Avrupa Birliği (AB), şifreli mesajların taranması konusunda kritik bir karar arefesinde. Kolluk kuvvetleri ve uzmanlar, teknoloji firmalarının şifreli mesajları potansiyel çocuk istismarı içerikleri açısından taramasını zorunlu kılacak önerileri görüşmek üzere 12 Eylül 2025 tarihinde bir araya geldi.
Danimarka’nın AB Konseyi Başkanlığı, “Chat Control” olarak adlandırılan ve halkın kullandığı şifreli iletişim servisleri aracılığıyla gönderilen şüpheli çocuk istismarı materyallerini tespit etmek amacıyla cep telefonları ve bilgisayarların toplu olarak taranmasını öngören bu öneriler için 14 Ekim 2025 tarihine kadar bir oylama yapılmasını hedefliyor.
Ancak bu önerilere yönelik tepkiler de büyüyor. 9 Eylül 2025 tarihinde 500’den fazla kriptograf ve güvenlik araştırmacısı, bir açık mektup imzalayarak bu önerilerin teknik olarak uygulanamaz olduğunu ve hacker’lar ile düşman devletler tarafından kötüye kullanılabilecek güvenlik açıkları yaratarak tüm Avrupa vatandaşlarının güvenliğini ve gizliliğini “tamamen baltalayacağını” belirtti.
Şifreli mesajlaşma servisi WhatsApp da Avrupa Birliği’nin taslak önerileriyle ilgili endişelerini dile getiren teknoloji şirketleri arasında yer alıyor. Bir WhatsApp sözcüsü, “AB Konseyi başkanlığının son önerisi, uçtan uca şifrelemeyi bozuyor ve herkesin gizliliğini, özgürlüğünü ve dijital güvenliğini riske atıyor” açıklamasında bulundu.
Avrupa Komisyonu ilk olarak 2022’de teknoloji şirketlerine e-postaları ve mesajları potansiyel çocuk istismarı içeriği açısından tarama zorunluluğu getirilmesini önermişti. Ancak bu planlar, önerilerin AB vatandaşlarının güvenliğine ve gizliliğine zarar vereceği endişeleriyle üye devletlerin azınlığı tarafından engellenince askıya alınmıştı.
Danimarka başkanlığı, Temmuz 2025’te şifreli iletişim servislerinin güvenliğini koruma ve potansiyel olarak yasa dışı içeriği belirleme arasında bir denge kurmayı amaçlayan bir uzlaşma önerdi.
Danimarka taslağı, önerilen düzenlemedeki hiçbir şeyin şifrelemeyi “yasaklayan, zayıflatan veya engelleyen” bir şekilde yorumlanmaması gerektiğini belirtiyor ve teknoloji şirketlerinin uçtan uca şifreli hizmetler sunmaya devam etmesine açıkça izin veriyor.
Ancak aynı zamanda, teknoloji şirketlerinin telefonlarda ve bilgisayarlarda, bilinen çocuk istismarı içeriğiyle ilişkili olabilecek resim, video veya URL’leri şifrelenmeden ve iletilmeden önce taramak için “denetlenmiş teknolojiler” kullanmasını da zorunlu kılıyor.
Teknoloji şirketlerinden ayrıca, daha önce bilinmeyen istismar görüntülerini tespit etmek için yapay zeka (AI) ve makine öğrenimi algoritmaları geliştirmeleri de istenecek.
10 Eylül 2025 itibarıyla, yaklaşık 15 üye devlet Danimarka’nın önerilerini desteklerken, altı üye devlet kararsız ve altı üye devlet de karşı çıkıyor. Karşı çıkanlar arasında vatandaşların iletişiminin toplu olarak gözetlenmesi konusunda endişelerini dile getiren Belçika, Polonya, Finlandiya ve Çek Cumhuriyeti yer alıyor. Destekleyenler arasında Fransa, İtalya, İspanya ve İsveç bulunuyor. Almanya ise henüz kararsız.
Her üye devlet, sahip olduğu temsilci sayısına göre oy alıyor ve büyük ülkeler nihai karar üzerinde daha fazla etkiye sahip oluyor.
Danimarka’nın uzlaşma anlaşması şifreleme hakkında ne diyor?
- Herkese açık, uçtan uca şifreleme kullanan mesajlaşma servislerinin, iletilmeden önce istismar materyalini tespit etmesi gerekecek.
- Sağlayıcılar, uçtan uca şifreleme kullanan hizmetler sunmakta serbest kalmalı ve verilerin şifresini çözmek veya uçtan uca şifrelenmiş verilere erişim oluşturmak zorunda olmamalıdır.
- Şifreli servislerin kullanıcılarından, uçtan uca şifrelenmiş bir servis aracılığıyla gönderdikleri resim, video ve URL’lerin izlenmesine izin vermeleri istenecek.
- Onay vermeyen kullanıcılar, mesajlaşma servisinin diğer işlevlerini kullanarak resim, video veya URL içermeyen mesajlar gönderebilir.
- Uçtan uca şifrelenmiş servisler için tespit teknolojileri, kullanımlarının şifreleme tarafından sağlanan korumanın zayıflamasına yol açamayacağını doğrulamak için bir AB merkezi tarafından onaylanacak ve test edilecektir.
- AB Komisyonu, tespit teknolojilerini onaylama yetkisine sahip olacak.
- Tespit hizmetleri sağlayıcıları, yanlış pozitif ve yanlış negatifleri azaltmak için insan gözetimine sahip olmalıdır.
- Tespit teknolojileri, “bu riski azaltmak için herhangi bir etkili önlem almanın mümkün olmadığı siber güvenlik riskleri oluşturmamalıdır”.
Karşı çıkanlar, Chat Control’ün etkili bir şekilde milyonlarca Avrupalı için “şüphesiz” toplu gözetim getirdiğini iddia ediyor.
Kriptograflar ve güvenlik araştırmacıları, bu hafta yayınladıkları açık mektupta, cihaz üzerinde tespitin (istemci tarafı taraması olarak da bilinir) çocukların korunmasını iyileştireceğine dair hiçbir garanti olmaksızın uçtan uca şifrelemenin korumalarını “doğası gereği baltaladığını” uyarısında bulundu.
Tespit mekanizması, hacker’lar ve düşman devletler için yüksek değerli bir hedef haline gelecek ve bu da onu insanların mali veya siyasi çıkarları gibi diğer veri türlerini hedeflemek için yeniden yapılandırabilirler, dediler.
Ayrıca, politikacılar, gazeteciler, insan hakları çalışanları, AB memurları ve kolluk kuvvetleri memurlarının yanı sıra sıradan vatandaşlar tarafından kullanılan WhatsApp ve Signal gibi şifreli mesajlaşma uygulamalarının güvenliğini de baltalayacaktır, diye belirtildi mektupta.
Yeni öneriler, uçtan uca şifrelemenin ilkelerini “açıkça ihlal ediyor” ve korumasını zayıflatacak, “halkın gizlilik hakkını tehdit edecek” diye uyarıda bulunan bilim insanları, demokrasi ve ulusal güvenlik için potansiyel olarak ciddi sonuçları olabileceğini savundu.
Güvenlik araştırmacıları, bir kez tanıtıldığında, tarama teknolojisinin daha az demokratik rejimler tarafından muhalifleri ve rakipleri izlemek veya iletişimi sansürlemek için yeniden kullanılabileceğini iddia etti.
“Yeni öneriler, selefleri gibi, gözetim, kontrol ve sansür için emsalsiz yetenekler yaratacak ve daha az demokratik rejimler tarafından işlev kayması için doğal bir risk taşıyor” diye eklediler.
30 ülkeyi temsil eden güvenlik araştırmacıları, Danimarka’nın önerilerinin, yanlışlıkla şüpheli olarak tanımlanan resimleri gönderdiği için çok sayıda masum insanı soruşturma riskine atabileceği uyarısında bulundu.
Mektupta, “Mevcut araştırmalar, son teknoloji dedektörlerin kabul edilemez derecede yüksek yanlış pozitif ve yanlış negatif oranları vereceğini ve bu da onları yüz milyonlarca kullanıcı ölçeğinde geniş ölçekli tespit kampanyaları için uygunsuz hale getireceğini doğruluyor” denildi.
Bilim insanları, Chat Control’ün bilinmeyen istismar görüntülerini tanımlamak için yapay zeka ve makine öğrenimini kullanma önerilerinin de kusurlu olduğunu, çünkü “büyük sayıda hata yapmadan yasa dışı görüntüleri tanımlayabilen bilinen bir makine öğrenimi algoritması olmadığını” iddia etti.
Alman şifreli e-posta sağlayıcısı Tuta Mail, AB’nin Chat Control önerilerinin kabul edilmesi halinde, şifreli mesajlaşma servisine arka kapılar ekleyerek kullanıcılarına ihanet etmek yerine AB’ye karşı yasal işlem başlatacağını söyledi.
CEO Matthias Pfau, önerilerin Avrupa teknolojisine olan güveni baltalayacağını söyledi. “Sağlayıcıları şifrelemeyi bozmaya ve toplu gözetimi etkinleştirmeye zorlayarak, AB Avrupa ürünlerine olan güveni öldürecek ve kullanıcıları yabancı teknoloji devlerine yönlendirecek” diye ekledi.
Bir başka şifreli mesajlaşma servisi olan Session Technology Foundation’ın başkanı Alexander Linton, yeni güvenlik riskleri yaratmadan tarama yapmanın mümkün olmadığını söyledi.
Linton, “Danimarka’nın önerisi, azaltılamayan güvenlik riskleri oluşturan tarama teknolojilerinin kullanılmaması gerektiğini belirtiyor, ancak Linton bunun teknik olarak mümkün olmadığını söyledi.”
“Mevcut teknolojilerin hiçbiri bu standardı karşılamıyor – tüm istemci tarafı tarama teknolojileri yeni azaltılamayan riskler getiriyor” diye ekledi.
Avrupa hükümetleri tarafından kullanılan güvenli bir iletişim platformu olan Element’in CEO’su Matthew Hodgson, önerilen Chat Control düzenlemesinin temelde kusurlu olduğunu ve 450 milyon vatandaşın gizliliğini ve verilerini riske atacağını söyledi.
“Yasal dinleme için bir arka kapı ekleyerek şifrelemeyi baltalamak, kasıtlı olarak bir güvenlik açığı yaratmaktan başka bir şey değildir ve bunlar her zaman sonunda istismar edilir” diye ekledi.
Yıllarca süren bir Çin hack operasyonu olan Salt Typhoon, ABD vatandaşlarının çağrı kayıtlarına ve şifrelenmemiş iletişimlerine erişmek için ABD kamu telefon şebekesindeki kolluk kuvvetleri arka kapılarını kullandı.
Hodgson, Computer Weekly’ye “ABD hala vatandaşlarını sonuç olarak uçtan uca şifrelenmiş sistemlere yönlendiriyor” dedi.
Signal, geçen yıl gizlilik garantilerini baltalamak yerine mesajlaşma servisini Avrupa Birliği’nden çekeceği uyarısında bulunmuştu.
Kar amacı gütmeyen bir kuruluş olan Internet Society’nin hükümet işleri ve savunuculuk direktörü Callum Voge, istemci tarafı taramasının kötü aktörlere cihazlardaki tarama veritabanlarını tersine mühendislik yapma ve bozma fırsatları yarattığını söyledi.
Computer Weekly’ye “Şifrelemeyi bozmak, bir mektup Postaneden geçerken zarfın yırtılmasına benziyorsa, istemci tarafı taraması, siz mektubu yazarken birinin omzunuzun üzerinden okuması gibi olacaktır” dedi.
Yapay zeka taraması istismarı tespit etmede %99,5 oranında etkili olsa bile, her gün milyarlarca yanlış tanımlamaya yol açacağını söyledi.
“Bu, sistemi bunaltabilecek, aynı zamanda masum insanların yanlışlıkla yasa dışı çocuk istismarı materyali paylaştığı şeklinde etiketlenmesine yol açabilecek çok büyük bir sayı” diye ekledi.
Bilim insanları, “teknik bir çözüme” güvenmek yerine, hükümetlerin eğitim, ihbar hatları ve istismarla mücadele için kanıtlanmış diğer tekniklere yatırım yapması gerektiğini savunuyor.
Voge, Computer Weekly’ye politika yapıcıların çocukları koruyan ancak aynı zamanda açık ve güvenilir interneti destekleyen yaklaşımlara öncelik vermesi gerektiğini söyledi.
“Bu, mahkeme onaylı soruşturmalar, meta veri analizi, sınır ötesi işbirliği, mağdurlara destek, önleme ve medya okuryazarlığı eğitimi gibi hedefe yönelik yaklaşımlara daha fazla kaynak harcanması anlamına geliyor” diye ekledi.
Apple, dünyanın önde gelen bilim insanları, tedarikçinin girişimlerinin suça karşı etkili olmayacağını veya gözetimden koruyamayacağını bulan bir makale yayınladıktan sonra, iPhone’da çocuk istismarını tespit etmek için istemci tarafı taraması getirme planlarını düşürdü.
