What Is Chat Control?
The EU's proposed regulation to combat child sexual abuse material (CSAM) through automated message scanning has become one of the most contentious digital rights debates in Europe. This guide explains what Chat Control is, how it works technically, where the legislation stands, and what it could mean for your privacy.
Что такое Chat Control?
The term "Chat Control" was coined by digital rights activists and journalists to refer to a set of EU legislative measures aiming to combat the spread of child sexual abuse material (CSAM) and online grooming through automated analysis of user communications.
Two parallel tracks
The legislative framework has two separate paths. Chat Control 1.0 is a temporary, voluntary derogation from the ePrivacy Directive that allows companies to use detection technologies. Chat Control 2.0 is a proposed permanent regulation (CSAR) that would mandate risk assessments and potentially require detection orders for all applicable providers across the EU.
What it scans
Messages, images, videos and files transmitted through instant messaging, email, social media private chats and VoIP services.
Why it matters for privacy
For the first time, a major democratic jurisdiction is considering mandating that private communications be scanned before they are sent, creating technical mechanisms that critics argue fundamentally weaken end-to-end encryption for everyone.
Current status
The temporary regime (1.0) was extended until April 2028 in a controversial July 2026 vote. Trilogue negotiations on the permanent regulation (2.0) continue with deep divisions between the Parliament, Council and Commission.
How the Scanning Actually Works
The technical implementation of Chat Control depends on whether the service uses end-to-end encryption. Two fundamentally different approaches apply.
Server-Side Scanning
On platforms without end-to-end encryption, images, text and videos are analysed automatically on the company's servers before being delivered to the recipient or stored. This is technically simpler and already common for detecting known CSAM hashes.
- Applies toTraditional email, non-E2EE cloud storage, server-side platforms
- Technical impactNo change to existing encryption architecture
- Privacy concernProvider has access to all content by design
Client-Side Scanning
For services protected by end-to-end encryption (E2EE), the provider's servers cannot read content. To scan anyway, the proposal places detection software on the user's device itself — scanning the message just before it is encrypted for sending, or just after it is decrypted upon receipt.
- Applies toWhatsApp, Signal, Telegram, iMessage, ProtonMail, E2EE apps
- Technical impactCreates a scanning agent inside the trusted device boundary
- Privacy concernCritics say this structurally weakens the encryption model
Detection Methods
Сравнение хэшей
Files are compared against international databases of known CSAM images and videos using unique digital fingerprints (hash values). Only pre-identified illegal content is flagged.
Классификация ИИ
Machine learning classifiers and vision models trained to detect previously unseen illegal material, new CSAM content not yet registered in hash databases, and suspicious patterns in visual content.
Grooming Detection
Natural language processing (NLP) models trained to detect patterns of predatory behaviour in conversations. These algorithms analyse text for linguistic markers associated with the grooming process.
Key Events in the Chat Control Timeline
From the original proposal to the latest emergency vote, the path of this regulation has been marked by deep institutional divides and procedural controversy.
The European Commission publishes the official permanent regulation proposal COM(2022) 209, titled "Regulation to prevent and combat child sexual abuse." It proposes mandatory risk assessments and detection orders for all communication providers.
The European Parliament approves its negotiating mandate, explicitly rejecting mass scanning of encrypted communications and calling for detection orders to be limited to specific, court-authorised targets with reasonable suspicion.
The Council of the EU reaches a preliminary internal agreement that softens the explicit mandatory scanning language but retains generalised technical mitigation obligations, keeping the door open to client-side scanning requirements.
The European Parliament votes 311 against to 228 в пользу продления временного отступления Chat Control 1.0. Режим добровольного сканирования истекает 3 апреля.
The ePrivacy derogation expires as scheduled. For approximately three months, voluntary scanning operates without its specific legal safe harbour under EU law.
Under the Cypriot Presidency, the fifth trilogue between the Commission, Parliament and Council takes place to negotiate the final text of permanent Chat Control 2.0. Key disagreements on encryption and scope remain unresolved.
In a fast-track emergency vote under Article 170, the European Parliament votes 314 against to 276 in favour of extension. Despite more votes against, the measure passes because 361 absolute votes were needed to block the Council's proposal. The voluntary scanning regime is restored and extended to April 3, 2028, pending formal ratification by member states within three months.
Which Services Are Affected?
The legal definitions under the European Electronic Communications Code cover a broad spectrum of everyday digital communication technologies.
Where EU Institutions Stand
The three main EU bodies are deeply divided on Chat Control, creating a legislative deadlock that has delayed consensus for years.
European Commission
Original proponent of the permanent regulation. Led initially by Home Affairs Commissioner Ylva Johansson. Argues voluntary tools are insufficient and a coordinated, technology-forward structure is needed to address the massive increase in online CSAM.
European Parliament
Majority opposed to indiscriminate scanning. Advocates for protecting end-to-end encryption, restricting detection orders to individuals with substantiated suspicion under prior judicial warrant, and eliminating mass automated surveillance.
Council of the EU
Deeply divided. France, Spain and the Cypriot Presidency push for broad detection capabilities. Germany formally stated in October 2025 it would vote against any framework that risks E2EE. Austria, Poland and the Netherlands have expressed serious objections.
Arguments For and Against
The public debate on Chat Control pits child protection against fundamental digital rights. Here are the main arguments on both sides.
+ In Favour
European Commission, child protection NGOs
Efficacy and urgency: Millions of CSAM files are distributed through digital platforms monthly. Automated analysis is argued to be the only method with sufficient scale and speed to identify distribution hubs and dismantle criminal networks.
Grooming prevention: Text scanning algorithms could intercept offenders in the early stages of contacting minors, before physical abuse occurs.
Corporate responsibility: Mandates large technology corporations to take a proactive role in child safety within their closed ecosystems.
– Against
Cybersecurity experts, digital rights advocates, tech industry
Backdoor для шифрования: Сканирование на стороне клиента структурно ослабляет E2EE. Создание механизма доступа до шифрования вводит уязвимости, которыми могут воспользоваться злоумышленники, киберпреступники и авторитарные правительства.
Mass surveillance: Intercepting and analysing all communications without suspicion of wrongdoing subverts the presumption of innocence and normalises mass surveillance.
False positives: AI detection systems have error rates. Innocent family photos (beach, bath) or legitimate conversations about sexual health could be flagged, sending private data to authorities.
Questionable effectiveness: Internal EU reports (COM(2025)740) found no statistically demonstrable link between voluntary scanning activities and increased convictions or effective rescues of minors compared to traditional targeted police investigation.
Часто задаваемые вопросы
Chat Control — это неформальное название законодательных инициатив ЕС по борьбе с материалами о сексуальном насилии над детьми (CSAM) и онлайн-грумингом. Она включает временную добровольную меру (Chat Control 1.0) и предлагаемое постоянное регулирование (Chat Control 2.0, официально Регламент CSAR), которое потребует от поставщиков цифровых коммуникаций обнаруживать незаконный контент путем автоматизированного анализа сообщений, файлов и коммуникаций.
Chat Control 1.0 (Регламент 2021/1232) представляет собой временное отступление от Директивы ePrivacy, которое разрешает — но не требует — компаниям добровольно использовать технологии обнаружения. Оно было продлено до апреля 2028 года. Chat Control 2.0 (COM(2022) 209) — это предлагаемое постоянное регулирование, которое сделает оценки риска обязательными и наделит власти правом выдавать обязательные предписания об обнаружении. Оно все еще находится на стадии переговоров в трилоге.
Критики утверждают, что сканирование на стороне клиента — единственный технически возможный способ сканировать E2EE-контент — создает структурную уязвимость в модели шифрования. Компьютерные специалисты и агентства безопасности предупреждают, что любой механизм сканирования до шифрования на устройствах пользователей может быть использован как backdoor злоумышленниками, подрывая защиту, которую E2EE обеспечивает всем пользователям, а не только тем, кто подозревается в неправомерном поведении.
Первоначальное отступление истекло 3 апреля 2026 года после того как Парламент проголосовал против продления 26 марта (311-228). 9 июля 2026 года, в рамках срочной процедуры по Статье 170, запрошенной Кипрским председательством, Парламент проголосовал снова: 314 против продления, 276 за, 17 воздержались. Поскольку процедуры срочности требуют 361 абсолютный голос (большинство от 720 мест) для блокировки предложения Совета, продление было принято, несмотря на то, что больше евродепутатов были против. Режим добровольного сканирования восстановлен до 3 апреля 2028 года.
Client-side scanning places detection software on the user's device (phone, tablet, computer). Before a message is encrypted for sending — or immediately after it is decrypted upon receipt — the software analyses the content. Используются три основных техники: (1) сравнение хэшей с известными базами данных CSAM, (2) классификаторы ИИ и модели зрения для нового или нераспознанного незаконного материала, и (3) алгоритмы обработки естественного языка для обнаружения груминга в тексте разговора.
Регуляции охватывают: мессенджеры (WhatsApp, Signal, Telegram, iMessage), приватные чаты в социальных сетях (Instagram, Facebook Messenger, TikTok, X, Snapchat), электронную почту (Gmail, Outlook, ProtonMail), VoIP и видеозвонки, а также — согласно предложению Chat Control 2.0 — магазины приложений, которые должны будут проверять возраст пользователей и потенциально ограничивать загрузки для пользователей моложе 16 лет.
Четыре основных критики: (1) это структурно ослабляет сквозное шифрование, создавая механизм, подобный backdoor; (2) это обеспечивает массовую слежку за всем населением без индивидуальных подозрений, подрывая презумпцию невиновности; (3) системы обнаружения на ИИ дают ложные срабатывания, которые могут раскрыть личные данные властям; и (4) внутренняя оценка ЕС (COM(2025)740) не выявила статистически доказанной связи между добровольным сканированием и увеличением осуждений или эффективным спасением детей.
По состоянию на июль 2026 года, постоянный регламент CSAR (Chat Control 2.0) все еще находится на стадии переговоров в трилоге между Комиссией, Парламентом и Советом. Пятая сессия трилога состоялась 29 июня 2026 года под Кипрским председательством. Ключевые разногласия остаются, особенно в отношении объема предписаний об обнаружении, защиты сквозного шифрования и исключений для определенных категорий пользователей.
Недавние тексты переговоров Совета конца 2025 и середины 2026 года включают предлагаемые функциональные исключения для определенных категорий персонала, включая политиков, дипломатов, сотрудников полиции и военнослужащих, ссылаясь на причины национальной безопасности. Критики утверждают, что это создает двухуровневую систему конфиденциальности, где обычные граждане имеют более слабую защиту, чем государственные должностные лица.
NOLO — это AI-ассистент с приоритетом конфиденциальности, который считает, что сбор данных должен быть минимизирован, а конфиденциальность пользователей защищена по проекту. Мы не управляем платформой обмена сообщениями и не подпадаем напрямую под эти регуляции. Однако мы внимательно следим за дебатами, поскольку предложенные технические механизмы — особенно сканирование на стороне клиента — создают прецеденты для того, как правительства могут обязывать доступ к частным коммуникациям. Собственная архитектура NOLO (без аккаунта, без электронной почты, локальная история, нулевое хранение данных) отражает приверженность тем же принципам конфиденциальности, которые защищают критики Chat Control.
Privacy isn't a feature. It's the foundation.
Chat Control represents a pivotal moment for digital privacy in Europe. The outcome of this debate will shape whether end-to-end encryption can survive as a meaningful privacy protection, or whether all digital communications become subject to automated surveillance by design. We built NOLO on the conviction that privacy should be the default, not an exception.
- No account, no email — your identity is an anonymous device ID
- Local-first history — conversations stored only in your browser
- Zero data retention — messages are answered then discarded server-side
- No training on your data — providers are contractually barred
- Transparent about what leaves your device — and what doesn't
Know your digital rights.
The Chat Control debate affects everyone who uses encrypted messaging. Understanding the proposals, the arguments, and the status of the legislation is the first step to making your voice heard.