EU:s ministerråd antog i november 2025 ett förhandlingsmandat för Chat Control 2.0. EU-parlamentet röstade för att inte förlänga den tillfälliga föregångaren. Trilogförhandlingarna pågår. Och hela debatten är fortfarande inramad som ett barnrättsprojekt, trots att de faktiska siffrorna pekar åt ett helt annat håll.
“Scanning every message — whether you do it before, or after these messages are encrypted — negates the very premise of end-to-end encryption. Rather than having to break Signal’s encryption protocol, attackers and hostile nation states would only need to piggyback on the access granted to the scanning system.”
Det är Meredith Whittaker, Signals president, i oktober 2025. Hennes organisation hotade att lämna den europeiska marknaden snarare än att implementera vad EU kallar “riskbegränsande åtgärder”. WhatsApp och Meta kom med samma varning.
Vad är EU Chat Control-förslaget?
Chat Control-lagstiftningen finns i två versioner med fundamentalt olika karaktär.
Chat Control 1.0 är den tillfälliga derogation från ePrivacy-direktivet (Direktiv 2002/58/EC) som antogs 2021 och som tillåter leverantörer att frivilligt skanna privat kommunikation för CSAM (Child Sexual Abuse Material). Hittills är det enbart okrypterade, amerikanska tjänster som utnyttjat möjligheten: Gmail, Facebook och Instagram Messenger, Skype, Snapchat. Chat Control 1.0 löpte ut 3 april 2026. Google, Meta, Microsoft och Snap meddelade att de ändå fortsätter skanna, trots att den juridiska grunden försvann.
Chat Control 2.0 är EU-kommissionens förslag från 11 maj 2022. Det gör skanning obligatorisk för alla tjänster, inklusive end-to-end-krypterade meddelanden som Signal och WhatsApp. Förslaget drevs fram av den socialdemokratiska kommissionären Ylva Johansson och har sedan dess befunnit sig i ett politiskt limbo: upprepade misslyckade röstningar i rådet, massivt motstånd i parlamentet och fyra olika ordförandeländer utan att nå konsensus.
26 november 2025 antog EU-ambassadörerna i COREPER II ett förhandlingsmandat i knapp omröstning. Det var danska ordförandeskapet som drev igenom den kompromiss som slutligen samlade tillräckligt stöd. Tre länder röstade emot: Tjeckien, Nederländerna, Polen. Italien lade ned rösten. Mandatet innehåller inte längre obligatorisk skanning, men kvarstår med “frivillig” skanning och obligatorisk åldersverifiering, och skapar det ramverk trilogförhandlingarna nu utgår från.
Hur fungerar client-side scanning?
Client-side scanning (CSS) är tekniken som låg i kärnan av de mest kontroversiella versionerna av Chat Control 2.0. Idén är att analysera innehållet i ett meddelande på användarens enhet, innan det krypteras och skickas.
Det bryter end-to-end-krypteringens säkerhetsmodell på ett fundamentalt sätt. E2EE garanterar att bara avsändaren och mottagaren kan läsa ett meddelande. CSS installerar i praktiken en tredje part, observatören, på varje enhet. Det kräver antingen bakdörrar i meddelandeapparna eller spionprogram på systemnivå.
500 kryptografer och säkerhetsforskare undertecknade ett öppet brev i september 2025 och konstaterade att Chat Control är “tekniskt ogenomförbart” utan att i grunden underminera krypteringen. Problemet är inte ideologiskt utan matematiskt: när scanning-infrastrukturen väl finns kan utländska underrättelsetjänster och kriminella utnyttja exakt samma åtkomstpunkt som skapats för att “bara leta efter barnövergrepp”.
Signal säger det rakt ut: att bygga in scanning är att bygga ett intrång som alla kan utnyttja, inte bara de som lagen avsåg att ge access.
Tre problem som ingen vill prata om
Problemet med falska träffar
Det officiella argumentet för Chat Control är att skanningssystemen identifierar barnsexuellt material och att rapporterna leder till polisutredningar. Siffrorna visar en annan bild.
Tyska federala kriminalpolisen (BKA) rapporterade för 2024 att 99 375 av totalt 205 728 rapporter var kriminellt irrelevanta. Det är 48,3 procents felträffar. Schweizisk federal polis rapporterar 80 procent kriminellt irrelevanta maskinrapporter. EU-kommissionären Ylva Johansson erkände själv att 75 procent av alla NCMEC-rapporter från EU inte håller tillräcklig kvalitet för polisär uppföljning.
Konsekvensen är konkret: polisens resurser dräneras på falska ärenden medan faktiska utredningar om producenter och förövare trängs undan. Familjefoton från semester, medicinska bilder delade med läkare, konstnärsfotografi, sexting mellan jämnåriga tonåringar, allt kan flaggas av algoritmer som är okänsliga för kontext, juridiska definitioner och avsikt. Kommissionens egen implementationsrapport (COM(2025)740 final) erkänner att det saknas bevisade samband mellan skanning av privata meddelanden och faktiska fällande domar eller räddade barn.
40 procent av brottsutredningarna för “barnpornografi” i Tyskland riktar sig mot minderåriga. Det är inte vuxna förövare systemet fångar. Det är barn som sextade med jämnåriga.
Hyckleri-problemet
Det mest avslöjande faktumet i hela Chat Control-debatten är inte tekniskt. Det är politiskt.
Förslaget undantar “interpersonal communications services that are not publicly available, such as those used for national security purposes” från förordningens räckvidd. Det innebär: politiker, militär och underrättelsetjänster är undantagna från den massövervakning de vill att alla andra ska leva med.
Patrick Breyer, Piratpartiets MEP och parlamentets mest aktive motståndare mot Chat Control, satte ord på det: “The fact that EU interior ministers want to exempt police officers, soldiers, intelligence officers and even themselves from chat control scanning proves that they know exactly just how unreliable and dangerous the snooping algorithms are that they want to unleash on us citizens.”
Om algoritmerna var tillräckligt precisa och pålitliga för att ersätta rättssäkerhet, varför undantar man sig själv? Om svaret är att man inte kan riskera att känsliga statliga kommunikationer flaggas som kriminella, varför kan man riskera det för 450 miljoner medborgare?
Åldersverifieringsproblemet
Den version av Chat Control 2.0 som COREPER antog november 2025 innehåller obligatorisk åldersverifiering för kommunikationstjänster. Att “tillförlitligt identifiera minderåriga” kräver i praktiken att varje EU-medborgare laddar upp ett ID-dokument eller genomgår ansiktsskanning för att kunna öppna ett e-postkonto eller en meddelandeapp.
400 vetenskapsmän och forskare varnade att åldersverifiering “inte kan genomföras på integritetsbevarande sätt med nuvarande teknik” och att alla sådana system bygger på biometrisk, beteendemässig eller kontextuell datainsamling. Det är i praktiken slutet på anonym kommunikation online.
Konsekvensen är inte hypotetisk. Visselblåsare kan inte längre anonymt kontakta journalister. Politiska aktivister i EU-länder med auktoritär dragning kan inte längre kommunicera utan att identifiera sig. Offer för sexuella övergrepp, de som Chat Control säger sig skydda, kan inte längre söka stöd via krypterade kanaler utan att koppla sin identitet till innehållet i deras kommunikation. Rätten till anonymitet är en grundläggande rättighet, och åldersverifieringskravet avskaffar den i ett svep.
Varför hotar Signal och WhatsApp att lämna EU?
Signal är en non-profit-organisation grundad på löftet om att ingen, inte ens Signal självt, kan läsa dess användares meddelanden. Det löftet är teknologiskt inbyggt i protokollets arkitektur. Det är inte ett policydokument. Det är matematisk design.
Att implementera client-side scanning i Signal kräver att man bryter arkitekturen. Det kan inte göras selektivt. Meredith Whittaker var tydlig i oktober 2025: om Signal tvingas välja mellan krypteringen och den europeiska marknaden väljer Signal krypteringen.
WhatsApp och Meta kom med samma varning. En Meta-talesperson formulerade det: “det senaste förslaget från EU-rådets ordförandeskap underminerar fortfarande end-to-end-kryptering och äventyrar integriteten, friheten och den digitala säkerheten för alla.”
Konsekvensen av att Signal och WhatsApp lämnar EU är inte att europeiska barn blir säkrare. Det är att 450 miljoner medborgare tvingas flytta till alternativa krypterade tjänster som ProtonMail, Wickr eller andra, eller att de kommunicerar osäkrare. Faktiska förövare, de som faktiskt delar CSAM på Darknet, har redan lämnat Facebook Messenger.
Hur röstade Sverige om Chat Control?
I riksdagens justitieutskott den 14 september 2023 presenterade statssekreterare Charlotte Kugelberg den svenska regeringens position. I protokollet, nu offentligt, framgår det explicit:
“En spårningsorder måste i sista hand kunna verkställas utan hinder av att en tjänst är krypterad, till exempel genom en maskinscanning innan meddelandet krypteras och skickas.”
Det är client-side scanning. Ordagrant.
Stödet kom från M, KD, L, S och MP. Vänsterpartiet, Centerpartiet och Sverigedemokraterna var motsträviga. MP pudlade sedan med att de “röstat fel”. Vänsterpartiet hänvisade till ett principbeslut om att inte samarbeta med SD i utskott.
I november 2025, när den danska kompromissen presenterades för justitieutskottet, välkomnade statssekreterare Mikael Kullberg förslaget. Han menade att det rörde sig “i rätt riktning” eftersom “risker för omfattande övervakning markant mildrats”. Sverige röstade för mandatet i COREPER.
Det är värt att notera att Sverige parallellt, sedan februari 2025, arbetar med en lagrådsremiss som ger polisen och Säpo tillgång till krypterade kommunikationer även nationellt. EU-debatten och den inhemska övervakningsexpansionen är inte separata processer.
Var befinner sig Chat Control 2.0 nu?
Trilogförhandlingarna pågår. Den första sessionen hölls 9 december 2025. Den femte och sista planerade är 29 juni 2026. Ett eventuellt antagande av reglering väntas juli 2026.
Splittringen är fortfarande djup. EU-parlamentet antog sitt förhandlingsmandat i november 2023, nästan enhälligt, och utesluter obligatoriska skanningsorder, client-side scanning och massövervakning utan misstanke. EU-rådet, som representerar regeringarna, har ett mandat som gör “frivillig” skanning permanent.
“Frivillig” är ett begrepp som kräver dekonstruktion. I rådets mandat är frivillig skanning listad som en “riskreducerande åtgärd”. Om en tjänst klassas som “hög risk” utlöser det obligatoriska reduceringsåtgärder. Och frivillig skanning räknas som en av dessa åtgärder. Logiken innebär att du inte tvingas skanna, men att dina obligatoriska åtgärder kan inkludera att du väljer att skanna frivilligt.
Patrick Breyer: “Chat Control is not dead, it is just being privatized.”
Yttrandefrihet, digital integritet och rätten till privat kommunikation är grundläggande rättigheter i EU:s stadga. Trilogförhandlingarnas slutresultat kommer att avgöra om de är mer än formalia.
Vad fungerar faktiskt mot CSAM?
EU-parlamentets förhandlingsmandat innehåller konkreta alternativ. Proaktiv crawling av offentligt tillgängligt innehåll på nätet och Darknet för att identifiera känt CSAM. Rapporteringsskyldighet för leverantörer som stöter på tydligt olagligt material. Riktad telekomövervakning med domstolsbeslut mot specifika misstänkta personer.
Europol rapporterar inte känt CSAM till lagringstjänster för borttagning. Det är inte ett resursfel. Det är ett policyproblem. Och det är det problemet som sällan diskuteras: ett av de mest effektiva verktygen mot spridning av barnsexuellt material ignoreras systematiskt, medan man driver lagstiftning som skannar semesterfoton.
Brittiska och tyska kriminalpoliser med faktisk erfarenhet av utredningar mot producenter och förövare är kritiska till Chat Control. Kriminologen Thomas-Gabriel Rüdiger vid Brandenburgs polishögskola konstaterar att de verkliga förövarna använder krypterade arkiv och privata forum, inte Facebook Messenger. Scanning av kommersiella meddelandetjänster fångar inte dem. Det fångar barn som sextade med jämnåriga.
Den europeiska debatten förtjänar den ärligheten.
