← Torna a tutti gli articoli
Sfide

(3/3) Come darei a ogni agente IA un'identità responsabile e privata

Di Marc Molas·25 giugno 2026·8 min di lettura

I primi due post di questa serie si chiudevano sullo stesso nodo. Gli agenti mandano in pezzi lo stack dell'identità perché non c'è più un umano davanti alla tastiera, e la ricerca migliore sul problema dà un nome alla parte più dura lasciandola aperta: per rendere responsabile un agente gli leghi un'identità reale, e nell'istante in cui lo fai hai costruito sorveglianza. Responsabilità o privacy. Scegline una.

Non credo che sia una legge di natura. Credo che stiamo prendendo il problema dal verso sbagliato. Con questo post voglio darti un'idea ad alto livello di come lo rovescerei, e uno schizzo dell'approccio verso cui sto effettivamente lavorando in questi ultimi giorni.

Voglio essere onesto fin da subito su che cosa è tutto questo, perché in questo campo la retorica corre calda. È un concetto di cui sono convinto, non una cosa finita. Alcune parti toccano terreno regolamentato — tenere denaro per conto di qualcun altro non è una cosa che si liquida con una battuta — e segnalerò i limiti man mano, non alla fine. La credibilità, in tema di identità, non la si guadagna con affermazioni vuote.

L'errore è legare l'identità all'agente, punto

Ecco la mossa che fanno tutti, perché è quella ovvia. Hai un agente. Lo vuoi responsabile. Quindi gli leghi addosso un'identità reale e nota — ogni azione che compie risale a un umano con un nome. Il buco nero si chiude. E chiudendolo crei un legame permanente e interrogabile fra una persona e tutto ciò che la sua flotta di agenti fa, tutto il giorno, su ogni servizio. Hai risolto la responsabilità spendendo privacy, e l'hai spesa per ogni agente, per sempre.

Adesso rovescialo. Fai la verifica una sola volta, sull'umano — e lascia che a fluire in ogni agente che mette in campo sia solo il fatto di quella verifica, mai l'identità che ci sta dietro.

Nel KYC classico ti identifichi alla controparte con cui stai trattando. Nella versione rovesciata, un umano fa KYC una volta sola con un emittente, e poi conia tutte le credenziali per agenti che vuole — una per agente — ciascuna delle quali può dimostrare un'affermazione e nient'altro: «sono operato da un umano reale, verificato KYC e perseguibile, con grado di verifica ≥ G, che agisce entro l'ambito S, e non sono revocato.» Non quale umano. Solo che ce n'è uno, che è reale e responsabile, e che risponde di questo agente. L'agente dimostra di avere qualcuno dietro. Non dimostra mai un'identità, perché non la possiede mai.

La zero-knowledge è il cardine che il paper indicava

È esattamente la porta che il paper di OpenID ha segnato senza attraversare: divulgazione selettiva con prove a conoscenza zero e credenziali anonime, «una via d'uscita». L'intero approccio vive o muore sulla capacità di renderla concreta.

L'agente presenta una breve prova crittografica che risponde solo ai predicati di cui una controparte ha effettivamente bisogno — ha un umano dietro: sì; verificato a grado A2 o superiore: sì; abilitato a iniziare pagamenti: sì; attivo e non revocato: sì — e non rivela nient'altro. Nessun nome. Nessun documento. Nessun legame fra due agenti che la stessa persona gestisce, così che una controparte non possa correlare di nascosto un'intera flotta in un profilo. La verifica che l'umano ha fatto una volta è riutilizzabile da tutti i suoi agenti e illeggibile per tutti i servizi con cui quegli agenti parlano.

Tre proprietà tengono insieme l'impianto, e le tratterei come invarianti — le cose che non ti è mai concesso rompere per comodità:

  • Avere qualcuno dietro è dimostrabile; l'identità no. Un verificatore può confermare che dietro l'agente c'è un umano reale e perseguibile, e non può scoprire chi.
  • Gli agenti di uno stesso operatore sono non collegabili fra loro. Nessuna coppia di agenti dello stesso titolare può essere ricondotta l'una all'altra da chi ci tratta.
  • L'unico filo che riporta alla persona vive in escrow, apribile solo per via legale. Non in un token, non sulla rete, non in un log che una violazione potrebbe riversare fuori.

Una responsabilità che puoi incassare, non solo dimostrare

Dimostrare che esiste un umano perseguibile è necessario e, da solo, non basta per un commercio reale. L'ho imparato guardando come si risolvono davvero le dispute: una controparte danneggiata non vuole un nome dopo mesi di causa transfrontaliera. Vuole indietro i suoi soldi, in fretta. Una responsabilità che è dimostrabile ma non pagabile non sblocca nulla di valore.

Quindi chi sta dietro l'agente deve metterci anche i fondi. Accanto alla prova di umano-verificato, un agente può portare la prova che dietro di lui c'è una quantità reale e delimitata di rivalsa — capitale che il titolare ha depositato, dimostrabile come fascia a gradini («almeno questa cifra è recuperabile») senza mai esporre il saldo esatto né il conto. È la versione pre-finanziata e rispettosa della privacy di ciò verso cui il mercato sta già brancolando con i token di pagamento «Know Your Agent» — con la differenza che qui il denaro è reale e l'umano resta non esposto.

Questo trasforma la responsabilità in una scala a pioli, invece che in un unico salto nel vuoto. La gran parte delle dispute si chiude al gradino più basso: un reclamo fondato viene pagato dalla rivalsa depositata secondo un processo pubblicato, il titolare viene addebitato e avvisato, e a nessuno viene rivelata alcuna identità. Solo i casi davvero estremi — danni oltre i fondi depositati, frode contestata, ordine legale — risalgono fino a smascherare davvero l'umano, per via legale. La responsabilità finanziata finisce per essere più protettiva della persona, non meno, perché risolve i casi ordinari con denaro invece che con un nome.

Sarò netto sugli spigoli duri qui, perché è la parte regolamentata. Custodire denaro altrui significa un custode autorizzato e garantito, conti segregati, controlli antiriciclaggio sull'origine dei fondi, e un trattamento onesto della reversibilità — il denaro depositato con un comune strumento di pagamento può essere richiamato indietro per mesi, quindi la rivalsa che garantisce non può essere considerata definitiva il primo giorno. Ogni modalità a basso attrito per far entrare un umano in fretta è, per definizione, a bassa garanzia, e va classificata come tale invece di essere spacciata per qualcosa di più. Niente di tutto questo è un motivo per cui non si possa costruire. È il motivo per cui va costruito con cura, con l'impalcatura legale accanto al protocollo e non al traino.

Funziona solo se nessuno possiede la radice

C'è un vincolo del secondo post su cui non scenderò a compromessi, perché esclude i soldi facili: non deve diventare un giardino recintato. La versione ben capitalizzata di quest'idea è un servizio centralizzato di identità per agenti che noleggi da un singolo fornitore, e per un'economia di agenti aperta e tra organizzazioni questo è un punto morto. Una controparte in un'altra azienda, su un altro stack, deve poter verificare la prova senza telefonare alla API privata dell'emittente e senza fidarsi che una sola società non estragga rendita, non censuri, non venga violata.

Questo spinge l'ancora di fiducia su una radice neutrale che nessuna parte singola possiede — un punto dove un verificatore può controllare, contro lo stato corrente dell'emittente, che una credenziale sia reale e non revocata, senza alcuna visibilità su chi ci sta dietro. Una radice neutrale compra anche due cose che il paper segnalava come irrisolte: revoca rapida e globale — un segnale di stato aggiornato di frequente, così che una credenziale uccisa smetta di verificarsi entro pochi secondi, ovunque — e un kill-switch per singolo agente, così che un agente compromesso possa essere staccato senza tirare giù il titolare né i suoi fratelli.

La proprietà che fa scalare tutto questo è quasi noiosa, ed è quella che conta di più: un agente non è altro che un titolare di credenziale come un altro. Non c'è alcun record per-agente seduto in un registro centrale da enumerare, violare o far gonfiare. Lo strato di fiducia tiene una manciata di radici di stato degli emittenti, aggiornate a cadenza breve; gli agenti — e il denaro dietro di loro — vivono di lato, dimostrati contro quelle radici, mai iscritti in esse. È questo che permette al disegno di estendersi a una popolazione di agenti più grande di quella umana senza l'esplosione di stato che uccide ogni approccio del tipo «registra ogni agente centralmente».

Il filo conduttore

Togli di mezzo la crittografia e il vincolo è semplice, ed è lo stesso attorno a cui giro dal primo post: l'agente è autonomo, ma la responsabilità non può esserlo. Dietro ogni flotta c'è un umano reale e perseguibile, e tutto il gioco sta nel dimostrare quel fatto a chiunque ne abbia bisogno senza esporre la persona a nessuno. Verifica l'umano una volta. Lascia che la responsabilità — finanziata, revocabile e privata — viaggi dentro tutto ciò che mette in campo. Tieni l'unico filo che riporta alla sua identità chiuso a chiave dietro la via legale, dove una violazione non può arrivarci e un marketer non può comprarlo.

Ho inquadrato apposta tutta questa serie intorno al bisogno tecnico, perché il bisogno è reale a prescindere dal fatto che la mia risposta in particolare sia quella giusta, e preferisco che tu giudichi il problema prima che ti mostri lo strumento. Quella parte viene dopo, fuori da questa serie: questo l'ho costruito, non solo abbozzato, e presto ti mostrerò come è fatto davvero.

Se in questo momento stai lottando con l'identità o la responsabilità degli agenti dentro i tuoi sistemi e vuoi un secondo paio d'occhi da chi questa roba la costruisce per mestiere, parla con un CTO. La mappa è difficile. È parecchio meno difficile in compagnia.

Articoli Correlati

(2/3) La mappa migliore che abbiamo del problema dell'identità agenticaSfide

(2/3) La mappa migliore che abbiamo del problema dell'identità agentica

Identity Management for Agentic AI dell'OpenID Foundation è l'analisi più onesta dell'identità degli agenti che abbia letto: chiara su ciò che già funziona, e ancora più chiara su ciò che nessuno ha risolto. Una lettura ravvicinata, dal sedile di chi costruisce.

23 giugno 2026·9 min di lettura
(1/3) Non c'è più nessuno alla tastieraSfide

(1/3) Non c'è più nessuno alla tastiera

Ogni sistema di identità costruito negli ultimi trent'anni dà per scontato che ci sia una persona che fa login, vede una schermata di consenso e clicca «accetta». Gli agenti rompono questo presupposto il primo giorno, e si portano via l'intero modello di responsabilità.

21 giugno 2026·9 min di lettura
Agenti IA nel 2026: MCP, Limiti di Memoria e il Muro dell'InteroperabilitàSfide

Agenti IA nel 2026: MCP, Limiti di Memoria e il Muro dell'Interoperabilità

La review 2026 di Stanford nomina i quattro limiti che vincolano gli agenti in produzione: memoria, affidabilità, interoperabilità, efficienza. MCP ne risolve uno. Gli altri tre restano un tuo problema.

26 aprile 2026·9 min di lettura

Pronto a costruire il tuo team di ingegneria?

Parla con un partner tecnico e distribuisci sviluppatori validati da CTO in 72 ore.

Inizia →