Kill switch e cattura istituzionale

La promessa che si regge sulla possibilità di ritirarla

Nel 2017, durante l'uragano Irma, diversi proprietari di Tesla in Florida scoprirono che la loro auto, ricevendo un aggiornamento remoto dal produttore, guadagnava improvvisamente chilometri extra di autonomia. Non avevano pagato per averli. La batteria era sempre stata in grado di fornirli; il produttore aveva deciso, al fine di segmentare il mercato, di non permetterlo al cliente. Durante l'emergenza, Tesla attivò temporaneamente la piena capacità. Finita l'emergenza, la disattivò.

Quello che le notizie descrivevano come un gesto di generosità era, a guardare bene, un'altra cosa. Il proprietario non era mai stato padrone dell'intero prodotto che aveva pagato. Il produttore manteneva una capacità tecnica — ampliare o ridurre le prestazioni a distanza — e scelse di esercitarla a favore del cliente in quel caso specifico. Avrebbe potuto scegliere il contrario. La storia non racconta un atto di bontà; racconta un'architettura di potere.

Questo articolo si occupa di tale architettura. La chiamiamo, per convenzione del settore, kill switch: l'interruttore remoto che permette all'operatore di disattivare, modificare o ritirare le capacità di un prodotto, un servizio o un dispositivo che l'utente credeva già suo. La domanda non è se l'operatore sia onesto. La domanda è cosa succede quando smette di esserlo, o quando qualcuno lo costringe a usare l'interruttore in un'altra direzione.

Cos'è esattamente un kill switch

Il termine viene dall'inglese e si traduce con difficoltà: interruptor de muerte risulta drammatico; interruptor remoto risulta troppo neutro. Ciò che definisce il kill switch non è la drammaticità, ma una proprietà semplice: la capacità tecnica di disattivare qualcosa a distanza, nelle mani di chi non è l'utente che lo utilizza. Può essere una chiusura completa —l'auto che non parte, il file che viene cancellato, l'account che viene sospeso— o una chiusura parziale —la funzione che scompare, la batteria che perde autonomia, l'abbonamento che si interrompe.

Non ogni controllo remoto è un kill switch. Un aggiornamento di sicurezza di routine, autorizzato dall'utente al momento dell'installazione del prodotto, non lo è. Nemmeno lo è un sistema antifurto attivabile dal proprietario stesso in caso di furto del telefono. Il kill switch, in senso proprio, presenta tre tratti: il suo utilizzo è una decisione dell'operatore, non dell'utente; non richiede il consenso puntuale dell'interessato per essere attivato; e viene esercitato su un prodotto o servizio che l'utente considerava già interamente suo.

La galleria europea degli interruttori in attività

Tesla ripete spesso questo schema, nel suo caso in modo documentato: degradazioni contrattuali dell'autonomia applicate a veicoli usati che hanno cambiato proprietario, ritiro di funzioni di guida assistita dopo la revoca della licenza, modifiche unilaterali del comportamento del prodotto tra versioni di firmware. John Deere è da anni al centro del dibattito europeo e statunitense sul diritto alla riparazione: l'acquisto del trattore include uno strato software il cui servizio dipende dalla rete ufficiale del produttore; quando tale rete nega l'autorizzazione, il trattore riduce le funzioni essenziali. BMW ha offerto nel 2022 un abbonamento mensile per attivare il riscaldamento dei sedili su auto che lo avevano già installato fisicamente; la pressione pubblica ha costretto al ritiro del modello, ma la capacità tecnica rimane.

Sul piano del software, lo schema è strutturale. Adobe Creative Cloud revoca le licenze mensili quando l'abbonamento non viene rinnovato, rendendo inutilizzabili i file che l'utente ha creato con quegli strumenti. Microsoft può disattivare le copie di Windows che considera non autentiche, senza alcun ricorso pratico. Google rimuove le applicazioni dal Play Store in ottemperanza a ordini giudiziari o decisioni interne; l'applicazione disinstallata viene rimossa anche dai telefoni su cui era presente. Apple Pay è stato disattivato in Russia nel marzo 2022 in conformità alle sanzioni internazionali applicate da Apple: legittimo nel contesto, ma la procedura era sempre disponibile.

L'argomento legittimo da parte del produttore

Chi progetta uno di questi sistemi offre solitamente argomenti perfettamente validi:

1. Prevenzione del furto. Se mi rubano l'auto o il telefono, apprezzo che il produttore possa renderlo inutilizzabile a distanza.
2. Prevenzione della frode. Gli abonnements non pagati richiedono un meccanismo di interruzione; senza tale meccanismo, il modello di business crolla.
3. Prevenzione dell'uso improprio. Uno strumento pericoloso in mani sbagliate può trarre beneficio dal poter essere revocato.
4. Conformità normativa. Alcuni ordini legali obbligano l'operatore a rimuovere contenuti, disabilitare funzioni o sospendere account, e un sistema senza interruttore è un sistema che non può ottemperarvi.

Tutti e quattro gli argomenti sono veri. Nessuno cambia la natura della questione. È vero che un kill switch facilita la prevenzione dei furti; è anche vero che questa stessa capacità serve a coartare il cliente vivo, non solo a danneggiare il ladro. È vero che il modello di abbonamento necessita di un taglio; è anche vero che il taglio può essere eseguito domani su un cliente attuale per una ragione diversa da quella prevista nel contratto. La questione non è se il kill switch abbia usi legittimi. La questione è che, una volta esistente, i suoi usi non si limitano a quelli previsti nella documentazione iniziale.

La cattura istituzionale

Qui entra in gioco il concetto che dà il titolo all'articolo. La cattura istituzionale è la situazione in cui un attore — un'azienda privata, un'amministrazione, un organismo di regolamentazione — finisce per esercitare capacità che ha acquisito o che gli sono state concesse per scopi limitati per scopi più ampi, diversi o francamente opposti a quelli originali. L'economia politica conosce il fenomeno da decenni nella regolamentazione finanziaria. L'industria tecnologica lo sta scoprendo di propria mano.

Il meccanismo è il seguente. L'azienda progetta il kill switch per scopi legittimi: antifurto, gestione degli abbonamenti, conformità. L'azienda documenta tali scopi nelle sue condizioni d'uso, nella sua informativa sulla privacy, nei suoi messaggi pubblici. Passano gli anni. Un governo emette un ordine in base a una nuova legislazione; l'azienda si vede obbligata a usare l'interruttore in una direzione non descritta nella sua documentazione originale. Un azionista attivista entra nel consiglio di amministrazione e modifica la politica commerciale; gli interruttori esistono e vengono applicati secondo la nuova politica. L'azienda viene acquisita da una più grande; i termini del servizio vengono riscritti unilateralmente con un preavviso di trenta giorni. In ogni caso, il cliente che si è fidato dell'interruttore per gli scopi documentati scopre che l'interruttore è ancora lì, ma risponde ad altri interessi.

Il caso paradigmatico per il lettore europeo: il caso Apple contro l'FBI a San Bernardino, nel 2016. Dopo un attentato in California, l'FBI chiese ad Apple di sbloccare un iPhone dell'autore. Apple si rifiutò, sostenendo in parte argomenti di principio e in parte un argomento tecnico: il sistema, per come era progettato, non permetteva all'azienda stessa di sbloccare il dispositivo senza riscrivere il software di base. La difesa più solida non fu morale; fu architettonica. Apple non si basò sulla promessa di non premere l'interruttore; si basò sull'assenza dell'interruttore. Altre aziende, con interruttori presenti nella loro architettura, non hanno potuto mantenere la stessa posizione di fronte a pressioni equivalenti.

La traiettoria normativa europea

Il diritto europeo, nell'ultima legislatura, ha spinto verso maggiori capacità di controllo remoto, non minori. Il Regolamento sui Servizi Digitali (DSA), pienamente applicabile dal febbraio 2024, obbliga le piattaforme ad abilitare meccanismi rapidi di rimozione dei contenuti su ordine dell'autorità competente; meccanismi che non esisterebbero senza la capacità tecnica sottostante. Il Regolamento sull'Intelligenza Artificial (AI Act), in vigore progressivamente dall'agosto 2024, richiede ai fornitori di certi sistemi di IA ad alto rischio di disporre di misure che ne permettano la disattivazione o una significativa supervisione umana: una forma normativa di kill switch obbligatorio. Il Regolamento sui Mercati Digitali (DMA) introduce, invece, obblighi di interoperabilità: una corrente opposta che limita gli effetti di blocco.

Per il professionista europeo, la lettura onesta è la seguente: alla domanda «l'operatore può disattivare questo servizio per me?» si risponde ogni anno di più in modo affermativo per obbligo legale, non meno. Ciò non mette in discussione la legittimità della normativa — il DSA risponde a problemi reali —, ma rafforza un concetto: confidare che l'operatore non userà l'interruttore richiede di confidare, inoltre, che nessun obbligo legale futuro lo costringerà a usarlo in una direzione che oggi non è contemplata. È una fiducia che non riposa solo sull'azienda; riposa sull'intero contesto normativo.

La domanda di design che raramente viene formulata

La maggior parte del design tecnico contemporaneo presuppone che l'interruttore esisterà e promette in seguito di non abusarne. Esiste un'alternativa, più esigente ma perfettamente fattibile: progettare assumendo che l'interruttore non debba esistere. Non è uno slogan. Implica decisioni concrete: architettura distribuita rispetto a centralizzata, diritti sul dispositivo dell'utente rispetto a diritti derivati dall'account, contenuto crittografato con chiavi che l'operatore non ha rispetto a contenuto crittografato con chiavi che l'operatore conserva, identità crittografica dell'utente rispetto a identità gestita dall'operatore. Ognuna di queste decisioni ha un costo tecnico reale e conseguenze commerciali reali. Ma tutte condividono una proprietà: una volta prese, eliminano certi ordini legali come oggetto possibile. Ciò che non si può eseguire non si può ordinare di eseguire.

Per il lettore professionista

Cinque domande che conviene porre al fornitore di qualsiasi servizio professionale critico prima di adottarlo, formulate nell'ordine in cui le porrebbe un ispettore di continuità aziendale:

1. Esiste la capacità tecnica del fornitore di sospendere, bloccare, eliminare o degradare il mio servizio, i miei dati o il mio prodotto da remoto?
2. In quali casi contrattualmente dichiarati il fornitore può esercitare tale capacità?
3. In quali casi non dichiarati — ordine giudiziario, sanzione internazionale, cambio unilaterale di policy, acquisizione societaria — può esercitarla ugualmente?
4. Se viene esercitata, quale tempo di continuità dell'attività professionale ho a disposizione e quale piano di uscita è disponibile?
5. Esiste un'alternativa architettonica in cui la risposta alla domanda uno sia «no» per costruzione, non per promessa?

Non sempre la risposta alla domanda cinque è disponibile o risulta proporzionata. Un foglio di calcolo personale probabilmente non merita tale esigenza. Un fascicolo legale attivo, la cartella clinica di un paziente, una contabilità fiscale, una conversazione deontologicamente protetta, sì. La proporzionalità è una decisione professionale; la lettura onesta della domanda uno non lo è: o l'interruttore esiste, o non esiste.

---

La protezione che trattiene la possibilità di ritirarsi non è protezione strutturale; è fiducia rinominata. La fiducia, come abbiamo detto in un altro Quaderno, è una soluzione sociale valida quando viene concessa a chi la merita, fragile al primo cambio di mano. La difesa strutturale più pulita è quella che non può essere ritirata perché non esiste in primo luogo. Come per tutto in architettura: una scelta di design, non una decisione di marketing.