Od dnešního dne, 8. května 2026, Instagram nepodporuje koncové (end‑to‑end) šifrované zprávy v Direct Messages. Meta změnu neoznámila velkou produktovou kampaní, ale březnovým blogovým příspěvkem a aktualizací stránky nápovědy. Změna se nedotkne většiny uživatelů z jednoduchého důvodu — naprostá většina z nich si tuto funkci nikdy nezapnula. Přesto považuji toto rozhodnutí za signál, který stojí za samostatný článek, protože ukazuje, jak křehká je ochrana soukromí, pokud existuje pouze jako volitelná funkce, a ne jako součást technické architektury služby.
Co se přesně mění
End‑to‑end šifrování (dále E2EE) je princip, kdy obsah zprávy zašifruje odesílatel a dešifrovat ho dokáže pouze příjemce. Provozovatel služby — v tomto případě Meta — k obsahu technicky nemá přístup, i kdyby chtěl, a i kdyby ho k tomu donutila soudní moc.
Po dnešku Instagram přechází zpět na takzvané standardní šifrování, tedy TLS. To chrání data při přenosu mezi zařízením uživatele a servery Mety, podobně jako u běžné webové stránky banky. Na serverové straně mohou být zprávy navíc šifrované „at rest“, to ale není totéž jako E2EE — na rozdíl od koncového šifrování může Meta s obsahem technicky nakládat. Konkrétně ho může analyzovat kvůli bezpečnosti, zpřístupnit na základě právního příkazu nebo zpracovat v rozsahu, který jí umožňují vlastní zásady a platné právo. Hranici už neurčuje kryptografie, ale pravidla provozovatele.
To je přesně ten rozdíl, který jsem dříve popsal v článku o metadatech: u E2EE je ochrana zakotvená v matematice, u standardního šifrování v politice provozovatele. První nelze obejít rozhodnutím managementu, druhou ano.
Funkce E2EE byla na Instagramu zavedena v prosinci 2023 jako volitelná. Uživatel ji musel ručně aktivovat pro každou konverzaci zvlášť, nikdy nebyla výchozí, nikdy nefungovala plošně ve všech regionech a v nastavení byla zanořená tak, že o ní mnoho lidí ani nevědělo. Meta nyní jako hlavní důvod ukončení uvádí nízkou adopci.
Proč zrovna Instagram
Nejzajímavější otázka totiž není „proč Meta ruší E2EE“, ale „proč zrovna na Instagramu, když ho zároveň udržuje na WhatsAppu a v Messengeru“. Právě tato asymetrie podle mě oslabuje jednoduché vysvětlení nízkou adopcí.
WhatsApp má E2EE výchozí pro všechny konverzace a hovory. Messenger postupně zavádí výchozí E2EE pro osobní zprávy od prosince 2023. Instagram ale tento směr opouští úplně. Pokud by hlavním motivem byly bezpečnostní obavy nebo regulatorní tlak, dalo by se očekávat plošné rozhodnutí napříč ekosystémem. Místo toho jde Meta cestou, která se konkrétně Instagramu přizpůsobuje.
A Instagram má v ekosystému Mety specifickou roli. Není to primárně komunikační platforma, ale vizuální sociální síť postavená na doporučovacích algoritmech, influencerech a reklamě. Obsah interakcí — včetně toho, co si lidé píší v DM — je pro tento model obchodně cennější než u WhatsAppu, který je především komunikační infrastrukturou. Meta v poslední době navíc upravila pravidla pro využívání interakcí s Meta AI k personalizaci a reklamnímu cílení. V této souvislosti dostává „nízká adopce“ druhý význam: pokud by se E2EE někdy stalo výchozím standardem na Instagramu, výrazně by to zkomplikovalo to, co je pro Instagram strategicky nejcennější.
Bezpečnostní argumenty jsou reálné, ale neúplné
Ve veřejné debatě dominují dva argumenty pro zrušení E2EE: ochrana dětí a soulad s novou regulací. Ani jeden z nich není smyšlený a oba si zaslouží vážné zacházení.
Bezpečnost dětí. V březnu 2026 porota v Novém Mexiku rozhodla, že Meta má zaplatit 375 milionů dolarů za porušení spotřebitelského práva v souvislosti s ochranou dětí, a druhá fáze procesu právě probíhá. V soudních materiálech zveřejněných v rámci sporu se objevily i interní dokumenty, podle kterých už v roce 2019 zaměstnanci Mety upozorňovali, že plošné nasazení E2EE výrazně sníží schopnost firmy detekovat materiály sexuálního zneužívání dětí. To je v souladu s tím, co dlouhodobě tvrdí Europol i řada dětsko‑bezpečnostních organizací.
Regulace. 19. května 2026, tedy 11 dní po dnešní změně, začínají pro platformy v USA platit povinnosti vyplývající z TAKE IT DOWN Actu. Sám zákon byl podepsán už v květnu 2025, ale platformy dostaly jednoletou lhůtu na zavedení systému, který umožní hlásit a do 48 hodin odstraňovat nevyžádaný intimní obsah včetně AI deepfaků, pod hrozbou sankcí Federální obchodní komise. Při plošně nasazeném E2EE by takový režim byl pro platformu obtížnější — zejména proaktivní vyhledávání a odstraňování identických kopií, které zákon také vyžaduje. Načasování zrušení E2EE těsně před touto deadline jako náhoda nepůsobí.
Tyto argumenty bych nepodceňoval. Problém je, že nejsou úplné. Stejně reálná jsou rizika, která zrušení E2EE přináší pro novináře komunikující se zdroji, pro obhájce v citlivých případech, pro přeživší domácího násilí, pro LGBTQ+ uživatele v represivních režimech a pro řadu dalších skupin, které spoléhají na důvěrnost. Steering Committee Global Encryption Coalition — složený z organizací Center for Democracy & Technology, Global Partners Digital, Internet Freedom Foundation, Internet Society a Mozilla — vyzval Metu, aby rozhodnutí zvrátila a místo rušení udělala z E2EE výchozí standard pro soukromé zprávy na Instagramu. Argument je jednoduchý: ochrana dětí a ochrana soukromí nejsou protiklady, a v praxi obě skupiny — i samotné děti — potřebují fungující šifrovanou komunikaci pro různé legitimní účely.
Spor tedy není o tom, jestli záleží na bezpečnosti dětí, ale o tom, jakou cenu jako společnost platíme za to, že provozovatelé platforem mají technickou možnost číst soukromou komunikaci všech uživatelů.
Šifrování jako funkce versus šifrování jako architektura
Toto je podle mě hlavní lekce celého případu. E2EE může existovat ve dvou velmi odlišných podobách.
V první variantě je to volitelná funkce uvnitř aplikace. Uživatel si ji může zapnout, ale nemusí. Provozovatel ji může v jakémkoli okamžiku zrušit jednou aktualizací stránky nápovědy, jak právě teď ukazuje Meta. Soukromí uživatele v takovém režimu závisí na obchodním a politickém rozhodnutí firmy.
Ve druhé variantě je šifrování součástí architektury služby. Provozovatel záměrně nenavrhuje systém tak, aby měl přístup ke klíčům — i kdyby chtěl obsah číst, technicky nemůže. Tak je postavený Signal, tak je postavený WhatsApp pro běžné zprávy, tak je postavený třeba i Proton ekosystém. Ochrana je v takovém případě zakotvená systémově, ne jako benefit, který lze vypnout.
Pro praktické rozhodování to znamená jednoduché pravidlo: pokud komunikace vyžaduje skutečnou důvěrnost — zdravotní, právní, pracovní, intimní nebo politicky citlivá témata — patří do služby, kde je E2EE výchozí a systémově zakotvené. Instagram DM tuto laťku dnes nesplňuje. Pro běžnou sociální komunikaci je dál v pořádku, ale není to kanál, ve kterém by měl člověk bez rozmyslu sdílet citlivé informace.
Co s tím dnes
Pokud jste na Instagramu šifrované chaty používali, Meta v aplikaci ukazuje pokyny, jak si stáhnout obsah, který si chcete uchovat. Stojí za to si tento export udělat dnes, protože po dnešku ke staré verzi konverzací přístup mít nebudete. Důležitý detail: pokud zálohu nahrajete do Google Drive, iCloudu nebo jiného cloudu, který neposkytuje end‑to‑end šifrování, vystavujete obsah dál — smysl exportu je v tom, aby skončil lokálně na vašem zařízení nebo v šifrovaném úložišti.
Pro citlivou komunikaci, která dosud probíhala v šifrovaných DM, doporučuji přesun na Signal nebo WhatsApp. Signal je nezávislý, open source a obecně považovaný za nejbezpečnější dostupnou volbu. WhatsApp je v rukou Mety, ale obsah zpráv má E2EE výchozí — i tak je vhodné pamatovat na to, že metadata o tom, kdo s kým a kdy komunikuje, šifrována nejsou ani tam.
Širší závěr je ale obecnější. Dnešní změna na Instagramu není drobná produktová úprava, ale test toho, jak velké platformy chápou soukromou komunikaci. Ochrana, která není vestavěná do architektury služby, není skutečná vlastnost produktu, ale jen slib. A slib velké platformy má jednu zásadní slabinu: může se změnit ve chvíli, kdy se změní její obchodní, právní nebo politické priority.
Informace a hodnocení v tomto článku vycházejí z veřejně dostupných zdrojů ke dni publikace a mohou se v čase měnit. Aktuální stav jednotlivých služeb a platforem doporučuji před rozhodnutím ověřit přímo u jejich provozovatelů.
Čeština
English
Deutsch
Español
Français