Är 3D Secure obligatoriskt för alla kortköp?

Nej, 3D Secure är inte obligatoriskt vid alla kortköp men krävs vid de flesta köp över 30 EUR (cirka 350 kr) enligt PSD2. Köp under 30 EUR kan passera utan SCA upp till 5 gånger i rad, prenumerationsbetalningar med samma belopp är undantagna och köp hos betrodda mottagare som du sparat hos banken kräver inte SCA. Kortköp i fysisk butik med chip och PIN omfattas inte alls.

Måste jag ha BankID för att handla med kreditkort online?

Ja, i praktiken krävs BankID för de flesta kortköp över 350 kr på nätet i Sverige, eftersom det är den verifieringsmetod som svenska banker använder för 3D Secure. Vissa banker erbjuder alternativ som SMS-engångskoder eller bankens egna kortappar, men BankID är det vanligaste valet. Utan BankID kan du fortfarande handla men får ofta fler avbrutna köp på sajter med strikt SCA-policy.

Vad gör jag om butiken inte stödjer 3D Secure?

Om butiken inte stödjer 3D Secure kan kortet ändå fungera men risken för avslag är högre eftersom bankens riskanalys faller tillbaka på äldre logik. Lösningen är att antingen handla på annan sajt, använda PayPal eller en betallösning som Klarna som hanterar SCA mot dig som mellanled. På utländska sajter kan en VPN ibland hjälpa eftersom riskbedömningen är platsberoende.

Får banken neka köp utan att jag märker det?

Ja, banken kan neka ett kortköp baserat på riskanalys utan att kontakta dig, vanligen vid mycket avvikande belopp eller mönster. Du märker det genom att butiken visar "transaktionen nekades" och du får ofta en SMS-notis från banken. Vid felaktigt nekat köp kontaktar du banken via app eller telefon för att förklara situationen och försöka köpet igen.

Fungerar 3D Secure även när jag handlar utomlands?

Ja, 3D Secure fungerar globalt på alla butiker som stödjer protokollet, oavsett vilket land butiken eller kortinnehavaren är i. Verifieringen sker via samma BankID-app som i Sverige, så mobilen behöver bara internetuppkoppling via mobildata eller Wi-Fi. Vissa amerikanska och asiatiska butiker har dock äldre kassasystem som inte triggar 3D Secure, vilket kan leda till att köpet nekas av bankens riskanalys istället.

Kan jag stänga av 3D Secure på mitt kreditkort?

Nej, du kan inte stänga av 3D Secure helt eftersom det är ett PSD2-krav för alla kortutgivare i EU. Vissa banker erbjuder att markera betrodda mottagare där SCA hoppas över för framtida köp, vilket sparar tid på prenumerationer eller återkommande butiker. Att helt stänga av 3D Secure skulle bryta mot lagen och göra dig fullt ansvarig för bedrägeriförluster.

3D Secure 2026: BankID, kortköp online och säkerhet

3D Secure och hur det skyddar kreditkortsköp på nätet

Vad innebär 3D Secure för dig som kortinnehavare?

3D Secure är ett säkerhetsprotokoll utvecklat av Visa, Mastercard och American Express som verifierar att den som genomför ett kortköp på nätet faktiskt är kortinnehavaren och inte en bedragare med stulet kortnummer. Protokollet trädde först i kraft 2001 i version 3DS 1.0 och uppdaterades 2018 till 3DS 2.x som är den version som idag används vid 99 procent av alla kortköp i Sverige. Sedan PSD2 (Payment Services Directive 2) trädde i kraft i september 2019 är 3D Secure obligatoriskt på i princip alla kortköp över 30 EUR till svenska kunder, vilket motsvarar cirka 350 kr.

I praktiken märker du 3D Secure genom att din bank skickar en push-notis till BankID-appen eller bankens egen kortapp varje gång du genomför ett större köp på nätet. Du verifierar köpet genom att öppna appen, kontrollera beloppet och godkänna med fingeravtryck, ansiktsigenkänning eller PIN-kod. Hela processen tar 5 till 15 sekunder och fungerar oavsett vilken butik eller utgivare som ligger bakom kortet.

Vad är skillnaden mellan 3DS 1.0 och 3DS 2.x?

3DS 1.0 var den första versionen som användes mellan 2001 och 2018 och krävde att du skrev ett separat lösenord eller engångskod på en omdirigering från butiken till en bankuppskickad sida. Systemet fungerade men hade hög andel avbrutna köp eftersom användare ofta glömde sina koder eller upplevde processen som bristfällig på mobila enheter.

3DS 2.x är den nya version som infördes 2018 och tog över helt 2019 i samband med PSD2. Den nya versionen lägger ansvaret på bank och utgivare att samla in 100+ datapunkter (enhets-ID, IP-adress, köphistorik, geografisk position) och bara trigga aktiv verifiering när risken bedöms som hög. För användaren betyder det att hälften av alla köp passerar utan friction (frictionless flow) medan resten kräver BankID-godkännande på 5 till 15 sekunder.

Hur fungerar 3D Secure steg för steg vid ett kortköp?

3D Secure fungerar som ett extra steg i kortköpsflödet på nätet, där kortet, bankens utgivande system och betalningstjänsten utbyter krypterad data för att avgöra om köpet ska gå igenom direkt eller kräva extra verifiering. Hela flödet sker på 1 till 3 sekunder vid frictionless flow och 5 till 15 sekunder vid full verifiering.

Vad händer steg för steg vid ett 3D Secure-köp?

Vid ett 3D Secure-köp hanteras transaktionen i fem steg, från det att du klickar “betala” tills att butiken får godkännandet. Listan nedan visar hur de olika parterna kommunicerar.

Steg 1 - Butiken initierar köpet: Webbutiken skickar kortdata, belopp, valuta och teknisk information till sin betalningsleverantör (Adyen, Stripe, Klarna eller motsvarande), som vidarebefordrar till Mastercard- eller Visa-nätet.
Steg 2 - Kortnätet skickar till utgivaren: Mastercard eller Visa identifierar din utgivande bank baserat på de första 6 siffrorna i kortnumret och vidarebefordrar transaktionsdatan dit.
Steg 3 - Banken bedömer risken: Banken kombinerar 100+ datapunkter (din köphistorik, enhets-ID, IP, beloppsstorlek, butikens kategori) för att bedöma sannolikheten för bedrägeri. Vid låg risk godkänns köpet direkt utan verifiering.
Steg 4 - Stark kundautentisering vid behov: Vid hög risk skickas en push-notis till BankID eller bankens kortapp där du verifierar köpet med fingeravtryck, ansiktsigenkänning eller PIN. Verifieringen ska ske inom 5 minuter, annars avbryts köpet.
Steg 5 - Banken godkänner och butiken slutför: Efter verifiering returnerar banken ett godkännande till kortnätet, som vidarebefordrar till butiken. Du ser sidan “Tack för ditt köp” och butiken får en orderbekräftelse.

När triggas full verifiering kontra frictionless flow?

Full verifiering triggas vid fyra typer av transaktioner: köp över 30 EUR (cirka 350 kr), köp hos nya säljare där du inte handlat tidigare, hög riskscoring från bankens analysmotor och var femte transaktion oavsett belopp för att uppfylla PSD2-kravet på regelbunden SCA. Frictionless flow är resten, vilket utgör ungefär 50 till 60 procent av alla onlineköp i Sverige enligt Bankföreningens betalningsstatistik.

Praktiskt innebär det att du sällan stoppas vid små vardagsköp under 350 kr eller hos butiker du återbesöker, men nästan alltid vid större köp eller vid första besöket på en ny butik. Bankens analysmotor lär sig din profil över tid, så efter 6 till 12 månaders historik blir frictionless flow vanligare.

Vad skyddar 3D Secure mot vid kortbedrägeri online?

3D Secure skyddar dig på fyra konkreta sätt vid kortköp på nätet, och samtliga är baserade på betalningstjänstlagens krav på stark kundautentisering. Det viktigaste skyddet är att obehöriga köp som genomförs trots 3D Secure ofta täcks av kortutgivaren utan självrisk, eftersom bedrägeriet då skett trots korrekt verifiering.

Skydd mot stulna kortuppgifter

3D Secure skyddar dig mot bedragare som fått tag på ditt kortnummer, utgångsdatum och CVC-kod via phishing eller dataintrång hos en näthandlare. Bedragaren kan ha alla kortdata men kan inte godkänna ett köp utan att också ha tillgång till din BankID-app, vilket kräver fysisk åtkomst till din mobiltelefon plus din PIN-kod. Sedan 3DS 2.x infördes har bedrägerier på svenska kreditkort online minskat med 60 till 70 procent enligt branschstatistik.

För dig som kortinnehavare betyder det att du kan känna dig trygg med att handla på okända butiker så länge köpet kräver BankID-verifiering. Vid full verifiering är ansvaret för bedrägeri formellt på utgivaren snarare än dig, eftersom verifieringen är beviset att kortinnehavaren godkänt köpet.

Skydd vid bedrägerier som kringgår 3D Secure

Bedrägerier som kringgår 3D Secure (exempelvis genom att lura dig att själv godkänna ett köp via social engineering eller falska BankID-prompter) är fortfarande täckta av betalningstjänstlagens regler om obehöriga köp. Din maximala självrisk är 400 kr om du följt aktsamhetskraven, eller 0 kr om kortet redan var spärrat. Resten täcks av utgivaren.

För att minska risken ytterligare ska du aldrig godkänna en BankID-prompt om du inte själv aktivt initierat ett köp samma sekund. Bedragare ringer ofta upp och ber dig “godkänna” en prompt för att “verifiera identiteten” - det är alltid bedrägeri och ska anmälas till banken och polisen direkt.

Är 3D Secure aktiverat på alla svenska kreditkort?

Alla svenska kreditkort har 3D Secure aktiverat som standard sedan 2019, eftersom protokollet är ett krav under PSD2 för alla kortutgivare i EU. Det finns inget kreditkort på den svenska marknaden där du som kortinnehavare aktivt måste aktivera 3D Secure - det sker automatiskt vid kortets utfärdande och kopplas till ditt BankID.

För dig betyder det att alla utgivare från klassiska bankkort till premiumkort fungerar likadant ur 3D Secure-perspektiv: du verifierar via BankID eller bankens egen kortapp vid de flesta köp över 350 kr. Större utgivare som Swedbank, Handelsbanken, SEB och Nordea använder vanligen sina egna appar för verifiering, medan kreditmarknadsbolag som Bank Norwegian kreditkort, Resurs Classic och Coop Mastercard oftast hänvisar direkt till BankID-appen. På den svenska marknaden använder samtliga 30+ utgivare bland alla kreditkort samma 3DS 2.x-protokoll, men verifieringsflödet skiljer sig åt eftersom storbankerna har egna app-flöden medan kreditmarknadsbolagen genomgående använder Mobilt BankID. Korrekt fungerande 3D Secure förutsätter att standardkraven är uppfyllda: kortet måste vara aktiverat, kopplat till svenskt personnummer och ha en registrerad mobil för push-notiser.

Hur aktiverar du 3D Secure på din mobil och kort?

För att 3D Secure ska fungera smidigt vid kortköp på nätet behöver du fyra saker: ett aktivt BankID på mobil, kortet kopplat till samma personnummer som BankID, en bankapp eller kortapp som tar emot push-notiser och en stabil internetanslutning. Listan nedan visar de fyra konkreta stegen för att säkerställa att 3D Secure fungerar utan friction.

Aktivera mobilt BankID i förväg: Ladda ner BankID-appen från Apple Store eller Google Play, beställ ett mobilt BankID via din internetbank eller på BankID:s webbplats. Aktiveringen tar 5 till 10 minuter och är gratis.
Verifiera att kortet är registrerat på rätt personnummer: Kontrollera i din kortutgivares app att kortet är kopplat till ditt personnummer. Utländska kort eller kort utgivna i annan persons namn kan inte verifieras via svenskt BankID.
Tillåt push-notiser från bankens app: I din mobils inställningar ska bankens app eller kortapp ha tillstånd att skicka push-notiser och köra i bakgrunden. Annars kan du missa notisen och köpet avbryts.
Ha mobilen med internet vid kortköp på dator: Om du handlar på dator behöver mobilen vara på och kopplad till internet (Wi-Fi eller mobildata) för att BankID-prompten ska kunna skickas och godkännas i realtid.

Vad gör du om 3D Secure inte fungerar?

Om 3D Secure inte fungerar finns fyra vanliga felorsaker att kontrollera: utgånget BankID, mobilen är offline, butiken stödjer inte 3DS 2.x eller du har för många misslyckade försök. Felen visar sig som “transaktionen avbröts”, “verifieringen misslyckades” eller att butikens betalningssida bara hänger.

Vid utgånget BankID förnyar du via internetbanken eller på BankID.com, vilket tar 5 till 10 minuter. Vid offline-mobil kontrollerar du Wi-Fi/mobildata och försöker igen. Vid butiker som inte stödjer 3DS 2.x (mest vanligt på äldre utländska sajter) är lösningen att handla på en annan sajt eller använda PayPal som mellanled. Vid för många misslyckade försök kan kortet spärras tillfälligt och du behöver kontakta utgivaren.

Vad gör du om någon godkänner ett köp utan ditt tillstånd?

Om någon obehörigen godkänt en transaktion via 3D Secure (exempelvis genom att stulit din mobil och kort plus PIN) ska du agera i tre steg: spärra kortet omedelbart, anmäla bedrägeriet till banken och polisanmäla. Trots att 3D Secure är ett starkt skydd kan det missbrukas vid stulna mobiler, social engineering eller om du själv lurats att godkänna en prompt.

För det första ska du spärra kortet via bankens app eller 24-timmarstelefon, vilket stoppar alla framtida transaktioner. För det andra anmäler du de obehöriga köpen som obehörig transaktion enligt betalningstjänstlagen, vilket ger dig rätt till återbetalning inom 1 till 10 arbetsdagar. För det tredje gör du polisanmälan, vilket är ett krav för bedrägeriförsäkringen och för bankens utredning.

Modernt skimningsskydd bygger på EMV-chipets dynamiska transaktionssignatur och har minskat fysisk skimning med över 90 procent sedan 2010, men online-bedrägerier täcks istället av 3D Secure. Enligt betalningstjänstlagen §41 är max självrisk 400 kr vid normal aktsamhet och 0 kr om bedragaren kringgått skyddsmekanismerna eller om kortet redan var spärrat.