När min yngsta dotter fick en leksakskassaapparat i julas ingick det både kontanter och betalkort. Det sistnämnda ser hon oss föräldrar använda varje gång vi handlar. Fysiska pengar, däremot, letas på sin höjd fram när tandfen ska belöna hennes storasyskon.
I detta avseende är jag och min familj nog ganska representativa för Sveriges befolkning i stort. Kort- och Swishtransaktionerna ökar i antal och värde. Mängden kontanter i omlopp har däremot halverats sedan toppen kring 114 miljarder i slutet av 2007. Då, för 15–20 år sedan, när jag som doktorand studerade hur bankerna arbetade med att hålla uttagsautomater tillgängliga så gott som dygnet runt, året runt, var det ingen som tvivlade på att detta var en samhällsviktig infrastruktur. I dag är det ett långt mer synligt problem om systemen för kortbetalningar eller Swish drabbas av storskaliga avbrott än om uttagsautomaterna gör det.
I mångt och mycket är denna utveckling av godo. Minskad kontantanvändning minskar riskerna för rån mot banker, butiker och värdetransporter. Att inte behöva frakta runt stora mängder fysiska pengar minskar utsläpp och sparar resurser. Fler elektroniska transaktioner underlättar korrekt bokföring och försvårar för den svarta ekonomin.
Samtidigt uppstår nya sårbarheter i samhället. Vad händer vid storskaliga och långvariga störningar i kortbetalningssystemen eller i Swish? Att rätt hantera dessa risker är komplext eftersom många intressenter är inblandade och ingen enskild åtgärd garanterar någon fullständig lösning.
På samma sätt som det är klokt att ha kontanter hemma är det klokt att ha ett Visakort från en bank, ett Mastercard från en annan och möjlighet att använda Swish.
Ett litet strå kan vi dra till stacken som privatpersoner. Hushållen uppmanas av Riksbanken och Myndigheten för civilt försvar att ha kontanter hemma för minst en vecka. Det är en klok åtgärd. Även om det är lätt att tänka sig situationer där det inte hjälper så är det också lätt att tänka sig situationer där det faktiskt fungerar. Poängen är att inte lägga alla ägg i samma korg. På samma sätt som det är klokt att ha kontanter hemma är det klokt att ha ett Visakort från en bank, ett Mastercard från en annan och möjlighet att använda Swish. Under normala omständigheter ökar sådan redundans sannolikheten att det går att betala markant.
Det är ingen naturlag att samhället under onormala omständigheter – kris och krig – måste övergå till kontanter. Många av fördelarna med elektroniska betalningar gäller även då. Erfarenheterna från Ukraina visar att det är möjligt att hålla betalsystemen i gång även i krig. Det händer emellertid inte av sig självt. Tvärtom ställer det krav på att näringsliv, myndigheter och privatpersoner kan agera tillsammans – på att vi har tänkt efter och övat i förväg.
Det främsta exemplet på ett sådant initiativ är troligen forskningsprojektet Om betalsystemet kraschar, som genomfördes för några år sedan under ledning av Joeri van Laere från Högskolan i Skövde. Med hjälp av rollspel och datorsimuleringar fick representanter för näringsliv och myndigheter öva sitt agerande och vidga sitt tänkande i ett scenario där kortbetalningarna stannar i tio dygn.
Totalt genomfördes 16 spel i 14 av landets län. Lärdomarna är väl värda att ta till sig.
Vad händer när butikerna inte kan ta emot kortbetalningar? Givet att det bara är just kortbetalningarna som inte fungerar hänvisar de till Swish eller kontanter. Det fungerar ett tag, men kontanthantering kräver välfungerande och säker logistik. Plötsligt ökad efterfrågan kan leda till brist på ackrediterade förare, värdetransportkassetter och värdetransportbilar, så att cirkulationen slutar att fungera – det blir fullt i butikerna och tomt i bankomaterna.
Den digitala infrastruktur som Swish bygger på har bättre förutsättningar att skala upp, men är inte heller den garanterat störningsfri. En viktig aspekt är de följdeffekter som sprider sig likt ringar på vattnet. En störning i betalsystemet leder snabbt till att både privatpersoner och åkerier får problem med att betala för drivmedel. Då dröjer det inte länge förrän hyllorna gapar tomma i butikerna. Det kan i sin tur utlösa hamstringsbeteende. Samspelet mellan alla dessa faktorer gör att systemet snabbt kan svänga mellan olika tillstånd – ena dagen köer och hamstring, nästa dag osålda färskvaror som går till spillo. Att alla inblandade aktörer lyckas tala med varandra och gemensamt kommunicera med allmänheten är avgörande för en framgångsrik krishantering.
Det är också viktigt att förstå att moderna betalsystem inte bara handlar om att överföra pengar, utan minst lika mycket om bokföring. Om transaktionen inte bokförs automatiskt måste den i stället bokföras manuellt. Kan varor kvitteras ut mot kontanter? Mot en nedskriven skuldsedel och ett löfte? Det är inte självklart. När Coops kassasystem låg nere till följd av utpressningsvirus sommaren 2021 var det denna bokföringsproblematik som gjorde att butikerna inte kunde ta emot kontanter utan helt enkelt fick stänga.
Det är inte bara konsumenters betalningar i butiker som är känsliga. Sett till belopp sker de största transaktionerna inte över disk, utan som gireringar av löner och fakturabetalningar. I de allra flesta verksamheter sker det i dag via stödsystem som köps som it-tjänster från externa leverantörer.
Den ekonomiska logiken är tydlig: fokusera på kärnverksamheten och köp resten från dem som gör det bäst. De allra flesta verksamheter får också mycket bättre och säkrare stödsystem genom att köpa dem från andra. Men ibland går det fel. När it-leverantören Tieto Evry i januari 2024 drabbades av ett angrepp kunde 120 statliga myndigheter plötsligt inte använda sina HR-system. Att betalningsuppdragen för januarilönerna redan hade hunnit i väg när systemen blev otillgängliga var ren tur.
Detta speglar att företag och myndigheter när de köper tjänster inte tar tillräckligt ansvar för att ställa rätt krav på sina leverantörer. Jag och min forskarkollega Joakim Wernberg har i en studie visat att det bland svenska företag med fler än 250 anställda bara är drygt 40 procent som får cybersäkerhetskrav från sina kunder och knappt 40 procent som själva ställer krav vidare i värdekedjan. Bland de små företagen, med upp till nio anställda, är motsvarande siffror drygt 10 respektive knappt 5 procent. Här måste alla verksamheter som köper it-tjänster bli mycket bättre.
Samtidigt finns det gränser för hur stort gehör man som enskild beställare kan få för sina krav. Ibland krävs det kollektiva insatser. En intressant aktör här är försäkringsbolagen. De har en lång tradition av skadeförebyggande arbete – lägre premier för bra larm och lås, utplacering av livbojar och så vidare. Över hundra tusen svenska företag har i dag cyberförsäkringar. Tänk om ett försäkringsbolag aktivt identifierade grupper av försäkrade som alla är beroende av ett och samma system hos någon extern leverantör. Försäkringsgivaren skulle kunna approchera leverantören å hela försäkringskollektivets vägnar med krav på säkerhetsåtgärder, stresstester och alternativa lösningar med en helt annan tyngd än de enskilda kunderna. Det är en spännande tanke, både som affärsutveckling och som bidrag till hela samhällets motståndskraft.
Men inte heller kollektiva kravlistor kan lösa allt, oavsett om de kommer från ett försäkringsbolag eller från lagstiftaren i form av EU:s NIS2-direktiv, som under namnet cybersäkerhetslagen trädde i kraft den 15 januari. Även den bäst förberedda verksamheten drabbas förr eller senare av störningar till följd av olyckshändelser, misstag eller angrepp. Då är den sista försvarslinjen snarare riskspridning.
Coopexemplet är upplysande. Det som hade varit en stor katastrof för hela samhället på en monopolmarknad blev mycket mer hanterbart tack vare konkurrenssituationen. För de allra flesta fanns det andra butiker – Ica, Hemköp, Willys, Lidl – där det gick att handla i stället. Tänk om det hade varit mer konkurrens på marknaden för statliga myndigheters HR-system. Då hade inte 120 myndigheter drabbats samtidigt när Tietoevry angreps i januari 2024. Eller mer konkurrens på marknaden för system för hantering av arbetsskador och tillbud. Då hade inte 200 kommuner och regioner drabbats samtidigt när leverantören Miljödata angreps i augusti 2025.
I mars gick regeringen fram med en proposition om nya regler som ska ge Konkurrensverket större befogenheter. Det motiverades, fullt rimligt, med att hålla priserna nere till gagn för konsumenterna. Men konkurrens är också ett underskattat sätt att göra samhället mer motståndskraftigt. Det har vi vetat åtminstone sedan 2008 när Cambridgeprofessorn Ross Anderson med medförfattare förklarade konkurrensaspekterna av cybersäkerhet i en rapport skriven för EU-myndigheten Enisa.
Konkurrensverket borde få mandat och i uppgift att tillsammans med de sektorsansvariga myndigheter som håller samman Sveriges beredskap identifiera fall där monopol eller oligopol skapar single points of failure och där det till rimlig kostnad går att främja fler alternativ.
Det fungerar inte alltid. Vissa skalfördelar kanske är så stora att vi får acceptera naturliga monopol. Men Konkurrensverket är ett skarpt cybersäkerhetsverktyg som det är dumt att bortse ifrån.
Economistkolumnisten med pseudonymen Charlemagne uppmanade i januari oss européer att behålla växeln – alltså våra fysiska sedlar och mynt – i resiliensens namn. Det är inget dumt förslag. Men de fysiska pengarna är bara en del av den större lösning som heter riskspridning. I det perspektivet framstår en leksak som kommer lastad inte bara med sedlar utan också med två olika betalkort i trä som ganska pedagogisk.
Redan prenumerant?
Logga inUpptäck Axess Digital i 3 månader utan kostnad
Allt innehåll. Alltid nära till hands.
- Full tillgång till allt innehåll på axess.se.
- Tillgång till vårt magasinarkiv
- Nyhetsbrev direkt till din inbox
