Många företag använder Instagram som om det vore en säker kommunikationsplattform. Det är det inte. Och sedan den 8 maj 2026, när stödet för end-to-end-krypterade direktmeddelanden upphörde, är avståndet mellan känsla och verklighet större än på länge.

Vad som ändrades den 8 maj 2026

Efter det datumet end-to-end-krypteras inte längre direktmeddelanden på Instagram. För de flesta användare märks ingen skillnad i vardagen: meddelandena ser likadana ut och allt fungerar som vanligt. Men ur ett säkerhets- och integritetsperspektiv är det en viktig signal. Innehållet i konversationerna skyddas nu av plattformens egna system, inte av kryptering som bara avsändare och mottagare kan låsa upp.

Krypterat är inte samma sak som end-to-end-krypterat

I princip all seriös meddelandetrafik är krypterad på vägen mellan din telefon och leverantörens servrar. Det skyddar mot avlyssning på ett öppet wifi, men inte mot åtkomst hos plattformen själv. End-to-end-kryptering går ett steg längre: innehållet låses hos avsändaren och kan bara låsas upp av mottagaren. Inte ens leverantören kan läsa det.

Det här betyder inte att "alla kan läsa dina meddelanden" nu. Men det betyder att skyddsnivån är lägre än vid riktig end-to-end-kryptering, och att fler led i kedjan tekniskt sett kan komma åt innehållet: plattformen, dess underleverantörer och den som lyckas kompromettera något av dessa led.

DM har blivit en företagskanal, utan att någon bestämde det

Instagram används inte längre bara för marknadsföring. Vi ser företag som dagligen hanterar kundärenden, offerter, dokument, personuppgifter och intern information direkt via DM. Ofta för att det är där kunden hör av sig, och ingen vill skicka kunden vidare.

Problemet är att sociala plattformar aldrig byggdes för att hantera känslig kommunikation på samma nivå som säkra kommunikationslösningar. Och nu har avståndet ökat ytterligare.

Grundprincipen är enkel: rätt information ska delas i rätt kanal. En kanal som är utmärkt för kundkontakt kan vara direkt olämplig för avtal och personuppgifter.

Glöm inte GDPR

Personuppgifter i ett DM är fortfarande personuppgifter. Hanterar ni kundärenden med personnummer, hälsouppgifter eller ekonomisk information i en social kanal blir det snabbt svårt att leva upp till kraven på ändamålsbegränsning, gallring och registerutdrag. Konversationerna ligger dessutom ofta kvar i åratal, ibland hos medarbetare som slutat för länge sedan.

Så styr ni upp det

  • Klassificera. Bestäm vilken typ av information som får hanteras i sociala kanaler, och vilken som aldrig får det.
  • Flytta över. När ett ärende blir känsligt: flytta det till en säker kanal, till exempel kundportal eller säker meddelandetjänst, och gör det till rutin snarare än undantag.
  • Skydda kontona. Företagsprofiler kapas regelbundet. Multifaktorautentisering, unika lösenord och så få administratörer som möjligt.
  • Utbilda. Den som svarar i DM ska veta exakt var gränsen går.

En bra anledning att se över kanalerna

På Cyber Guard arbetar vi dagligen med IT-säkerhet, nätverkssäkerhet, SOC och penetrationstestning, och vi ser hur snabbt kommunikationsplattformar har blivit en del av företagens attackyta. Förändringen den 8 maj är ett bra tillfälle att se över vilka kanaler ni faktiskt använder för vad — innan någon annan gör det åt er.

Many companies use Instagram as if it were a secure communication platform. It is not. And since 8 May 2026, when support for end-to-end encrypted direct messages was discontinued, the gap between perception and reality is wider than it has been for a long time.

What changed on 8 May 2026

After that date, direct messages on Instagram are no longer end-to-end encrypted. Most users will notice no difference in everyday use: messages look the same and everything works as before. But from a security and privacy perspective it is an important signal. The content of your conversations is now protected by the platform's own systems, not by encryption that only sender and recipient can unlock.

Encrypted is not the same as end-to-end encrypted

Practically all serious messaging traffic is encrypted in transit between your phone and the provider's servers. That protects against eavesdropping on open Wi-Fi, but not against access at the platform itself. End-to-end encryption goes one step further: the content is locked at the sender and can only be unlocked by the recipient. Not even the provider can read it.

This does not mean that "anyone can read your messages" now. But it does mean the level of protection is lower than with true end-to-end encryption, and that more links in the chain can technically access the content: the platform, its subcontractors, and anyone who manages to compromise one of them.

DMs became a business channel, without anyone deciding it

Instagram is no longer just for marketing. We see companies handling customer cases, quotes, documents, personal data and internal information directly via DM every day. Often because that is where the customer reaches out, and nobody wants to redirect them.

The problem is that social platforms were never built to handle sensitive communication at the level of dedicated secure solutions. And the gap has just widened.

The principle is simple: the right information belongs in the right channel. A channel that is excellent for customer contact can be entirely unsuitable for contracts and personal data.

Do not forget the GDPR

Personal data in a DM is still personal data. If you handle customer cases involving national ID numbers, health details or financial information in a social channel, it quickly becomes difficult to meet requirements on purpose limitation, retention and data subject access. The conversations also tend to sit there for years, sometimes with employees who left long ago.

How to get it under control

  • Classify. Decide what type of information may be handled in social channels, and what never may.
  • Move it over. When a case turns sensitive: move it to a secure channel, such as a customer portal or secure messaging service, and make that routine rather than the exception.
  • Protect the accounts. Business profiles get hijacked regularly. Multi-factor authentication, unique passwords and as few administrators as possible.
  • Train. Whoever answers the DMs should know exactly where the line is.

A good reason to review your channels

At Cyber Guard we work daily with IT security, network security, SOC and penetration testing, and we see how quickly communication platforms have become part of the corporate attack surface. The change on 8 May is a good moment to review which channels you actually use for what — before someone else does it for you.