Kill switch e a captura institucional

A promessa que se sustenta sobre a possibilidade de retirá-la

Em 2017, durante o furacão Irma, vários proprietários de Tesla na Flórida descobriram que o seu carro, ao receber uma atualização remota do fabricante, ganhava subitamente quilómetros adicionais de autonomia. Não tinham pago por eles. A bateria sempre fora capaz de os entregar; o fabricante decidira, para segmentar o mercado, não o permitir ao cliente. Durante a emergência, a Tesla ativou a capacidade total de forma temporária. Passada a emergência, desativou-a.

O que as notícias descreviam como um gesto de generosidade era, lido devagar, outra coisa. O proprietário nunca fora dono do produto inteiro que pagou. O fabricante retinha uma capacidade técnica — ampliar ou reduzir prestações à distância — e escolheu exercê-la a favor do cliente naquele caso concreto. Poderia ter escolhido o contrário. A história não conta um ato de bondade; conta uma arquitetura de poder.

Este artigo ocupa-se dessa arquitetura. Chamamos-lhe, por convenção do setor, kill switch: o interruptor remoto que permite ao operador desativar, modificar ou retirar capacidades de um produto, um serviço ou um dispositivo que o utilizador já acreditava ser seu. A pergunta não é se o operador é honesto. A pergunta é o que acontece quando deixa de o ser, ou quando alguém o obriga a usar o interruptor noutra direção.

O que é exatamente um kill switch

O termo vem do inglês e traduz-se com dificuldade: interruptor de morte soa dramático; interruptor remoto soa demasiado neutro. O que define o kill switch não é o dramatismo, mas uma propriedade simples: a capacidade técnica de desativar algo à distância, nas mãos de quem não é o utilizador que o utiliza. Pode ser um encerramento completo —o carro que não arranca, o ficheiro que é apagado, a conta que fica suspensa— ou um encerramento parcial —a função que desaparece, a bateria que perde autonomia, a subscrição que é interrompida.

Nem todo o controlo remoto é um kill switch. Uma atualização de segurança rotineira, autorizada pelo utilizador ao instalar o produto, não o é. Tão-pouco o é um sistema antirroubo ativável pelo próprio proprietário quando lhe roubam o telemóvel. O kill switch, no sentido próprio, tem três traços: o seu uso é decisão do operador, não do utilizador; não requer consentimento pontual do afetado para se ativar; e exerce-se sobre um produto ou serviço que o utilizador já considerava seu em sentido pleno.

A galeria europeia de interruptores no ativo

A Tesla repete o padrão com frequência, no seu caso de forma documentada: degradações contratuais de autonomia aplicadas a veículos de segunda mão que mudaram de dono, retiradas de funções de condução assistida após revogação de licença, modificações unilaterais do comportamento do produto entre versões de firmware. A John Deere está há anos no centro do debate europeu e norte-americano sobre o direito à reparação: a compra do trator inclui uma camada de software cujo serviço depende da rede oficial do fabricante; quando essa rede nega o registo, o trator reduz funções essenciais. A BMW ofereceu em 2022 uma subscrição mensal para ativar o aquecimento dos bancos em carros que já o traziam instalado fisicamente; a pressão pública obrigou a retirar o modelo, mas a capacidade técnica permanece.

No plano do software, o padrão é estrutural. A Adobe Creative Cloud revoga licenças mensais quando a subscrição não é renovada, deixando inutilizáveis ficheiros que o utilizador criou com essas ferramentas. A Microsoft pode desativar cópias do Windows que considera não genuínas, sem recurso prático. A Google retira aplicações da Play Store cumprindo ordens judiciais ou decisões internas; a aplicação desinstalada é desinstalada também dos telemóveis onde estava. O Apple Pay foi desativado na Rússia em março de 2022 ao cumprir a Apple as sanções internacionais: legítimo no contexto, mas o procedimento estava sempre disponível.

O argumento legítimo do lado do fabricante

Quem desenha um destes sistemas costuma oferecer argumentos perfeitamente válidos:

1. Prevenção do roubo. Se me roubarem o carro ou o telemóvel, agradeço que o fabricante o possa inutilizar à distância.
2. Prevenção da fraude. As subscrições não pagas requerem um mecanismo de corte; sem esse mecanismo, o modelo de negócio desmorona-se.
3. Prevenção de uso indevido. Uma ferramenta perigosa em mãos erradas pode beneficiar-se de poder ser revogada.
4. Conformidade normativa. Certas ordens legais obrigam o operador a retirar conteúdo, desativar funções ou suspender contas, e um sistema sem interruptor é um sistema que não pode cumpri-las.

Os quatro argumentos são verdadeiros. Nenhum altera a natureza do assunto. É verdade que um kill switch facilita a prevenção do roubo; também é verdade que essa mesma capacidade serve para coagir o cliente vivo, não apenas para prejudicar o ladrão. É verdade que o modelo de subscrição necessita de um corte; também é verdade que o corte pode ser executado amanhã sobre um cliente atual por uma razão diferente da prevista no contrato. A questão não é se o kill switch tem usos legítimos. A questão é que, uma vez existente, os seus usos não se limitam aos previstos na documentação inicial.

A captura institucional

Aqui entra o conceito que dá título ao artigo. A captura institucional é a situação em que um ator — uma empresa privada, uma administração, um organismo regulador — acaba exercendo capacidades que adquiriu ou que lhe foram concedidas para fins limitados com fins mais amplos, distintos ou francamente opostos aos originais. A economia política conhece o fenómeno há décadas na regulação financeira. A indústria tecnológica está a descobri-lo por mão própria.

O mecanismo é o seguinte. A empresa projeta o kill switch para fins legítimos: antirroubo, gestão de subscrição, conformidade. A empresa documenta esses fins nas suas condições de uso, na sua política de privacidade, nas suas mensagens públicas. Passam os anos. Um Governo emite uma ordem sob uma legislação nova; a empresa vê-se obrigada a usar o interruptor numa direção não descrita na sua documentação original. Um acionista ativista entra no conselho e modifica a política comercial; os interruptores existem e são aplicados de acordo com a nova política. A empresa é adquirida por outra maior; os termos do serviço são reescritos unilateralmente com notificação de trinta dias. Em cada caso, o cliente que confiou no interruptor para os fins documentados depara-se com o facto de o interruptor continuar lá, mas responder a outros interesses.

O caso paradigmático para o leitor europeu: o caso Apple contra o FBI em San Bernardino, em 2016. Após um atentado na Califórnia, o FBI exigiu que a Apple desbloqueasse um iPhone do autor. A Apple recusou, sustentando em parte argumentos de princípio e em parte um argumento técnico: o sistema, tal como estava desenhado, não permitia à própria empresa desbloquear o dispositivo sem reescrever o software base. A defesa mais sólida não foi moral; foi arquitetónica. A Apple não se sustentou na promessa de não premir o interruptor; sustentou-se na ausência do interruptor. Outras empresas, com interruptores presentes na sua arquitetura, não puderam manter a mesma posição perante pressões equivalentes.

A trajetória normativa europeia

O direito europeu, na última legislatura, tem vindo a empurrar para mais capacidades de controlo remoto, não menos. O Regulamento dos Serviços Digitais (DSA), plenamente aplicável desde fevereiro de 2024, obriga as plataformas a habilitar mecanismos rápidos de retirada de conteúdo sob ordem de autoridade competente; mecanismos que não existiriam sem a capacidade técnica subjacente. O Regulamento da Inteligência Artificial (AI Act), em vigor escalonadamente desde agosto de 2024, exige aos fornecedores de certos sistemas de IA de alto risco dispor de medidas que permitam a sua desativação ou supervisão humana significativa: uma forma normativa de kill switch obrigatório. O Regulamento dos Mercados Digitais (DMA) introduz, em contrapartida, obrigações de interoperabilidade: uma corrente oposta que limita os efeitos de bloqueio.

Para o profissional europeu, a leitura honesta é a seguinte: a pergunta «o operador pode desativar este serviço para mim?» tem cada ano mais respostas afirmativas por exigência legal, não menos. Isto não questiona a legitimidade da normativa — o DSA responde a problemas reais —, mas reforça uma coisa: confiar que o operador não irá usar o interruptor exige confiar, além disso, que nenhuma obrigação legal futura o obrigará a usá-lo numa direção que hoje não se contempla. É uma confiança que não descansa apenas sobre a empresa; descansa sobre o ambiente normativo inteiro.

A pergunta de design que poucas vezes se formula

A maioria do design técnico contemporâneo assume que o interruptor existirá e promete a seguir não abusar dele. Existe uma alternativa, mais exigente mas perfeitamente viável: desenhar assumindo que o interruptor não deve existir. Não é um slogan. Implica decisões concretas: arquitetura distribuída face a centralizada, direitos no dispositivo do utilizador face a derivados da conta, conteúdo cifrado com chaves que o operador não tem face a conteúdo cifrado com chaves que o operador conserva, identidade criptográfica do utilizador face a identidade gerida pelo operador. Cada uma destas decisões tem um custo técnico real e consequências comerciais reais. Mas todas partilham uma propriedade: uma vez tomadas, eliminam certas ordens legais como objeto possível. O que não se pode executar não se pode ordenar executar.

Para o leitor profissional

Cinco perguntas que convém fazer ao fornecedor de qualquer serviço profissional crítico antes de o adotar, formuladas na ordem em que um inspetor de continuidade de negócio as colocaria:

1. Existe capacidade técnica do fornecedor para suspender, bloquear, eliminar ou degradar o meu serviço, dados ou produto à distância?
2. Em que pressupostos contratualmente declarados pode o fornecedor exercer essa capacidade?
3. Em que pressupostos não declarados — ordem judicial, sanção internacional, mudança de política unilateral, aquisição corporativa — pode exercê-la também?
4. Se for exercida, que tempo de continuidade da atividade profissional tenho, e que plano de saída está disponível?
5. Existe uma alternativa arquitetónica onde a pergunta um tenha resposta «não» por construção, não por promessa?

Nem sempre a resposta à pergunta cinco está disponível ou resulta proporcionada. Uma folha de cálculo pessoal provavelmente não merece essa exigência. Um processo jurídico ativo, o histórico clínico de um paciente, uma contabilidade fiscal, uma conversa deontologicamente protegida, sim. A proporcionalidade é uma decisão profissional; a leitura honesta da pergunta um não o é: ou o interruptor existe, ou não existe.

---

A proteção que retém a possibilidade de ser retirada não é proteção estrutural; é confiança renomeada. A confiança, como dissemos noutro Caderno, é uma solução social válida quando concedida a quem a merece, frágil perante a primeira mudança de mãos. A defesa estrutural mais limpa é a que não pode ser retirada porque não existe em primeiro lugar. Como em tudo na arquitetura: uma escolha de design, não uma decisão de marketing.