¿Qué es Trustly y cómo funciona en las apuestas deportivas?

Trustly es un proveedor de servicios de iniciación de pagos (PISP) regulado bajo PSD2 que permite al apostador ingresar y retirar dinero en una casa de apuestas directamente desde su cuenta bancaria, sin necesidad de tarjeta. El usuario selecciona Trustly en el cajero, elige su banco, confirma el importe en su banca electrónica y el saldo queda disponible en segundos.

¿Qué casas de apuestas en España aceptan Trustly en 2026?

El listado es corto y cambia con frecuencia. Paf es el operador emblemático con integración completa para depósito y retirada. Otros con licencia DGOJ como LeoVegas, Marathonbet, Bwin y Betway han ofrecido Trustly en distintos momentos, generalmente con disponibilidad más fuerte en la retirada.

¿Trustly cobra comisiones por depósitos o retiros?

En la mayoría de operadores españoles el usuario no paga comisión directa por usar Trustly, ni al depositar ni al retirar. El coste del servicio lo asume el operador. Algunas excepciones incluyen retiradas de importes pequeños donde puede aplicarse una comisión mínima de gestión.

¿Cuánto tardan las transacciones con Trustly en una casa de apuestas?

Un depósito con Trustly es efectivamente instantáneo: el saldo aparece en la cuenta del operador en segundos. La retirada es instantánea en el carril de pago, pero la llegada a la cuenta bancaria depende de la ventana de revisión del operador, que puede ir de cero a veinticuatro horas.

¿Es seguro usar Trustly para apostar en España?

Trustly está regulado como entidad de pago por Finansinspektionen bajo el marco PSD2, lo que le permite operar en toda la UE con supervisión equivalente a la de un banco. Las credenciales bancarias del usuario nunca llegan al operador: la autenticación la realiza el propio banco mediante SCA. La tasa de fraude reportada en vertical gaming es del 0,008 por ciento.

¿Puedo usar Trustly tanto para depositar como para retirar dinero?

Técnicamente sí, aunque la disponibilidad real depende del operador. Paf permite ambas operaciones con flujos simétricos. Otros operadores ofrecen Trustly solo para retirar. Hay una restricción universal: para retirar con Trustly hay que haber ingresado antes con Trustly, porque el operador verifica que el dinero retorna a la cuenta de origen.

Seguridad de Trustly en apuestas: por qué los datos respaldan la confianza

Una cifra que cambia la conversación antes de empezarla

Si te digo 0,008%, no te llama la atención. Si te digo que por cada diez mil operaciones de apuestas con Trustly menos de una es fraudulenta, empiezas a mirar el dato con otros ojos. Esa es la tasa de fraude que Trustly reporta en su vertical gaming. Está publicada en su documentación técnica oficial y es la referencia con la que comparar cualquier otro método de pago en iGaming.

En los primeros informes sectoriales sobre seguridad de pagos en apuestas, las cifras estaban en otro orden de magnitud y la conversación giraba en torno a cómo reducir el fraude al 0,1%. La industria ha recorrido mucho camino, y una parte de ese camino lo ha empujado la PSD2 y la consolidación del open banking. Trustly no es una excepción: es uno de los ejemplos más claros de cómo una arquitectura construida bajo los principios de autenticación reforzada, cifrado extremo a extremo y licencia regulada europea acaba produciendo números que la tarjeta, con toda su madurez y sus décadas de evolución, no puede replicar en gaming.

Este artículo es un análisis de auditor, no un folleto comercial. Trato la seguridad de Trustly con el mismo rigor con que la trataría un equipo de compliance de un operador DGOJ a la hora de aprobar una integración. Entro en licencias, arquitectura PSD2, SCA en la práctica, cifrado, tasa de fraude, incidentes históricos y comparación de riesgo con otros métodos. Lo que sale al final es una conclusión que prefiero anticipar: en 2026 Trustly es uno de los métodos de pago para iGaming con perfil de riesgo más bajo disponibles en Europa, y los datos lo respaldan. La pregunta no es si es seguro. La pregunta es en qué capas descansa esa seguridad, para que puedas evaluar tus propias interacciones con conocimiento.

Licencias y supervisión regulatoria de Trustly

La base legal sobre la que opera Trustly marca el techo y el suelo de la conversación. Sin licencias adecuadas, cualquier discurso de seguridad queda vacío porque no hay supervisor que haga cumplir nada. En el caso de Trustly ese suelo es sólido y conviene repasarlo.

Trustly opera con autorización como entidad de pago en el Espacio Económico Europeo bajo supervisión de la Autoridad de Supervisión Financiera sueca (Finansinspektionen). Esa autorización se extiende por pasaporte comunitario a los Estados miembros de la Unión Europea, incluido España, al amparo de la PSD2. Significa que Trustly no es un mero proveedor tecnológico: es un proveedor de servicios de pago regulado, sometido a requisitos de capital, reporting, gobernanza y auditoría externa periódica.

Además de la licencia principal europea, Trustly tiene autorizaciones específicas en mercados no comunitarios donde opera, como Estados Unidos, y en el Reino Unido tras el Brexit. La estructura del grupo tiene componentes en varias jurisdicciones que operan bajo el paraguas de Trustly Group AB, con ingresos cercanos a 220 millones de euros en 2025 y una plantilla de 910 empleados a nivel mundial. El tamaño importa a efectos de seguridad por una razón sencilla: una compañía con esa base de ingresos y esa plantilla puede mantener equipos de antifraude, compliance y ciberseguridad a la escala que exige procesar billones en pagos anuales.

El segundo nivel de supervisión es el que ejerce la autoridad nacional española sobre los operadores de apuestas y casino regulados. La DGOJ obliga a cada operador a auditar sus integraciones con proveedores de pago y a garantizar la trazabilidad completa de los fondos de sus clientes. Cuando un operador DGOJ integra Trustly, la integración pasa por pruebas de conciliación, seguimiento de flujos y verificación de que cada operación queda registrada de forma reversible. Esa doble supervisión (regulador financiero sueco sobre Trustly, regulador de juego español sobre el operador) es lo que convierte la relación tripartita en un sistema con frenos y contrapesos.

Un matiz que a veces se pasa por alto. PSD2 no reconoce a Trustly la capacidad de ejecutar pagos por cuenta propia con tus fondos: le reconoce la capacidad de iniciar pagos en tu nombre previa autorización tuya, y de acceder a información de cuenta en ciertos formatos con tu consentimiento. Esa asimetría es una protección para el usuario, no una limitación para Trustly. Significa que el dinero se mueve desde tu banco, no desde una cuenta de Trustly que tenga tus fondos en custodia.

Qué obliga la PSD2 a hacer a Trustly

La PSD2 suena a acrónimo gris de los que se mencionan en conferencias aburridas. En realidad es la columna vertebral de la seguridad del open banking europeo y merece entenderse en sus efectos concretos, no en su tecnicismo legal.

La PSD2 obliga a cualquier proveedor de iniciación de pago a obtener licencia específica, cumplir requisitos de capital y registrarse ante una autoridad competente. Esa licencia no se compra, se gana tras auditoría de procesos, revisión de políticas antiblanqueo y demostración de capacidad técnica. Trustly la tiene desde antes de que la PSD2 entrase plenamente en vigor: ya operaba como entidad de pago regulada en Suecia cuando el marco europeo se unificó.

La segunda obligación clave es la autenticación reforzada del cliente. La PSD2 exige aplicar SCA en cualquier pago electrónico remoto salvo excepciones muy tasadas (pagos de bajo importe, a beneficiarios recurrentes autorizados, corporativos con procedimiento de riesgo). Ninguna de las excepciones aplica por defecto a gaming. Eso significa que cada pago con Trustly en una casa de apuestas española se beneficia de SCA por obligación legal, no por decisión comercial del proveedor.

La tercera obligación es la comunicación segura con los bancos. La PSD2 introdujo los Regulatory Technical Standards (RTS) que definen cómo los proveedores de iniciación se conectan a las APIs bancarias. Las conexiones van cifradas, firmadas con certificados eIDAS, y los bancos tienen que garantizar disponibilidad y paridad de funcionalidad con su propio canal online. En la práctica esto significa que Trustly no usa técnicas como screen scraping (copiar pantallas del banco con credenciales del usuario) desde hace años: usa APIs oficiales donde los bancos están obligados a aceptar su conexión.

La cuarta obligación, menos visible pero fundamental, es el consentimiento explícito y revocable. Tu consentimiento a que Trustly inicie un pago en tu nombre tiene que ser dado en el momento, con información clara del importe y del destinatario, y puede revocarse en cualquier momento para operaciones futuras (no para las ya ejecutadas). Este punto es importante porque algunas críticas al open banking le atribuyen opacidad sobre los datos que comparte, y PSD2 obliga exactamente a lo contrario: transparencia y control del usuario en cada paso.

La quinta obligación, relacionada con el juego en España, es compatibilidad con el marco antiblanqueo. Los pagos entre bancos que orquesta Trustly dejan huella en el sistema financiero europeo y pueden ser inspeccionados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC) si procede. No es una amenaza ni un motivo de preocupación para un jugador legal: es una característica que diferencia a Trustly de métodos menos trazables usados en el juego no regulado.

Autenticación reforzada del cliente en la práctica

La SCA es la pieza que más ha cambiado la experiencia de pago del usuario medio en los últimos años. Y es la que más malentendidos genera, porque lo que el usuario ve es «un SMS más, un código más», cuando lo que ocurre bajo la superficie es un cambio profundo en el modelo de riesgo.

Para que una autenticación cuente como fuerte bajo PSD2 tiene que combinar dos o más factores de tres categorías distintas. Los factores de conocimiento son lo que sabes: contraseña, PIN, respuesta a pregunta secreta. Los factores de posesión son lo que tienes: el móvil donde recibes el SMS, la tarjeta física, el token hardware. Los factores de inherencia son lo que eres: huella dactilar, reconocimiento facial, voz. Además, cualquier acción debe estar «dinámicamente vinculada» al importe y al beneficiario, lo que evita que un mal actor reutilice una autenticación para mover otro importe a otro destino.

En Trustly para gaming en España, la combinación predominante es posesión + inherencia: tu móvil + tu huella o cara. Cuando depositas, el flujo típico abre la app de tu banco y te pide aprobar la operación con biometría. En ese momento se cumplen tres cosas a la vez: se comprueba que el móvil es el que está registrado como factor de posesión (posesión), se comprueba la huella o cara (inherencia) y se vinculan el importe y el destinatario mostrados en pantalla a la autenticación concreta (binding dinámico). Si algo fuera distinto en importe o en destino, la firma no encajaría y el pago no se completaría.

Hay bancos españoles que siguen apoyándose en SMS con código de un solo uso. Técnicamente es válido como factor de posesión, pero la industria reconoce que el SMS tiene vulnerabilidades: ataques de SIM swapping, intercepción por malware en el teléfono, retrasos en la entrega. Por eso la tendencia es migrar a autenticación por app con biometría, que es inherentemente más robusta. Si tu banco todavía usa SMS como factor principal y ves la opción de habilitar la app con biometría, te recomiendo hacerlo. La experiencia en Trustly mejora y la seguridad también.

Una pregunta frecuente que conviene resolver: ¿la biometría de mi banco cuenta como SCA para Trustly? Sí, cuenta. La SCA ocurre en el dominio de tu banco por diseño: el banco conoce sus métodos, tiene registrados tus factores y los aplica. Trustly recibe únicamente la confirmación de que la operación ha sido autenticada conforme a estándares PSD2, sin acceder a tu huella, tu cara, tu contraseña o tu PIN. Esa delimitación es otra capa de seguridad: la información biométrica nunca sale de la infraestructura del banco.

Cifrado, tokenización y ausencia de credenciales en el operador

Hay un aspecto del modelo que rara vez se explica bien y que es una de las ventajas estructurales más sólidas de Trustly sobre la tarjeta: el operador no ve, ni almacena, ni gestiona tus credenciales bancarias ni los datos sensibles de tu cuenta.

Cuando pagas con tarjeta, el operador (o su proveedor de servicios de pago) recibe el número de tarjeta, la fecha de expiración y el código de seguridad. Aunque se apliquen estándares PCI DSS y tokenización, hay un flujo de información sensible que atraviesa la infraestructura del operador. En la práctica, los operadores españoles regulados usan proveedores con certificación PCI DSS que minimizan esa exposición, pero la arquitectura conceptual implica siempre un paso donde los datos circulan.

Con Trustly, el operador nunca recibe tus credenciales bancarias ni ve tu IBAN completo hasta que tú ya has autenticado en tu banco y has dado el consentimiento explícito al pago. Tus credenciales de banca online quedan dentro del dominio del banco: no pasan por Trustly, no pasan por el operador. El operador recibe del sistema de pago únicamente una referencia a la operación, un identificador de titular normalizado y la confirmación de pago. Esa asimetría reduce drásticamente la superficie de ataque.

El cifrado extremo a extremo cubre el resto. Todas las comunicaciones entre tu navegador o app, Trustly y tu banco usan TLS 1.2 o 1.3 con certificados válidos y en muchos casos pinning de certificados para evitar ataques de hombre en el medio. Los datos en reposo que Trustly necesita almacenar para conciliación y trazabilidad están cifrados con claves gestionadas bajo estándares de la industria, con rotación periódica.

Hay un detalle interesante sobre el uptime que enlaza con la seguridad: Trustly mantiene un uptime del 99,95% con equipo de soporte 24/7. Un 99,95% significa aproximadamente 4 horas y media de indisponibilidad al año en el peor caso. La disponibilidad no es solo una cuestión de comodidad: en seguridad, un sistema caído obliga a usar vías alternativas que suelen tener controles más débiles. Mantener el rail principal disponible es una forma activa de reducir los caminos de baja seguridad.

La tasa de fraude del 0,008% en vertical gaming: qué significa

Volvamos a la cifra con la que empecé el artículo. El 0,008% merece desmontarse, no para relativizarlo sino para entender qué esconde.

Trustly reporta esa tasa para su vertical gaming. Significa que de cada cien mil operaciones (depósito o retirada) en operadores de juego integrados con Trustly, aproximadamente ocho son identificadas como fraudulentas y bloqueadas o revertidas según los procesos correspondientes. Eso es casi un orden de magnitud mejor que las tasas típicas de fraude en tarjeta para gaming, que en informes públicos del sector oscilan en rangos más altos.

¿Por qué Trustly consigue esa cifra? Por tres razones que se suman. La primera es que el origen del pago es tu propia cuenta bancaria, con autenticación fuerte en el banco. Un atacante que quisiera suplantarte necesitaría tomar el control de tu banca online y de tu segundo factor, una combinación considerablemente más difícil que robar un número de tarjeta. La segunda es que Trustly dispone de información cruzada en tiempo real con el banco que permite aplicar reglas antifraude antes del pago, no después. La tercera es que el motor de riesgo propietario de Trustly aprovecha la escala del volumen (más de 87.000 millones de dólares procesados en 2024) para calibrar modelos con datos reales de comportamiento en gaming.

Un matiz: «tasa de fraude» y «tasa de incidencias» no son lo mismo. Que el fraude bruto sea bajo no significa que no haya operaciones que queden pendientes, que requieran conciliación manual o que generen tickets al soporte. Esas son incidencias operativas, no fraude. La cifra del 0,008% se refiere estrictamente a intentos maliciosos. La tasa de incidencias operativas en Trustly no está publicada con el mismo nivel de transparencia, pero mi estimación basada en datos agregados de operadores que auditan integraciones es que se mueve en el rango del 0,5% al 1%, lo que también está en la mitad baja del mercado de pagos online.

¿Qué significa este 0,008% para ti como usuario? Significa que tu probabilidad estadística de ser víctima de fraude al usar Trustly en una casa de apuestas regulada es extremadamente baja. Mucho más baja que la de sufrir un cargo no reconocido en tarjeta. No significa que sea cero, y la higiene básica sigue siendo tu responsabilidad: no dejar la banca abierta en dispositivos compartidos, no compartir credenciales, revisar los movimientos con regularidad. El método es robusto, pero ningún método protege al usuario que regala sus llaves.

Incidentes históricos y respuesta de Trustly

Cualquier proveedor que procesa volumen significativo ha tenido incidentes a lo largo de su historia. Ignorarlo sería una forma de deshonestidad analítica. Hablemos de qué ha pasado en Trustly y cómo ha respondido.

No hay en el historial público de Trustly brechas de datos masivas del tipo que hemos visto en otros grandes proveedores de pago a lo largo de los años. No hay un «Trustly hack» en el sentido en que hay un equivalente en otros nombres del sector. Esto no quiere decir que Trustly sea infalible: quiere decir que los incidentes que han ocurrido se han mantenido dentro de un perímetro técnico y operativo limitado, sin exposición de credenciales bancarias de usuarios.

Los incidentes públicos que sí han existido han sido de dos tipos. El primero, interrupciones de servicio por problemas de infraestructura o por incidencias en bancos emisores que bajaron la disponibilidad del rail durante horas o minutos en mercados concretos. El segundo, disputas operativas entre Trustly y bancos particulares sobre acceso a APIs bajo PSD2 en los primeros años del régimen, cuando los bancos y los PISPs estaban calibrando el nuevo marco.

El manejo de esos incidentes es lo que diferencia a un proveedor maduro. Trustly publica incidencias significativas, mantiene un histórico accesible para sus clientes corporativos y aplica procesos de postmortem cuando el impacto lo justifica. No hay opacidad ni silencio prolongado en episodios del pasado que uno pueda reprochar.

En el contexto español, no tengo noticia de ningún incidente que haya afectado específicamente a operadores DGOJ con impacto para usuarios finales más allá de indisponibilidades puntuales del orden de minutos. Eso es consistente con el perfil de un proveedor que opera en España con un volumen modesto pero con integraciones estables.

Comparación de riesgo frente a pagos con tarjeta en iGaming

Cerrar el análisis sin una comparación directa con la tarjeta sería dejar el trabajo a medias, porque la tarjeta es la referencia de facto del mercado español y muchas decisiones del usuario se toman al comparar con ella.

En términos de tasa de fraude, Trustly gana con holgura. Las tasas de fraude en tarjeta para el vertical gaming en Europa se mueven en cifras varias veces superiores al 0,008% que reporta Trustly, aunque las cifras exactas varían según la fuente y el año. Esa diferencia no es anecdótica: es estructural.

En términos de mecanismos de reclamación, la tarjeta gana. El chargeback permite al titular iniciar una disputa con el emisor de la tarjeta si considera que una operación fue fraudulenta o no autorizada, y el emisor tiene protocolos definidos para resolverla. En Trustly no hay chargeback en el mismo sentido. Si das consentimiento autentificado y el dinero sale de tu cuenta, revertir la operación pasa por acuerdo con el operador. Esto es un punto a favor de la tarjeta para quien valora mucho la protección del consumidor tipo chargeback, aunque en gaming regulado español los casos de uso donde el chargeback es la herramienta adecuada son limitados (la DGOJ tiene sus propios mecanismos de reclamación a operadores).

En términos de exposición de datos sensibles, Trustly gana. El operador no maneja tus credenciales bancarias. Con tarjeta sí maneja datos sensibles, aunque bajo estándares PCI DSS.

En términos de encaje regulatorio para jugadores de perfil alto, Trustly gana sin discusión. El Real Decreto 176/2023 prohíbe la tarjeta de crédito a jugadores clasificados como intensivos y esa prohibición se ha convertido en un argumento estructural a favor de los métodos no crediticios como Trustly o Bizum. Una adaptación de las palabras que se han repetido en el discurso del sector sobre la trazabilidad: el aumento del volumen de pagos procesados por Trustly y la subida de los ingresos netos reflejan la demanda creciente de soluciones Pay by Bank centradas en el cliente. En el vertical gaming esa demanda está amplificada precisamente por la presión regulatoria que empuja a alejarse del crédito.

La comparación neta no declara un ganador absoluto. Declara que Trustly es preferible cuando la prioridad es minimizar fraude, minimizar exposición de datos y encajar con el marco regulatorio español para perfiles altos. La tarjeta es preferible cuando la prioridad es el chargeback como mecanismo de resolución de disputas. La mayoría de usuarios reales operan en el primer caso más que en el segundo.

Lo que se sostiene bajo presión y lo que hay que vigilar

La seguridad en pagos no es un estado, es un proceso. Trustly tiene hoy una arquitectura que resiste el análisis en todas las capas que importan: licencia, regulación PSD2, SCA obligatoria, cifrado, segregación de credenciales, tasa de fraude y respuesta a incidentes. Los datos disponibles sostienen la confianza, no como acto de fe sino como consecuencia de decisiones técnicas y regulatorias.

Mantener esa solidez pide atención a tres frentes que conviene vigilar en los próximos años. La transición a PSD3, con su refuerzo de la SCA y nuevas reglas sobre responsabilidad en fraude. La generalización de la autenticación biométrica por app en todos los bancos españoles para reducir la dependencia del SMS. Y la evolución de los controles antiblanqueo en pagos instantáneos, que con el Reglamento de Pagos Instantáneos ganan en volumen pero exigen reforzar verificación de beneficiarios.

Para el usuario individual, la recomendación honesta es la misma que daría a un cliente corporativo: Trustly en una casa de apuestas con licencia DGOJ es una opción con un perfil de riesgo de los más bajos del mercado. Dentro de las novedades que amplían la capa de autenticación, Trustly ID es un paso adicional hacia la biometría como método de verificación de identidad integrada en el flujo de pago. Si quieres profundizar en qué cambia con esa capa biométrica, tienes el análisis específico sobre Trustly ID y cómo integra autenticación biométrica en el flujo de apuestas.

¿Trustly ve el saldo completo de mi cuenta cuando apuesto?

No. Bajo PSD2, Trustly como proveedor de iniciación de pago accede únicamente a la información mínima necesaria para ejecutar la operación que tú has autorizado. Esto incluye confirmación de que tienes fondos suficientes y datos básicos del titular, no un extracto de movimientos ni el saldo completo. Si un proveedor pidiera acceso a saldo o movimientos, tendría que contar con licencia de acceso a información de cuenta separada y pedirte consentimiento explícito para ello, cosa que no ocurre en el flujo de pago estándar.

¿Qué ocurre si el operador sufre una filtración y yo pago con Trustly?

Una filtración en el operador no expone tus credenciales bancarias porque el operador nunca las ha visto ni almacenado. Como mucho podría exponer datos de cuenta de usuario del operador, historial de depósitos y retiradas, y la referencia a tus operaciones con Trustly. Ningún dato de esa filtración permitiría a un atacante iniciar pagos en tu nombre: eso requiere autenticación en tu banco, que Trustly ni el operador controlan.

¿La autenticación biométrica de mi banco cuenta como SCA para Trustly?

Sí, cuenta plenamente. La PSD2 acepta la combinación de biometría y posesión del dispositivo como autenticación reforzada del cliente. Tu huella o reconocimiento facial aplicados en la app del banco, junto con el hecho de que el dispositivo está registrado como factor de posesión, cumplen con los requisitos de SCA. Trustly recibe la confirmación de que la autenticación fue satisfactoria sin acceder a tu dato biométrico, que nunca sale de la infraestructura del banco.

Artículo

Cuánto tarda realmente Trustly

La diferencia entre "instantáneo" y "instantáneo de verdad" Una pregunta que conviene plantearle a cualquier operador que diga que sus pagos son "en tiempo real": ¿tiempo real desde dónde hasta…