Tag: NIS2

Wprowadzenie do problemu / definicja luki

„Chat Control” to potoczne określenie unijnej Regulacji w sprawie zapobiegania i zwalczania wykorzystywania seksualnego dzieci (CSAR), która w ostatnich latach była rozwijana w Radzie UE. Jej najbardziej kontrowersyjne elementy przewidywały obowiązkowe wykrywanie (scanning) treści i komunikacji użytkowników – w tym na platformach z end-to-end encryption (E2EE) – pod kątem CSAM (Child Sexual Abuse Material) oraz tzw. grooming’u. 30 października 2025 r. media branżowe i polityczne poinformowały, że Dania – sprawująca prezydencję w Radzie – wycofuje się z forsowania obowiązkowych nakazów wykrywania. To istotna zmiana kierunku w kluczowym momencie prac.

W skrócie

• Dania nie będzie dalej pchać w Radzie UE wersji CSAR z obowiązkowym skanowaniem komunikatorów (w tym E2EE).
• Decyzja następuje po silnej krytyce ze strony państw członkowskich, organizacji cyfrowych praw człowieka i ekspertów kryptografii.
• Październikowe głosowanie w Radzie nad „Chat Control” i tak zdjęto z agendy z powodu braku większości; dalsze prace mogą wrócić w kolejnych miesiącach w innej formule.
• Dla branży to oddech ulgi, ale nie „koniec historii” — możliwe są modyfikacje i nowe kompromisy.

Kontekst / historia / powiązania

W latach 2024–2025 kolejne prezydencje Rady próbowały znaleźć kompromis w CSAR, jednak brakowało większości dla wersji naruszających prywatność i szyfrowanie. Prezydencja duńska od lipca 2025 r. sygnalizowała, że nada temu projektowi wysoki priorytet, przedstawiając w lipcu własny kierunek prac. W połowie października zaplanowane głosowanie ministrów spraw wewnętrznych zostało odwołane wobec oporu części państw; teraz – po kolejnych tygodniach krytyki – Kopenhaga odstępuje od najbardziej kontrowersyjnych zapisów.

Analiza techniczna / szczegóły luki

Najbardziej sporne mechanizmy w CSAR obejmowały:

• Nakazy wykrywania (detection orders) kierowane do dostawców, skutkujące masowym skanowaniem treści użytkowników pod kątem CSAM. W praktyce wymaga to analizy zdjęć, plików i wiadomości, również w komunikatorach szyfrowanych E2EE.
• Skanowanie po stronie klienta (CSS) – wykrywanie treści przed zaszyfrowaniem na urządzeniu użytkownika; eksperci kryptografii wskazywali na nieusuwalne skutki uboczne: zwiększone ryzyko błędów detekcji oraz tworzenie wektorów ataku (model „wbudowanej inwigilacji”).
• Wpływ na E2EE – nawet bez formalnego „osłabienia” algorytmów, CSS de facto obchodzi gwarancje E2EE, bo treść jest oceniana przed szyfrowaniem; to systemowa podatność z perspektywy bezpieczeństwa informacji.

Decyzja Danii o wycofaniu wsparcia dla obowiązkowych nakazów oznacza, że taki model detekcji traci polityczne koło zamachowe w Radzie. Heise i Euractiv relacjonują, że prezydencja „odkłada do szuflady” przymusowe skanowanie jako warunek prac nad CSAR.

Praktyczne konsekwencje / ryzyko

Dla dostawców usług (SaaS, komunikatory, platformy UGC):

• Mniejsze bezpośrednie ryzyko konieczności wdrażania globalnych pipeline’ów skanowania, ingerujących w architekturę E2EE oraz łańcuch dostaw SDK/OS.
• Ryzyko regulacyjne pozostaje: możliwy powrót projektu w wersji „miękkiej” (dobrowolne wykrywanie, ograniczone zakresy, wzmocnione gwarancje prawne).

Dla zespołów bezpieczeństwa i zgodności:

• Odroczenie kosztownych decyzji architektonicznych, ale konieczność utrzymania gotowości (privacy engineering, legal).
• Wciąż obowiązują inne reżimy (DSA, e-Evidence, NIS2, krajowe przepisy dot. retencji i zgłaszania nadużyć) – brak „Chat Control” nie znosi istniejących obowiązków.

Dla użytkowników i organizacji społeczeństwa obywatelskiego:

• Krótkoterminowo: ochrona integralności E2EE i prywatności.
• Długoterminowo: potrzeba konstruktywnych alternatyw przeciwko CSAM bez masowej inwigilacji (wzmocnienie ścieżek dochodzeniowych, lepsza współpraca organów ścigania, wsparcie NCMEC/Europol, mechanizmy „on-device safety” sterowane przez użytkownika).

Rekomendacje operacyjne / co zrobić teraz

Dla CISO/CTO i zespołów produktu

1. Zamroź prace nad CSS/E2EE-bypass jako funkcjami „compliance only”; skup się na detekcji po stronie serwera dla treści publicznych/pół-publicznych (np. hostingu) z silnym nadzorem prawnym.
2. Modeluj ryzyko: przygotuj warianty architektury dla scenariuszy „dobrowolne wykrywanie” vs „nakazy ograniczone” – bez ingerencji w E2EE czatu 1:1.
3. Privacy by design: wdrażaj minimalizację danych, bezpieczne raportowanie i audyty algorytmów (precision/recall, bias, FP/FN), by uniknąć szkód dla użytkowników.

Dla działów prawnych/compliance

1. Monitoruj stan prac w Radzie UE i dokumenty prezydencji/COREPER (EDRi prowadzi aktualizowany przegląd materiałów).
2. Weryfikuj zgodność z istniejącymi ramami (DSA, RODO, e-Privacy) oraz lokalnymi wymogami dot. zgłaszania nielegalnych treści.
3. Przygotuj noty dla zarządu: wpływ na roadmapę szyfrowania, koszty ewentualnych pivotów, scenariusze lobbingu branżowego.

Dla zespołów IR/Trust & Safety

• Utrzymuj współpracę z organami ścigania w modelu targeted, warrant-based; usprawnij procesy hash-matching dla treści zgłaszanych lub publicznych, bez masowego skanowania prywatnych komunikatów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Wcześniejsze szkice Rady: wersje z lata i jesieni 2025 r. przewidywały obowiązkowe skanowanie, także dla E2EE; stanowisko Danii z 30 października od tego odchodzi.
• Praktyka platform: wiele serwisów już stosuje hash-matching dla treści publicznych/przesyłanych do chmury; różnica polega na braku skanowania komunikacji prywatnej i zachowaniu E2EE. (Syntetyczne porównanie na podstawie przeglądu materiałów EDRi oraz doniesień prasowych).

Podsumowanie / kluczowe wnioski

Decyzja Danii to znaczący zwrot: bez aktywnego wsparcia prezydencji obowiązkowe „Chat Control” traci impet w Radzie UE. Nie oznacza to jednak końca prac nad CSAR — raczej reset kierunku w stronę rozwiązań bardziej proporcjonalnych i technicznie bezpieczniejszych. Firmy powinny odetchnąć, ale nie zasypiać: trzymać rękę na pulsie legislacyjnym, inwestować w privacy engineering i gotowe alternatywy do zwalczania CSAM bez łamania E2EE.

Źródła / bibliografia

1. The Record: „Denmark reportedly withdraws Chat Control proposal following controversy” (30 października 2025). (therecord.media)
2. Euractiv: „Danish Council presidency backs away from ‘chat control’” (30–31 października 2025). (euractiv.com)
3. heise online: „Denmark surprisingly abandons plans for chat control” (30 października 2025). (heise.de)
4. Brussels Signal: „EU’s ‘chat control’ vote scrapped amid continuing opposition” (10 października 2025). (Brussels Signal)
5. EDRi: „CSA Regulation – document pool i przegląd prac” (wrzesień–październik 2025). (European Digital Rights (EDRi))