Startsida Teknologi QR-koden som tömmer banken: Polisen varnar för ny BankID-fälla

QR-koden som tömmer banken: Polisen varnar för ny BankID-fälla

QR-koden som tömmer banken: Polisen varnar för ny BankID-fälla
Levererat av Teksajten

Bedragare använder QR-koder för att lura svenskar att signera bort tillgång till bankkontot.

Metoden går under namnet quishing och har vuxit snabbt under vintern och våren 2026. Polisen rapporterar ett ökande antal anmälningar, och bankerna går ut med skarpa varningar om att kombinationen QR-kod plus BankID-signering blivit ett av de mest effektiva sätten att tömma vanliga kontoinnehavare på pengar.

Polisen i Polisregion Nord fick på två veckor in omkring 40 anmälningar om SMS- och telefonbedrägerier, enligt en varning från Polismyndigheten i januari 2026. Många av offren beskriver samma upplägg: en kontakt som leder till att de ”vilseleds att använda sitt BankID eller utföra ekonomiska transaktioner”.

Quishing – så fungerar fällan

Quishing är en sammansättning av QR-kod och phishing, alltså nätfiske via QR-kod. Swedbank beskriver det som ”en kombination av orden QRcode och fishing”, där falska koder leder offret till en sida som ser legitim ut men som i själva verket startar en BankID-signering, en betalningsbegäran eller en inloggning hos bedragaren.

Den fysiska varianten är vanlig vid parkeringsautomater, insamlingsbössor och restaurangbord, där bedragare klistrar en egen kod över den riktiga. Den digitala varianten landar i mejl eller SMS som påstås komma från Swish, en bank eller en myndighet, och uppmanar mottagaren att skanna en kod för att ”ta emot en betalning” eller ”verifiera sitt konto”.

Jan Olsson, kriminalkommissarie vid polisens nationella it-brottscentrum, är direkt i sin bedömning. ”QR-koder är jättebra att använda för bedragarna”, säger han till SVT. ”Det kallas ’quishing’ och är så enkelt att man skapar en QR-kod som leder till den kriminelle, inte till vad personen som skannar den tror.”

Läs alltid BankID-prompten innan du signerar

Den avgörande skillnaden mellan att förlora några hundralappar och att förlora hela sparkontot ligger i vad som står i BankID-appen i den sekund du ska trycka på ”Skriv under”. Texten där visar exakt vad du legitimerar dig för. Står det ”Logga in hos bank” när du trodde att du skulle ta emot en Swish-betalning, ska du avbryta direkt.

Swedbank uppmanar konsekvent kunder att granska signeringstexten och att ”scanna bara QR-koder från företag och organisationer du känner till”. Banken har också ett kategoriskt råd för den som redan klickat på en länk som känns fel: ”Använd aldrig e-legitimation, som BankID eller säkerhetsdosa, om du råkat klicka på en misstänkt länk.”

I praktiken innebär det tre kontroller varje gång en QR-kod är inblandad. Kommer koden från en avsändare du själv tagit kontakt med? Stämmer texten i BankID med den åtgärd du tror att du utför? Är beloppet och mottagaren det du förväntar dig? Faller någon av kontrollerna, avbryt.

Vad gör du om du redan har skannat

Den första åtgärden är att kontakta banken direkt och spärra kort, konton och eventuella betaltjänster. Vänta inte till nästa dag. Även mindre belopp kan vara förebud till större överföringar när bedragaren väl har en aktiv session.

Därefter gör du en polisanmälan på 114 14 eller via polisen.se. Spara skärmdumpar av QR-koden, eventuella SMS och BankID-historiken i appen — det är den dokumentation polisen och banken behöver för att kunna spåra och i vissa fall återföra pengar.

Slutligen: byt lösenord på e-post, internetbank och andra tjänster där bedragaren kan ha fått fotfäste, och var beredd på att det telefonnummer eller den mejladress du fick kontakt via kan användas igen senare.

Ads by MGDK