„Chat Control” jest to potoczna nazwa projektu unijnego prawa, będąca częścią szerszej regulacji, która ma służyć przeciwdziałaniu seksualnemu wykorzystywaniu dzieci online CSAR (zwane formalnie CSA Regulation lub CSAR – Child Sexual Abuse Regulation). Oficjalnie celem tych działań jest zwalczanie rozprzestrzeniania materiałów z udziałem nieletnich CSAM (Child Sexual Abuse Material, czyli „materiały przedstawiające wykorzystywanie seksualne dzieci”) oraz przeciwdziałanie groomingowi (proces manipulacji, który ma na celu zdobycie zaufania i budowanie emocjonalnej więzi z ofiarą, często małoletnią, w celu jej wykorzystania). Wstępnie przewidziano w tym projekcie analizę treści na urządzeniu użytkownika przed jej zaszyfrowaniem, co oznaczałoby potencjalne osłabienie szyfrowania end-to-end (metoda zabezpieczania komunikacji, w której dane są szyfrowane na urządzeniu nadawcy i odszyfrowywane dopiero na urządzeniu odbiorcy).

W praktyce co najmniej od 2021 roku Komisja Europejska prowadzi działania w celu wdrożenia mechanizmów skanowania prywatnej komunikacji cyfrowej. Jako oficjalny cel takich działań podawane jest przeciwdziałanie rozprzestrzenianiu materiałów pornograficznych z udziałem nieletnich. W związku z tym na podstawie tymczasowej regulacji pozwolono właścicielom platform takich jak Facebook i Google, skanowanie wiadomości prywatnych użytkowników pod kątem niewłaściwych treści. I Chociaż działania takie miały być tymczasowe przygotowały jednak grunt pod bardziej zaawansowane i rozszerzone rozwiązania. Już w 2022 roku została podjęta kolejna próba wdrożenia „Chat Control”, regulacji na podstawie, której obowiązkowo skanowane miałyby być wszystkie wiadomości, zarówno te zaszyfrowane, jak też pozostałe, pod kątem wykrywania niewłaściwych treści i groomingu. Regulacja ta została zaproponowana 11 maja 2022 r. przez Komisarz Ylvę Johansson. Projekt ten został jednak odrzucony z powodu sprzeciwu rządów państw członkowskich UE w tym Polski. W latach 2023-2024 były kolejne próby wprowadzenia analogicznych regulacji, które pomimo złagodzonego nazewnictwa, nadal oznaczałyby podważanie i osłabianie mechanizmów szyfrowania. Ponownie, m.in. ze względu na brak precyzyjnego opisu planowanych rozwiązań, rządy państw członkowskich odrzuciły projekt. W bieżącym roku w ramach prezydencji Belgii ponownie były prowadzone działania w celu wdrożenia „Chat Control”. Pomimo, że ostatnia wersja zakłada złagodzenie regulacji i dobrowolność w praktyce proponowane rozwiązania ciągle zmierzają do osłabienia lub ominięcia mechanizmów szyfrowania, co może prowadzić do masowej inwigilacji użytkowników.

Obecny stan legislacyjny (na listopad 2025) jest następujący:

• Parlament Europejski odrzucił obowiązkowy, nieograniczony skan i zaproponował ukierunkowany monitoring z poszanowaniem szyfrowania end-to-end;
• Rada UE po negocjacjach pod przewodnictwem duńskiej prezydencji (lipiec 2025) wycofała się z nakazów skanowania i przyjęła model dobrowolnego skanowania oraz zarządzania ryzykiem;
• nadal toczą się trilogi między Parlamentem, Radą i Komisją UE. Reforma ta nadal jest niezatwierdzona, jednak ma być kładziony silny nacisk na ochronę szyfrowania i prywatności.

Projekt unijnego prawa Chat Control budzi liczne kontrowersje, zarówno środowisk zainteresowanych aspektami prawnymi jak i środowisk kładących nacisk na zagadnienia techniczne.

Zdaniem EDRi (European Digital Rights – europejska organizacja non-profit, działających na rzecz obrony praw cyfrowych i ochrony prywatności w internecie) definiuje Chat Control jako „masową inwigilację” i naruszenie zasady domniemania niewinności, a wdrożone regulacje będą prowadzić do ocenzurowania prywatnej komunikacji porównują do „zainstalowania spersonalizowanego spyware”. Z kolei EFF (Electronic Frontier Foundation) wraz z EDRi ostrzegają, że propozycja tworzy system „detection orders” umożliwiający dostęp do wiadomości użytkowników bez uprawnień sądowych, co jest naruszeniem wolności i prawa do prywatnej korespondencji.

Ponad 500 kryptografów we wrześniu 2025 roku skierowało list otwarty do rządów państw członkowskich UE oraz Członków Parlamentu Europejskiego i Rady UE, czyli instytucji odpowiedzialnych za ostateczne głosowanie. List ten został podpisany przez, ekspertów i naukowców z 34 krajów. Intencją tego listu było wywarcie wpływu na stanowiska przywódców państw członkowskich oraz instytucji europejskich.

Ponadto eksperci GEC & Global Encryption Coalition oraz ostrzegają, że obowiązkowe skanowanie po stronie klienta (client-side scanning – CSS) niszczy end-to-end encryption (E2EE), wprowadza poważne luki bezpieczeństwa i staje się atrakcyjnym celem dla hakerów i państw‐przestępców. Zespół 18 renomowanych ekspertów z ETH Zurich, KU Leuven i Max Planck Institute wskazuje, że technologicznie aktualna AI nie jest dostatecznie precyzyjna do wykrywania grooming’u lub treści CSAM bez generowania wysokiego wskaźnika fałszywych pozytywów, co mogłoby wygenerować lawinę błędnych zgłoszeń. W rzeczywiści ilość krytycznych głosów jest niepokojąco duża i nie sposób przywołać i zacytować choćby większość z nich.

Trudno obecnie stwierdzić kiedy i w jakiej wersji zostaną wprowadzone regulacje Chat Control. Z całą pewnością prace nad tym projektem będą trwały i wprowadzenie nawet bardzo łagodnej regulacji, która będzie przewidywać całkowicie dobrowolne stosowanie skanowania treści wiadomości, nie zakończy dążeń do ustanowienia bardziej restrykcyjnego prawa.

Decydenci nie powinni ignorować głosów krytycznych, zarówno organizacji zajmujących ochroną praw obywatelskich, jak ekspertów wypowiadających się w kwestiach technicznych. Zaproponowane do tej pory rozwiązania wydają się bardzo niedoskonałe z punktu widzenia technicznego jak również stwarzają poważne zagrożenia dla ochrony prywatności osób korzystających z elektronicznych narzędzi komunikacji.

Systemy automatyczne mogą generować błędy, a skanowanie prywatnej poczty może prowadzić do analiz wrażliwych treści bez wyraźnego powodu. Osłabienie szyfrowania end-to-end stwarza lukę prawną w kontekście RODO – może prowadzić do naruszenia zasady integralności i poufności danych oraz utrudnienia lub uniemożliwienia zastosowania wymagań dotyczących oceny skutków dla ochrony danych (DPIA).

Źródło:

1. https://edri.org/our-work/csa-regulation-document-pool/
2. https://www.eff.org/deeplinks/2024/06/now-eu-council-should-finally-understand-no-one-wants-chat-control
3. https://www.globalencryption.org/2025/09/gec-steering-committee-statement-on-1-july-text-of-the-european-csa-regulation/
4. https://www.patrick-breyer.de/en/danger-to-democracy-500-top-scientists-urge-eu-governments-to-reject-technically-infeasible-chat-control/