Anna LindgrenI mars 2026 bekräftade säkerhetsforskare att hackergruppen ByteToBreach hade brutit sig in hos CGI Sweden — det företag som driver BankID-plattformen. Källkod, autentiseringsuppgifter och data som rör hur 8,5 miljoner svenska användare loggar in på banker, myndigheter och e-tjänster läckte ut på internet.
Incidenten är den allvarligaste mot den svenska digitala infrastrukturen på år och dag. Och konsekvenserna är inte bara tekniska — de rör direkt din vardagliga digitala säkerhet.
Vad läckte egentligen?
Intrånget avslöjades i mars 2026 — och de stulna uppgifterna innehöll:
- Källkod till BankID-systemets autentiseringsflöde
- Autentiseringsuppgifter som kan avslöja hur systemet verifierar identiteter
- Intern dokumentation om hur statliga tjänster integrerar med BankID
Det innebär att angripare i teorin kan förstå exakt hur BankID fungerar inifrån — och konstruera mer övertygande bedrägerimetoder mot användare.
Regeringen planerar att lansera Sverige-ID den 1 december 2026 som ett statligt alternativ till BankID. Men fram tills dess är BankID den primära e-legitimationen för de allra flesta.
De vanligaste attackerna du måste känna till nu
Bedrägerier kopplade till BankID har ökat kraftigt under de senaste åren. Tre varianter är särskilt vanliga:
1. Vishing (telefon-phishing) En bedragare ringer och utgiver sig för att vara bankpersonal, polisen eller Skatteverket. Du uppmanas att "bekräfta din identitet" med BankID. Men koden du slår in godkänner i stället skapandet av ett nytt BankID på bedragarens enhet.
2. Falska BankID-uppdateringar Användare lockas till fejkade webbplatser eller appar med meddelandet att deras BankID behöver uppdateras. Appen samlar in identitetsuppgifter.
3. Nätfiske via SMS Meddelanden som ser ut att komma från Swedbank, SEB eller Handelsbanken skickas med en länk till en falsk inloggningssida. Syftet är att komma åt dina uppgifter.
Enligt BankIDs officiella säkerhetsinformation ber BankID aldrig dig att använda tjänsten på uppmaning av någon annan — varken bank, polis eller myndighet. Det är den viktigaste regeln att komma ihåg.
Vad ska du göra nu?
Cybersäkerhetsexperter rekommenderar att du vidtar dessa åtgärder omedelbart efter intrånget:
Kontrollera ditt BankID Logga in på din banks app och kontrollera vilka enheter som är registrerade med ditt BankID. Finns det enheter du inte känner igen — kontakta banken direkt.
Uppdatera din enhet och app Äldre operativsystem erbjuder inte tillräckligt skydd mot moderna bedrägerimetoder. Säkerställ att din mobil kör senaste iOS eller Android, och att BankID-appen är uppdaterad. Tekniksmart rapporterar att BankID 2026 kräver nyare systemversioner för att fortsätta fungera.
Aktivera extra säkerhet Lägg till en extra PIN-kod eller biometrisk autentisering i din banks app. Aktivera SMS-notiser vid inloggning om din bank erbjuder det.
Var skeptisk mot oväntade kontakter Ingen legitim aktör — inte ens Skatteverket eller polisen — behöver att du visar upp BankID på deras begäran via telefon eller SMS.
När behöver du hjälp av en IT-specialist?
De flesta användare klarar att skydda sig med grundläggande åtgärder. Men om du driver ett företag, hanterar känsliga kunddata eller misstänker att din digitala identitet redan har komprometterats — räcker det inte med att bara uppdatera appen.
En IT-säkerhetsspecialist kan:
- Genomföra en säkerhetsanalys av ditt företags BankID-integration
- Identifiera om obehöriga har haft åtkomst till system kopplade till din identitet
- Implementera flerfaktorsautentisering och extra säkerhetslager
- Utbilda anställda att känna igen phishing och vishing
Se även: Telia-intrånget 2026: hur skyddar ditt företag sin data? och Ransomware mot Svenska kraftnät: hur skyddar ditt företag sig?
Vad säger myndigheterna?
Polisen och Finansinspektionen har inte gått ut med specifika varningar för intrånget hos CGI Sweden i skrivande stund. Men Polismyndighetens övergripande råd är tydliga: anmäl alla misstänkta bedrägerier och kontakta din bank omedelbart om du misstänker att ditt BankID har missbrukats.
Finansinspektionen reglerar hur banker ska hantera identitetsbedrägerier — om din bank inte agerar tillräckligt snabbt, kan du klaga till Finansinspektionen eller Allmänna reklamationsnämnden (ARN).
För konsumentfrågor om digitala identitetstjänster kan du även vända dig till Konsumentverket.
Vad innebär Sverige-ID för framtiden?
Sverige-ID är det statliga e-legitimationsprojektet som planeras att lanseras den 1 december 2026. Till skillnad från BankID — som ägs av ett konsortium av svenska banker — är Sverige-ID en statlig lösning som ska finnas tillgänglig för alla svenska medborgare och permanent bosatta i Sverige.
Syftet är att minska landets beroende av ett enda privat system. Men Sveriges-ID löser inte det omedelbara problemet: BankID förblir standardlösningen i minst åtta månader till, och det är under denna period som risken från intrånget är som störst.
Framåt: din digitala säkerhet är ditt ansvar
Intrånget har satt fart på den politiska debatten kring Sveriges digitala identitetsinfrastruktur. Men oavsett vad som händer på politisk nivå är budskapet tydligt: din digitala säkerhet är ditt ansvar. Intrånget hos CGI Sweden visade hur sårbar den infrastruktur vi förlitar oss på varje dag faktiskt är.
Ta de enkla stegen nu. Och om du driver ett företag som hanterar känslig data — boka en konsultation med en IT-säkerhetsexpert innan nästa incident inträffar.
Disclaimer: Denna artikel är informativ och ersätter inte professionell IT-säkerhetsrådgivning. Om du misstänker att din identitet har utnyttjats, kontakta din bank och polisen (polisen.se) omedelbart.
