriseret betaling og ret til at få information om alle gebyrer, der er knyttet til transaktionen. De rettigheder gælder uanset, om du laver Trustly-overførslen til en bookmaker eller til en webshop.
Trustlys globale skala — over 9.000 merchants, 650+ millioner forbrugere via 12.000 banker i 30+ markeder, og en samlet TPV på 1.059 milliarder SEK i 2025 — er bygget oven på PSD2-rammen. Den skala er ikke trivielt opnåelig uden den rammelovgivning.
Strong Customer Authentication i praksis
Strong Customer Authentication, eller SCA, er kernen i PSD2’s sikkerhedskrav. Princippet er, at hver elektronisk betaling skal godkendes med mindst to af tre faktorer: noget du ved (kodeord, PIN), noget du har (telefon, fysisk enhed) og noget du er (fingeraftryk, ansigtsgenkendelse).
I dansk Trustly-flow opfyldes SCA gennem MitID. MitID-app godkendelsen kombinerer typisk noget du har (telefonen) med noget du er (biometri) eller noget du ved (PIN). MitID kodeviser kombinerer noget du har (kodeviseren) med noget du ved (kodeviser-PIN). Begge varianter opfylder SCA-kravet, men app-flowet er hurtigere og mere brugervenligt.
Et område, hvor mange spillere undervurderer SCA’s betydning, er beskyttelsen mod identitetstyveri. Selv hvis nogen får fat i dit netbank-kodeord eller din e-mail og kodeord til bookmaker-kontoen, kan de ikke gennemføre en Trustly-betaling uden adgang til din MitID-godkendelse. Det er en betydelig højere barriere end en simpel single-faktor login.
Sammenlignet med kortbetaling, hvor du i visse tilfælde stadig kan godkende med blot CVV-kode (som står trykt på kortet og ikke beskytter mod fysisk tyveri), er SCA et reelt løft. Det er én af grundene til, at Trustly i de seneste år er vokset markant i Pay by Bank-segmentet — den underliggende sikkerhedsarkitektur er stærkere end ældre betalingsmetoder.
TLS-kryptering og data i transit
Når dine data sendes mellem din browser, Trustlys servere og din banks systemer, sker det over TLS (Transport Layer Security) i den nyeste version. Det er den samme krypteringsstandard, der bruges af banker, sundhedssystemer og myndigheder til følsom kommunikation.
I praksis betyder det, at selv hvis nogen forsøger at aflytte din netværkstrafik (f.eks. på et offentligt WiFi), kan de ikke afkode indholdet uden adgang til de kryptografiske nøgler, som kun er kendt af den specifikke session mellem dig og Trustlys server. Det er ikke teoretisk umuligt at bryde, men det kræver computational ressourcer, der ligger uden for, hvad almindelige svindlere har til rådighed.
Et område, der ofte misforstås, er hvad TLS ikke beskytter mod. Hvis din enhed selv er kompromitteret — f.eks. med en keylogger eller fjernstyringssoftware — er TLS irrelevant, fordi den ondsindede software kan se dine handlinger, før de overhovedet bliver krypteret. Det er en god grund til at sørge for, at din computer eller telefon er opdateret og har antivirus-beskyttelse.
Sammenlignet med kreditkortbetaling, hvor følsomme data (kortnummer, CVV) skal sendes til merchanten, har Trustly en strukturel fordel: dine bankoplysninger forlader aldrig din egen banks domæne. Trustly fungerer som en orchestrator, der instruerer din bank om at lave overførslen, men de underliggende kontoinformationer holdes inden for bankens sikre miljø.
Hvad Trustly aldrig deler med bookmakeren
Det her er et af de punkter, jeg synes er mest undervurderet i den almindelige forståelse af Trustly. Når du laver en betaling via Trustly til en bookmaker, modtager bookmakeren kun den minimale information, der er nødvendig for at kreditere din spilkonto: dit navn, din e-mail (hvis bekræftet), beløbet og en transaktionsreference.
Bookmakeren ser aldrig dit kontonummer, dine login-credentials til netbank, din PIN, dit kodeord eller noget MitID-relateret. Den slags følsomme data forbliver i bankens domæne og deles aldrig — hverken med Trustly eller med bookmakeren. Trustly fungerer som en “sikker kanal”, der gennemfører transaktionen uden at eksponere dine kontooplysninger.
Det er en strukturel fordel, der adskiller Trustly fra ældre metoder, hvor enten kortdata eller kontodata reelt skulle videregives til merchanten. I praksis betyder det, at hvis bookmakeren senere bliver hacket eller får sin database kompromitteret, har angriberne ingen mulighed for at lave fremtidige Trustly-betalinger fra din konto. De har simpelthen ikke de data, der skulle bruges.
For at sætte det perspektiv: i 2022 udstedte den svenske Finansinspektionen en bøde på 130 mio. SEK til Trustly for utilstrækkelige AML-procedurer. Den episode pegede på, at selv en stor velreguleret aktør kan have huller i sit setup, og det førte til markante stramninger. I 2026 er compliance-procedurerne væsentligt strammere end i 2021, og det mærker du som spiller, når du laver større udbetalinger med dokumentationskrav.
For en bredere gennemgang af, hvordan AML-procedurer fungerer ved store Trustly-væddemål — herunder hvilken dokumentation der kræves og ved hvilke beløbsgrænser tjekket aktiveres — ser jeg dybere på det i en separat artikel om AML-tjek ved store Trustly-væddemål.
Hvilke data deler Trustly med bookmakeren?
Trustly deler kun den minimale information, der kræves for at kreditere din konto: navn, e-mail og transaktionsbeløb. Bankoplysninger som kontonummer, login-credentials og MitID-data forbliver i bankens domæne og deles aldrig med bookmakeren.
Hvad er forskellen på SCA og to-faktor i bankappen?
Strong Customer Authentication er det regulatoriske krav, der står bag, og det kræver kombination af mindst to af tre faktorer: noget du ved, noget du har, og noget du er. To-faktor-godkendelse i bankappen er én konkret implementering af SCA, men SCA er den bredere ramme defineret i PSD2-direktivet.
Skabt af redaktionen på ”Trustly Væddemål”.
