Kort version

EUDI Wallet är inte ett BankID för EU. Det är en infrastruktur för verifierbara legitimationer med selektiv utlämning: en användare kan bevisa sin ålder utan att avslöja födelsedatum, eller styrka en yrkeslegitimation utan personnummer. Åtta sektorer har obligatorisk acceptansplikt. Sverige har valt en öppen modell där privata walletleverantörer kan ansluta sig, men Myndigheten för digital förvaltning (DIGG) ansvarar för ekosystemet och pilotprogrammet har hittills inkluderat främst banker och statliga aktörer. BankID fortsätter att fungera parallellt.

BankID-spänningen

Sverige har redan en av Europas högsta nivåer av digital identifiering. Över 8 miljoner svenskar använder BankID. Det skapar en unik dynamik: i länder utan fungerande e-ID är EUDI Wallet en lösning på ett akut problem. I Sverige är det en parallell infrastruktur till något som redan fungerar.

Det betyder inte att EUDI Wallet blir irrelevant. Förordningen kräver att plånboken accepteras oavsett om nationella alternativ finns. En kund som vill identifiera sig med sin estniska EUDI Wallet hos en svensk bank ska kunna göra det. Den operativa konsekvensen för svenska tjänsteleverantörer: de behöver stödja båda systemen, inte välja.

Vem måste acceptera plånboken

Förordningen pekar ut åtta sektorer med obligatorisk acceptans när plånboken blir tillgänglig:

  • Banker och betaltjänstleverantörer (kundkännedom vid onboarding).
  • Telekomoperatörer (vid abonnemangstecknande).
  • Energi- och vattenleverantörer (vid kundsignering).
  • Transport (resor, biljetter).
  • Hälso- och sjukvård (där sektorlagstiftning medger det).
  • Utbildning (examensbevis, intyg).
  • Stora onlineplattformar under EU:s förordning om digitala tjänster (DSA).
  • Statliga och kommunala myndigheter i digitala tjänster.

Acceptans innebär att plånboken ska fungera som identifierings- eller attributmetod. Andra metoder får finnas kvar. Men den tekniska integrationen kräver stöd för ARF-standarderna (Architecture Reference Framework), Verifiable Credentials — digitalt signerade intyg som plånboken kan presentera utan att avslöja underliggande data — och selektiv utlämning. Det är inte en konfigurationsändring i befintligt BankID-flöde.

Selektiv utlämning och GDPR

Plånbokens kärnfunktion är dataminimering. En användare väljer vilka attribut som delas per transaktion. En bar som kontrollerar ålder behöver inte se kundens namn. En hyresvärd som verifierar inkomst behöver inte se arbetsgivare.

Den som begär fler attribut än nödvändigt utlöser GDPR:s dataminimeringsprincip. Plånboken loggar vilka attribut varje tjänsteleverantör har begärt, och användaren ser loggen. Överflödiga begäranden blir synliga. Dataskyddsmyndigheterna får ett nytt tillsynsverktyg utan att behöva begära ut uppgifter.

Realistisk tidplan

Formellt: plånboken ska finnas tillgänglig 21 december 2026. Realistiskt: de flesta bedömare räknar med att flera medlemsstater missar deadline eller lanserar med begränsad funktionalitet. Sverige har kommit längre än många genom DIGG:s pilotprogram, men den breda utrullningen till medborgare är inte bekräftad i detalj. Acceptansplikten för tjänsteleverantörer aktiveras när plånboken blir tillgänglig i respektive medlemsstat, inte vid ett fast EU-datum.

Det innebär att svenska tjänsteleverantörer har en osäker deadline. Teknisk integration, UX-anpassning och avtalskedjan med leverantörer av förlitandetjänster (relying parties — de aktörer som tekniskt tar emot och verifierar plånbokens intyg) tar 6–12 månader, vilket talar för att påbörja förberedelserna innan plånboken lanseras.

Vad bolag bör göra

  1. Avgör om bolaget har acceptansplikt. Gå igenom de åtta sektorerna. Banker och telekom har det tydligast. E-handel utanför de utpekade sektorerna kan välja att acceptera men har ingen skyldighet.
  2. Kontakta identifieringsleverantören (BankID, Freja eID eller annan) och begär deras EUDI-integrationsplan med konkret tidslinje. Om leverantören inte har en plan, överväg att utvärdera alternativ.
  3. Kartlägg vilka attribut tjänsten faktiskt behöver per kundresa. Skriv ner det. Om bolaget i dag begär personnummer för något som kan lösas med åldersverifiering, designa om flödet. Plånbokens loggning gör överskottsinsamling synlig.
  4. Påbörja teknisk förberedelse mot ARF-standarderna. Det handlar om stöd för Verifiable Credentials, selektiv utlämning och kvalificerade elektroniska signaturer. Det är en integrationsprojekt, inte en pluginkonfiguration.
  5. Planera för fallback. Acceptansplikten tillåter alternativa metoder, men kunden ska kunna fullfölja kundresan även om plånboken är otillgänglig. Testa att BankID-flödet fungerar parallellt.

Källor