Kill switch i la captura institucional

La promesa que se sosté sobre la possibilitat de retirar-la

El 2017, durant l'huracà Irma, diversos propietaris de Tesla a Florida van descobrir que el seu cotxe, en rebre una actualització remota del fabricant, guanyava de cop quilòmetres addicionals d'autonomia. No havien pagat per ells. La bateria sempre havia pogut lliurar-los; el fabricant havia decidit, per tal de segmentar el mercat, no permetre-ho al client. Durant l'emergència, Tesla va activar la capacitat completa de forma temporal. Passada l'emergència, la va desactivar.

El que la notícia descrivia com un gest de generositat era, llegit a poc a poc, una altra cosa. El propietari mai no havia estat amo del producte sencer que va pagar. El fabricant retenia una capacitat tècnica —ampliar o reduir prestacions a distància— i va triar exercir-la a favor del client en aquest cas concret. Hauria pogut triar el contrari. La història no explica un acte de bondat; explica una arquitectura de poder.

Aquest article s'ocupa d'aquesta arquitectura. L'anomenem, per convenció del sector, kill switch: l'interruptor remot que permet a l'operador desactivar, modificar o retirar capacitats d'un producte, un servei o un dispositiu que l'usuari ja creia seu. La pregunta no és si l'operador és honest. La pregunta és què passa quan deixa de ser-ho, o quan algú l'obliga a usar l'interruptor en una altra direcció.

Què és exactament un kill switch

El terme ve de l'anglès i es tradueix amb dificultat: interruptor de mort resulta dramàtic; interruptor remot resulta massa neutre. El que defineix el kill switch no és el dramatisme, sinó una propietat senzilla: la capacitat tècnica de desactivar alguna cosa a distància, en mans de qui no és l'usuari que la utilitza. Pot ser un tancament complet —el cotxe que no arranca, l'arxiu que s'esborra, el compte que queda suspès— o un tancament parcial —la funció que desapareix, la bateria que perd abast, la subscripció que s'interromp.

No tot control remot és un kill switch. Una actualització de seguretat rutinària, autoritzada per l'usuari en instal·lar el producte, no ho és. Tampoc ho és un sistema antirobatori activable pel mateix propietari quan li roben el telèfon. El kill switch, en sentit propi, té tres trets: el seu ús és decisió de l'operador, no de l'usuari; no requereix consentiment puntual de l'afectat per activar-se; i s'exerceix sobre un producte o servei que l'usuari considerava ja seu en sentit ple.

La galeria europea d'interruptors en actiu

Tesla repeteix el patró amb freqüència, en el seu cas de forma documentada: degradacions contractuals d'autonomia aplicades a vehicles de segona mà que van canviar d'amo, retirades de funcions de conducció assistida després de revocació de llicència, modificacions unilaterals del comportament del producte entre versions de firmware. John Deere fa anys que està al centre del debat europeu i estatunidenc sobre dret a reparar: la compra del tractor inclou una capa de programari el servei de la qual depèn de la xarxa oficial del fabricant; quan aquesta xarxa nega l'alta, el tractor redueix funcions essencials. BMW va oferir el 2022 una subscripció mensual per activar la calefacció de seients en cotxes que ja la portaven instal·lada físicament; la pressió pública va obligar a retirar el model, però la capacitat tècnica roman.

En el pla del programari, el patró és estructural. Adobe Creative Cloud revoca llicències mensuals quan la subscripció no es renova, deixant inutilitzables arxius que l'usuari va crear amb aquelles eines. Microsoft pot desactivar còpies de Windows que considera no genuïnes, sense recurs pràctic. Google retira aplicacions de la Play Store complint ordres judicials o decisions internes; l'aplicació desinstal·lada es desinstal·la també dels telèfons on estava. Apple Pay es va desactivar a Rússia el març de 2022 en complir Apple les sancions internacionals: legítim en el context, però el procediment estava sempre disponible.

L'argument legítim del costat del fabricant

Qui dissenya un d'aquests sistemes sol oferir arguments perfectament vàlids:

1. Prevenció del robatori. Si em roben el cotxe o el telèfon, agraeixo que el fabricant pugui inutilitzar-lo a distància.
2. Prevención del frau. Les subscripcions impagades requereixen un mecanisme de tall; sense aquest mecanisme, el model de negoci s'enfonsa.
3. Prevenció de l'ús indegut. Una eina perillosa en mans equivocades pot beneficiar-se de poder revocar-se.
4. Compliment normatiu. Certes ordres legals obliguen l'operador a retirar contingut, deshabilitar funcions o suspendre comptes, i un sistema sense interruptor és un sistema que no pot complir-les.

Els quatre arguments són certs. Cap d'ells canvia la naturalesa de l'assumpte. És cert que un kill switch facilita la prevenció del robatori; també és cert que aquesta mateixa capacitat serveix per coaccionar el client viu, no només per perjudicar el lladre. És cert que el model de subscripció necessita un tall; també és cert que el tall pot executar-se demà sobre un client actual per una raó diferent de la prevista en el contracte. La qüestió no és si el kill switch té usos legítims. La qüestió és que, un cop existeix, els seus usos no es limiten als previstos en la documentació inicial.

La captura institucional

Aquí entra el concepte que dóna títol a l'article. La captura institucional és la situació en què un actor —una empresa privada, una administració, un organisme regulador— acaba exercint capacitats que va adquirir o se li van concedir per a fins limitats amb fins més amplis, distints, o francament oposats als originals. L'economia política coneix el fenomen des de fa dècades en la regulació financera. La indústria tecnològica l'està descobrint de la seva pròpia mà.

El mecanisme és el següent. L'empresa dissenya el kill switch per a fins legítims: antirobatori, gestió de subscripció, compliment. L'empresa documenta aquests fins en les seves condicions d'ús, en la seva política de privadesa, en els seus missatges públics. Passen els anys. Un Govern emet una ordre sota una legislació nova; l'empresa es veu obligada a usar l'interruptor en una direcció no descrita en la seva documentació original. Un accionista activista entra al consell i modifica la política comercial; els interruptors existeixen, i s'apliquen segons la nova política. L'empresa és adquirida per una de més gran; els termes del servei es reescriuen unilateralment amb notificació de trenta dies. En cada cas, el client que va confiar en l'interruptor per als fins documentats es troba que l'interruptor segueix allà, però respon a altres interessos.

El cas paradigmàtic per al lector europeu: el cas Apple contra el FBI a San Bernardino, el 2016. Després d'un atemptat a Califòrnia, el FBI va exigir a Apple desbloquejar un iPhone de l'autor. Apple es va negar, sostenint en part arguments de principi i en part un argument tècnic: el sistema, tal com estava dissenyat, no permetia a la mateixa empresa desbloquejar el dispositiu sense reescriure el programari base. La defensa més sòlida no va ser moral; va ser arquitectònica. Apple no es va sostenir sobre la promesa de no prémer l'interruptor; es va sostenir sobre l'absència de l'interruptor. Altres empreses, amb interruptors presents en la seva arquitectura, no han pogut sostenir la mateixa posició davant pressions equivalents.

La trajectòria normativa europea

El dret europeu, en l'última legislatura, ha anat empenyent cap a més capacitats de control remot, no menys. El Reglament de Serveis Digitals (DSA), plenament aplicable des de febrer de 2024, obliga les plataformes a habilitar mecanismes ràpids de retirada de contingut sota ordre d'autoritat competent; mecanismes que no existirien sense la capacitat tècnica subjacent. El Reglament d'Intel·ligència Artificial (AI Act), en vigor escalonadament des d'agost de 2024, exigeix als proveïdors de certs sistemes d'IA d'alt risc disposar de mesures que permetin la seva desactivació o supervisió humana significativa: una forma normativa de kill switch obligatori. El Reglament de Mercats Digitals (DMA) introdueix, en canvi, obligacions d'interoperabilitat: un corrent oposat que limita els efectes de bloqueig.

Per al professional europeu, la lectura honesta és la següent: la pregunta «el operador pot desactivar aquest servei per a mi?» té cada any més respostes afirmatives per exigència legal, no menys. Això no qüestiona la legitimitat de la normativa —el DSA respon a problemes reals—, però sí que reforça una cosa: confiar que l'operador no farà servir l'interruptor exigeix confiar, a més, que cap obligació legal futura l'obligarà a fer-lo servir en una direcció que avui no es contempla. És una confiança que no descansa només sobre l'empresa; descansa sobre l'entorn normatiu sencer.

La pregunta de disseny que poques vegades es formula

La majoria del disseny tècnic contemporani assumeix que l'interruptor existirà i promet a continuació no abusar-ne. Existeix una alternativa, més exigent però perfectament factible: dissenyar assumint que l'interruptor no ha d'existir. No és un eslògan. Implica decisions concretes: arquitectura distribuïda enfront de centralitzada, drets en el dispositiu de l'usuari enfront de derivats del compte, contingut xifrat amb claus que l'operador no té enfront de contingut xifrat amb claus que l'operador conserva, identitat criptogràfica de l'usuari enfront d'identitat gestionada per l'operador. Cadascuna d'aquestes decisions té un cost tècnic real i conseqüències comercials reals. Però totes comparteixen una propietat: un cop preses, eliminen certes ordres legals com a objecte possible. El que no es pot executar no es pot ordenar executar.

Per al lector professional

Cinc preguntes que convé fer al proveïdor de qualsevol servei professional crític abans d'adoptar-lo, formulades en l'ordre en què un inspector de continuïtat de negoci les plantejaria:

1. Existeix capacitat tècnica del proveïdor per suspendre, bloquejar, eliminar o degradar el meu servei, dades o producte a distància?
2. En quins supòsits contractualment declarats pot el proveïdor exercir aquesta capacitat?
3. En quins supòsits no declarats —ordre judicial, sanció internacional, canvi de política unilateral, adquisició corporativa— pot exercir-la també?
4. Si s'exerceix, quin temps de continuïtat de l'activitat professional tinc, i quin pla de sortida està disponible?
5. Existeix una alternativa arquitectònica on la pregunta u tingui resposta «no» per construcció, no per promesa?

No sempre la resposta a la pregunta cinc està disponible o resulta proporcionada. Un full de càlcul personal probablement no mereix aquesta exigència. Un expedient jurídic actiu, una història clínica d'un pacient, una comptabilitat fiscal, una conversa deontològicament protegida, sí. La proporcionalitat és una decisió professional; la lectura honesta de la pregunta u no ho és: o l'interruptor existeix, o no existeix.

---

La protecció que reté la possibilitat de retirar-se no és protecció estructural; és confiança renombrada. La confiança, ho hem dit en un altre Quadern, és una solució social vàlida quan es concedeix a qui la mereix, fràgil davant el primer canvi de mans. La defensa estructural més neta és la que no es pot retirar perquè no existeix en primer lloc. Com amb tot en arquitectura: una elecció de disseny, no una decisió de màrqueting.