EU-kommissionens förslag Chat Control, formellt Child Sexual Abuse Regulation (CSAR), innebär en omfattande övervakning av 450 miljoner EU-invånares digitala kommunikation. Lagen kräver att meddelandetjänster skannar privata chattar, bilder, mejl och filer efter både känt och okänt olagligt material.
Reglerna träffar alla plattformar som hanterar data från oss i EU, även krypterade tjänster som Signal, WhatsApp, Telegram och Proton. Förslaget innebär att skanningen ska ske per automatik, helt utan misstanke om brott.
Hur EU Chat Control skulle fungera i praktiken
Företagen tvingas installera skanningsmjukvara direkt på våra enheter, så kallad client-side scanning. Tekniken kollar innehållet i mobilen eller datorn innan det ens krypteras. Ett kompromissförslag diskuterar dessutom skanning på operativsystemsnivå, vilket skulle ge insyn i alla appar på Android, iOS och Windows.
Systemet använder två metoder: hash-matchning för att hitta dokumenterat material och AI för att identifiera nya bilder samt grooming-försök. Om algoritmen flaggar innehåll skickas det vidare till ett nytt EU-center kopplat till Europol för granskning.
Skanningen kan införas genom tvingande förelägganden eller via så kallad frivillig detektion. Dagens tillfälliga lagar löper ut 2026, vilket sätter press på lagstiftarna att göra systemet permanent.
Kritik och motstånd mot förslaget
Signals ordförande Meredith Whittaker beskriver klientsidesskanning som en existentiell risk för krypteringen. Hon menar att tekniken förvandlar varje telefon till en övervakningsenhet och bryter säkerhetsgarantierna. Över 465 säkerhetsforskare varnar också för att systemet skapar bakdörrar som kan utnyttjas av kriminella.
Både FN:s människorättsråd och Europeiska datatillsynsmannen bedömer att förslaget kränker rätten till privatliv. Europadomstolen fastslog dessutom i domen Podchasov mot Ryssland (2023) att försök att försvaga kryptering strider mot artikel 8 i Europakonventionen.
Användare som vägrar godkänna skanningen riskerar att blockeras från att skicka bilder eller länkar. Experter klassar detta som "tvingat samtycke" (vilket går stick i stäv med GDPR).
EU-parlamentets position och politisk utveckling
Under Sveriges ordförandeskap våren 2023 drog arbetsgruppen "Going Dark" igång för att ge polisen åtkomst till krypterad data. Rådet är dock splittrat; cirka 12 länder stöttar förslaget medan en blockerande minoritet med Tyskland och Polen i spetsen motsätter sig delar av texten.
Svenska VPN-tjänsten Mullvad varnar för att detta leder till totalövervakning där varje samtal och molnfil filtreras i realtid. Kritiker befarar att lagstiftningen på sikt även kommer omfatta VPN-tjänster och andra integritetsverktyg.
EU-parlamentet har röstat för att slopa kravet på skanning av krypterad trafik, vilket skapar konflikt med ministerrådets hårdare linje. Den slutgiltiga lagtexten avgörs nui i förhandlingar mellan kommissionen, rådet och parlamentet.
Tekniska utmaningar och falska positiva resultat
AI-baserad skanning av okänt material genererar felaktiga träffar. Enligt analys från Mullvad kan inget AI-system tillförlitligt skilja på olagligt material och vanliga semesterbilder eller intima foton. Detta riskerar att exponera privat innehåll för myndigheter, och dränka polisen i felaktiga rapporter.
En omdiskuterad del av lagtexten undantar konton med yrkesmässig tystnadsplikt. I praktiken kan det innebära att politiker och statstjänstemän slipper den övervakning som drabbar allmänheten.
För att hantera riskerna föreslås obligatorisk åldersverifiering. Electronic Frontier Foundation (EFF) varnar dock för att detta kräver att vi kopplar fysisk identitet till våra konton, vilket omöjliggör anonym kommunikation och visselblåsning.
