Mijn meest gestelde vraag, in willekeurige volgorde: “Is dit veilig?” Als de vraag op Klarna Pay Now slaat, is het antwoord ja — met een paar voorwaarden die de moeite van het uitleggen waard zijn. Het is niet zo dat Klarna magisch veiliger is dan andere methoden. Het is zo dat de keten van Klarna in NL een specifiek veiligheidsprofiel heeft, en wie dat begrijpt, weet ook waar de zwakke plekken zitten.

In dit dossier loop ik door de veiligheidslagen, van de wettelijke basis tot de praktische trucs die ik adviseer aan lezers die regelmatig in een casinokassa terechtkomen. Geen marketing, geen geruststellende clichés. Wel een eerlijke beschrijving van wat er gebeurt en waarom.

De wettelijke basis: PSD2 en sterke klantauthenticatie

De Europese Payment Services Directive 2 — kortweg PSD2 — heeft sinds 2019 een fundamentele eis ingevoerd voor elektronische betalingen: sterke klantauthenticatie. Dat betekent dat voor de meeste online betalingen boven een drempelbedrag minstens twee onafhankelijke factoren nodig zijn. Iets wat je weet (wachtwoord, pincode), iets wat je hebt (telefoon, hardware-token), en iets wat je bent (biometrie).

Voor Klarna Pay Now betekent dat je in de keten altijd twee factoren tegenkomt. Inloggen op je bankapp met biometrie is één factor combineren met device-binding van de app. De pincode-invoer voegt een tweede toe. Voor de PSD2-eis is dat voldoende, en het is de standaard bij vrijwel alle NL-banken in de Klarna-flow.

Wat dit voor casinotransacties betekent: er is geen aparte regeling voor gokken binnen PSD2. Een storting bij een KSA-casino doorloopt dezelfde authenticatiestappen als een aankoop bij een webshop. De wet maakt geen onderscheid. Wel kunnen de bank of het casino strengere regels hanteren dan PSD2 minimaal eist — bijvoorbeeld aanvullende bevestiging bij hoge bedragen of bij ongebruikelijke patronen.

Klarna’s positie in de keten en wat het kan zien

Klarna fungeert in een Pay Now-flow als een Payment Initiation Service Provider — een PISP onder de PSD2-kaders. Dat betekent dat Klarna, met jouw expliciete toestemming, een betalingsopdracht initieert bij je bank. Klarna ziet daarbij beperkte gegevens: jouw bankrekeningnummer, het bedrag, de merchant. Klarna ziet niet je hele banksaldo, niet je transactiehistorie, niet je andere rekeningen.

Dat is een belangrijk onderscheid. Veel mensen denken dat Klarna een complete bank-toegang krijgt. Dat is niet zo. Wat Klarna krijgt, is de minimaal benodigde informatie om de specifieke transactie te initiëren. Na verwerking blijft die informatie bewaard onder Klarna’s verwerkingsbeleid, dat onder GDPR is gereguleerd en gepubliceerd.

Klarna heeft Sofort GmbH in maart 2014 overgenomen voor naar verluidt ongeveer 150 miljoen dollar, gefinancierd onder andere door 90 miljoen euro van Sequoia Capital, General Atlantic en Atomico. De integratie van Sofort in Klarna’s bredere platform heeft jaren geduurd, en de huidige Klarna Pay Now is technologisch sterk op het oude Sofort gebaseerd, met aanvullende beveiligingslagen. In Klarna Group’s eigen communicatie rond de transitie naar het nieuwe model van september 2024 stelde de groep: After September 30, 2024, merchants currently using Sofort to accept bank transfers from European buyers will no longer be able to do so and must offer Klarna as a standalone payment method. Voor jou als speler verandert er onder de motorkap weinig, voor merchants verschuift de verantwoordelijkheid wel meetbaar.

Phishing en sociale manipulatie: het echte risico

De technische veiligheid van Klarna is hoog. Het zwakke punt in de keten is bijna altijd de mens. Phishing-aanvallen die zich voordoen als Klarna of als jouw bank, zijn in NL een serieus en groeiend probleem. De aanvallers bouwen websites die er identiek uitzien als een echte Klarna-pagina, sturen je via sms of e-mail naar die pagina, en proberen je in te laten loggen met je echte bankgegevens.

Wat je moet weten: Klarna en je bank zullen nooit per sms of e-mail vragen om in te loggen via een meegestuurde link. Een legitieme Klarna-flow begint altijd in een casinokassa waar je zelf naartoe bent gegaan, en de Klarna-deeplink wordt door die kassa gegenereerd. Een link in een e-mail of sms is per definitie verdacht.

De NL-betalingsinfrastructuur is bovendien zeer stabiel. In 2024 was de beschikbaarheid voor kaarttransacties 99,9 procent. Voor instant-overschrijvingen geldt vergelijkbaar. Dat betekent: als je een sms krijgt waarin staat dat “een transactie is mislukt en je moet inloggen om te bevestigen”, is dat in 99,9 procent van de gevallen geen technische realiteit. Het is een poging tot manipulatie.

Mijn pragmatische lijn: een Klarna-betaling die jij zelf in een casinokassa initieert, is veilig binnen de PSD2-kaders. Een Klarna-link die je via een ander kanaal binnenkrijgt, behandel je als verdacht totdat het tegendeel bewezen is.

Fraudefilters bij banken en casino’s

Naast de wettelijke en technische veiligheidslagen leggen banken en casino’s eigen fraudefilters bovenop de Klarna-flow. Deze werken op patroonherkenning. Een afwijkend transactiepatroon — eerste keer naar een nieuwe merchant, ongebruikelijk bedrag, ongebruikelijk tijdstip — kan een filter triggeren.

Voor jou als speler betekent dat: een eerste storting bij een nieuw KSA-casino kan een extra bevestiging vragen van je bank. Dat is geen blokkade, dat is een veiligheidsstap. Een pushbericht waarin je bevestigt dat jij de transactie hebt geïnitieerd, voegt enkele seconden toe en biedt extra zekerheid dat een derde partij niet met jouw rekening aan het knoeien is.

Casino’s leggen aan hun kant eigen fraudemodellen aan. Een eerste storting van een nieuwe speler ondergaat altijd een Know Your Customer-check (KYC). Identiteit, leeftijd, woonplaats, soms inkomensbron — alles wordt geverifieerd voordat de transactie of het account definitief wordt geactiveerd. De combinatie van bank-fraudefilter, Klarna-validatie en casino-KYC betekent dat een eerste Klarna-storting effectief drie checks tegelijk doorloopt.

Bij sommige spelers is dat irritant, omdat de eerste storting daardoor langer duurt dan een latere. Maar vanuit veiligheidsperspectief is het de juiste opzet. Drie onafhankelijke checks vinden problemen die één enkele check zou missen.

Het einde van Sofort in zijn oude vorm

Een veiligheidsanalyse van Sofort/Klarna Pay Now zou niet compleet zijn zonder een woord over het einde van Sofort als zelfstandig product. Op 1 oktober 2024 stopte Klarna met de aanbieding van Sofort aan EU-PSP-merchants, en op 30 september 2024 voor merchants die bij bestaande grote PSP-klanten zaten. In februari 2025 werd SOFORT formeel geabsorbeerd in Klarna Payments via Worldpay als verwerkingsroute.

Voor de gebruiker betekende dat: een knop met “Sofort” of “Klarna Pay Now” leidt naar dezelfde onderliggende infrastructuur, maar de juridische en operationele eigenaarschap is verschoven. Sofort als merknaam blijft hier en daar zichtbaar in casinokassa’s, vooral bij operators die hun branding nog niet hebben bijgewerkt. Onderhuids is het product Klarna Pay Now.

Voor veiligheid maakt deze transitie geen verschil. De PSD2-eisen blijven hetzelfde. De fraudefilters van banken blijven hetzelfde. Wat wel verandert, is dat Klarna nu één entiteit is met verantwoordelijkheid over de hele keten in plaats van twee aparte producten met aparte teams. Operationeel is dat een vereenvoudiging die de keten doorzichtiger maakt.

Een speler die ik vorig jaar sprak, vatte het zo samen: hij gebruikt Sofort af en toe als hij snel wil storten via zijn bank zonder gedoe, maar vindt het jammer dat hij er meestal niet mee kan uitbetalen. Dat sentiment hoor ik vaak — Klarna Pay Now is voor de meeste NL-spelers een prima stortingsmechanisme, mits de keten ongebroken loopt en de fraudefilters niet onnodig in beeld komen.

Wie dieper wil ingaan op specifieke risico’s en hoe je zelf controleert of een transactie betrouwbaar is, kan terecht in mijn analyse over veelvoorkomende foutmeldingen bij Sofort en Klarna in NL-casino’s. Veel van de “veiligheidsproblemen” die spelers melden, blijken bij nader inzien foutmeldingen te zijn die met begrip van de keten makkelijk op te lossen zijn.

Krijgt Klarna toegang tot mijn complete bankgegevens als ik Pay Now gebruik?
Nee. Klarna ontvangt uitsluitend de informatie die nodig is om de specifieke transactie te initiëren: jouw bankrekeningnummer, het exacte bedrag en de merchantgegevens. Klarna ziet niet je banksaldo, niet je transactiehistorie en niet je andere rekeningen. Dit valt onder de PSD2-kaders waarin een Payment Initiation Service Provider strikt gebonden is aan minimaal noodzakelijke gegevenstoegang met expliciete toestemming per transactie.
Hoe herken ik een phishing-poging die zich voordoet als Klarna?
Klarna en je bank zullen nooit per sms of e-mail een link sturen waarop je moet klikken om in te loggen of een transactie te bevestigen. Een legitieme Klarna-flow begint altijd vanuit een kassa waar jij zelf naartoe bent gegaan. Een link in een onverwacht bericht is per definitie verdacht. Open in plaats daarvan je bankapp of de Klarna-app direct, en controleer in de transactiehistorie of er werkelijk iets te bevestigen valt. Bij twijfel: nooit op de link klikken en altijd contact opnemen via de officiële kanalen van je bank.