By Från och med 15 januari träder ändringar i Toppdomänlagen (SFS 2025:1510) som ersätter/uppdaterar SFS 2006:24 i kraft. Då denna mycket speciella lag endast omfattar .se-toppdomänen, så har Internetstiftelsen (IIS) som är domännamnsregister för .se, ändrat sina registreringsvillkor för .se-domäner.
Den praktiska konsekvensen är enkel – och enligt min mening djupt problematisk:
Postadress behöver inte längre inhämtas för en domännamnsinnehavare.
Kvar som obligatoriska uppgifter är:
– Namn
– Telefonnummer
– E-postadress
Identifiering på lägstanivå sker genom att innehavaren visar “kontroll över e‑postadressen”.
Varför detta spelar roll
Det är viktigt att vara tydlig med hur bolagskapningar i praktiken går till i dag.
Den vanligaste formen av så kallad ”bolagskapning” handlar inte om att ta över ett bolag genom att ändra styrelse, firmatecknare eller ägarstruktur.
I stället sker kapningen genom namnlika domännamn.
Bedragare registrerar ett domännamn som är mycket likt ett befintligt bolags – ofta med små variationer som: prefix, suffix, bindestreck, extra bokstav, liknande bokstav eller under annan toppdomän.
Därefter utger de sig för att företräda bolaget gentemot leverantörer och beställer varor eller tjänster på kredit eller faktura, som vanligen ska levereras till annan fysisk adress (som bedragaren förfogar över).
Upplägget bygger på en medveten sammanblandning av uppgifter:
* Bolagets korrekta namn och organisationsnummer
* Fakturaadresser och referenser hämtade från öppna källor
* E-postadresser under den nya falska domänen och telefonnummer som bedragaren själv kontrollerar
För leverantören framstår kommunikationen som legitim – tills fakturorna inte betalas.
I dessa upplägg är domännamnet den centrala möjliggöraren, inte minst då e-post (för bekräftelse, leveransbesked och ev. kontroller mm.) är det första kommunikations-alternativet.
Domännamn används i dag väldigt ofta som brottsverktyg, och för att nämna några modus:
– Bedrägliga e-postutskick
– Falska kredit- och leverantörsbeställningar
– Kapning av affärsrelationer som BEC, Business Email Compromise (Det vi i Sverige allmänt kallar “VD-bedrägerier”), men även EAC, Email Account Compromise (som kan översättas till leverantörsbedrägerier)
– Samordnade factoringbedrägeri, där två bolag medvetet samarbetar för att konstruera fiktiva fordringar som säljs till factoringbolag/finasiella aktörer.
Kreditbedrägerier är sedan många år den största förlustdrivaren inom näringslivet, mätt i monetära skador. Och domännamn utgör den absolut kritiska infrastrukturen i dessa upplägg.
Och rörande välfärds- och ekobrottslighet, med syfte att lura det offentliga på pengar, så används domännamnen ofta som ”skyltfönster” dvs webbsidor som är avsedda att ge sken av en legitim verksamhet, för bolag som endast är avsedda att lura och bedra eller för att tvätta/förflytta/omvandla brottsvinster.
Identifieringskraven är nu i praktiken triviala att kringgå
• Namn – ofta fiktiva eller olovligt använda
• Telefonnummer – fejkade, kontantkort, virtuella nummer eller tredje mans
• E‑postadress – gratis, anonym, massregistreringsbar och även tidsinställd ”self destruct”.
När identifiering reduceras till kontroll av e‑poståtkomst saknas varje reell koppling till en fysisk eller juridisk person.
Postadressen var ingen garanti – men en viktig indikator
Postadressen har historiskt fungerat som:
• tidig signal vid ID‑kapning
• korsreferens mot bolags‑ och kreditdata
• möjlighet för drabbade att själva upptäcka missbruk
Den indikatorn är nu helt borttagen.
Resultatet: ökad systemrisk
Detta är inte en integritetsfråga i praktiken. Det är en fråga om:
• systematisk brottslighet
• industriell skala
• låg risk och hög avkastning för gärningsmän
Kostnaden flyttas från staten och infrastrukturen – direkt till näringslivet (och såklart konsumenter som låter sig luras).
Den politiska paradoxen
Samma dag (15 januari 2026) som identifieringskraven sänks i kritisk digital infrastruktur (av Civilministern) presenteras förslag (av Justitieministern) om kraftigt skärpta straff för knappt 50 typer av brott, däribland organiserade bedrägerier.
Hårdare straff i efterhand hjälper föga när systemen samtidigt görs enklare att missbruka (och utan möjlighet för brottsbekämpning att säkerställa misstänkt gärningsman).
Jag säger ingenting om förslagen om förändringar i straffskalan, men vad mig anbelangar så börjar brottsprevention i designen av systemen – inte i straffskalan.
Så det förefaller som att Justitieminister Gunnar Strömmer och Civilminister Erik Slottner drar åt två helt skilda håll här – stringens efterfrågas!
Avslutande reflektion
Att ta bort postadresskravet är inte en förenkling. Det är en försämring av ett redan extremt svagt identifieringsramverk.
Det vittnar om en bristande förståelse för hur modern ekonomisk brottslighet faktiskt fungerar.
Jag anser det hela djupt beklagligt för hela samhället!
Peter Forsman
Med erfarenhet av att ha tjänstgjort i 13 års tid som Abuseansvarig på IIS, Internetstiftelsen. (2009 – 2022)
Jag som skriver på internetsweden.se, gör det ideellt och för att upplysa dig om verksamheter och fenomen som JAG anser att det finns skäl att ifrågasätta och/eller varna för..
Innehållet kan även vara mer generellt om internet i Sverige, men även om tillvägagångssätt som bedragare använder i olika bedrägerier och bluffar/svindleri, oftast relaterade till internet.
Eller så är det analyser eller tankar jag har kring fenomen i vår omvärld, ofta då kopplat till kriminalstatistik och bedrägeriprevention.
Peter Forsman – Mottagare av “Stora Kreditpriset 2018”
Läs mer om:
https://www.internetsweden.se/las-mer-om-internet-sweden/
Allt publicerat på internetsweden.se är licenserat under CC BY 4.0 vilket innebär att du får dela, bearbeta, mixa – förutsatt du lämnar erkännande.
