Volkswagen ha deciso di chiudere le porte ai dati delle proprie auto, e lo ha fatto in un modo che sta facendo arrabbiare migliaia di automobilisti europei. La segnalazione arriva da un lettore: dal 27 maggio 2026 chi aveva collegato la propria vettura del gruppo a sistemi di automazione domestica si è ritrovato tutto bloccato. Il problema è che, stando al diritto europeo, quei dati non sono solo dell’azienda. Anzi, appartengono a chi guida.
Parliamo di proprietari di una ID.3, di un’Audi e-tron, di una Skoda Enyaq o di una Cupra Born che usavano Home Assistant per ottimizzare la ricarica, magari facendola partire quando i pannelli solari producevano abbastanza energia. Da un giorno all’altro, niente più accesso ai dati in tempo reale. Nei log un messaggio secco: 401 Unauthorized. I progetti open source coinvolti, come EVCC o CarConnectivity-connector-volkswagen, hanno smesso di funzionare nel giro di poche ore.
Cosa è successo davvero alle API di Volkswagen
Per capire la faccenda serve un minimo di contesto. VW, come tutti i grandi costruttori, tiene i dati delle auto su propri server: stato della batteria, posizione, autonomia residua, temperatura abitacolo. L’app ufficiale recupera tutto questo tramite delle API. Negli anni alcuni sviluppatori hanno studiato quelle app e costruito integrazioni non ufficiali ma perfettamente funzionanti. Niente di losco, intendiamoci: servivano a cose tipo avviare la ricarica con il sole o accendere la climatizzazione prima di salire in macchina.
Va detto anche che l’accesso non era nemmeno gratuito. L’app è legata all’abbonamento We Connect Plus, che costa circa 150 euro all’anno. Quindi questi utenti pagavano già per quei dati. VW aveva sempre tollerato in silenzio l’uso delle API, anche perché c’erano limiti di chiamata e nessun rischio di accessi massivi.
Poi, tra il 27 e il 28 maggio, lo stop. Senza percorso di migrazione per gli sviluppatori, senza alternative per gli utenti. A inizio aprile 2026 era uscito un comunicato che parlava genericamente di “transizione alla prossima generazione di interfacce veicolo”, ma era passato sotto silenzio. Il nuovo sistema introduce un meccanismo di autenticazione che accetta richieste solo da app ufficiali su dispositivi certificati Google o Apple. Risultato: chi ha un Huawei, o un telefono con GrapheneOS o LineageOS, resta tagliato fuori pure dall’app ufficiale.
Perché l’Europa lo vieta
Qui la cosa si fa interessante. Verrebbe da pensare a una semplice disputa tra un’azienda che protegge il suo software e qualche appassionato di domotica. Ma guardando meglio, quello che fa Volkswagen è una potenziale violazione dell’EU Data Act, il Regolamento UE 2023/2854, già in vigore dall’anno scorso.
La norma dice una cosa chiara: i dati che un prodotto connesso genera durante l’uso appartengono, in termini di diritto di accesso, all’utente. Il costruttore può raccoglierli, ma non può tenerseli senza permettere a chi guida di recuperarli e condividerli con chi vuole. L’Articolo 4 è ancora più esplicito: i dati vanno resi disponibili senza ritardo, nella stessa qualità di cui dispone il produttore, gratis, in formato strutturato e, dove tecnicamente fattibile, in tempo reale. Stato di carica, posizione GPS, livello di batteria: tutta roba che rientra nell’obbligo.
VW ha predisposto un portale dove registrarsi e scaricare i propri dati. Peccato che funzioni male. I dati arrivano come archivio ZIP preparato ogni 15 minuti, mentre l’app ufficiale si aggiorna in tempo reale, segno che il tempo reale è fattibile. Sono pure incompleti: manca l’ultima posizione di parcheggio, che invece c’era nella vecchia API. Ed è tutto in sola lettura, niente comandi al veicolo. Da notare che dal 12 settembre 2026 tutti i nuovi veicoli venduti nell’UE dovranno avere l’accesso diretto ai dati integrato by design. BMW è oggi l’unico grande costruttore europeo ad aver predisposto un portale che dà accesso reale ai dati. Tutti gli altri, da Mercedes a Stellantis, non offrono nulla o offrono qualcosa di formalmente inadeguato. E in Italia non è ancora stata designata un’autorità competente a far rispettare il Data Act: serve un decreto attuativo. Nessun supervisore, nessun procedimento, nessuna multa. Quando il gatto non c’è, i topi ballano.