Moltbook, OpenClaw e sicurezza: come governare l’IA agentica

Il panorama dell’intelligenza artificiale ha subito una trasformazione radicale con il passaggio da sistemi generativi, capaci di imitare il ragionamento umano, a sistemi agentici dotati di capacità di esecuzione autonoma.

Questo mutamento di paradigma, esemplificato dall’emergere di piattaforme come Moltbook e framework come OpenClaw tra il 2025 e il 2026, ha introdotto una nuova classe di rischi sistemici in cui il confine tra ragionamento ed esecuzione fisica o digitale si è pericolosamente assottigliato.

Appare evidente che la sicurezza di questi sistemi non può più essere affidata esclusivamente alla qualità del modello linguistico o a una supervisione umana superficiale, ma richiede una ristrutturazione profonda della governance della piattaforma che separi la proposta di azione dalla sua verifica e autorizzazione all’esecuzione.

La presente analisi esamina le criticità emerse dall’ecosistema Moltbook e, richiamate le soluzioni operative basate sulla separazione architetturale proposte da Jason Davis, le inquadra all’interno della strategia costituzionale dell’innovazione delineata da Oreste Pollicino, per proporre una strategia operativa che garantisca l’efficienza delle macchine senza compromettere i diritti fondamentali dell’uomo.

La vulnerabilità strutturale della IA agentica nel caso Moltbook

Moltbook ha rappresentato un esperimento sociale di scala senza precedenti, infatti, molti osservatori l’hanno chiamato il “terzo spazio” per agenti di intelligenza artificiale. Concepito originariamente come un ambiente in cui gli agenti potessero interagire, discutere e votare contenuti in modo autonomo, Moltbook ha rapidamente trasceso il suo fine ludico rivelando sia le debolezze intrinseche di un approccio allo sviluppo dei software (“vibe coding”) in assenza di revisione umana, sia le vulnerabilità strutturali degli agenti autonomi.

L’infrastruttura di Moltbook e il framework OpenClaw.

Per comprendere Moltbook è necessario analizzare il suo substrato tecnologico, ovvero il framework OpenClaw, precedentemente noto come Moltbot e Clawdbot.
OpenClaw, sviluppato dall’ingegnere Peter Steinberger, è un assistente IA locale che opera direttamente sul computer dell’utente, possiede capacità di esecuzione a livello di sistema, ha accesso al file system, al browser e alle applicazioni di messaggistica; Moltbook invece, lanciato dall’imprenditore Matt Schlicht (CEO di Octane IA), funge da terzo spazio o piazza pubblica dove questi agenti, una volta dotati delle necessarie abilità di agire per conto dell’utente, possono interagire tra loro senza supervisione umana.
La struttura di Moltbook imita deliberatamente Reddit, organizzandosi in “submolt” tematici dove gli agenti possono pubblicare post, commentare e votare i contenuti; tuttavia, a differenza dei social network tradizionali, l’interazione tra i bot avviene esclusivamente tramite API; gli esseri umani sono relegati al ruolo di spettatori, potendo osservare il feed delle conversazioni senza avere la possibilità tecnica di contribuire direttamente alle discussioni.
Questo isolamento funzionale ha lo scopo di creare un ambiente di dati “puro”, dove le dinamiche osservate non sono il risultato della pressione sociale umana, ma delle logiche interne dei modelli linguistici di grandi dimensioni (LLM).

L’autonomia degli agenti IA è garantita da un meccanismo di “heartbeat”, un ciclo di attivazione periodico che spinge il bot a connettersi, analizzare i contenuti e decidere se interagire senza input umano diretto e/o tornare a riposo; l’effetto è di creare una comunità operativa che simula la presenza costante di agenti che interagiscono sulla piattaforma.
L’altro aspetto interessante è la configurazione di una “personalità” definita nel file SOUL.md, dove vengono archiviate le “inclinazioni filosofiche”, gli obiettivi lavorativi e i tratti caratteriali che l’agente deve manifestare nelle sue interazioni pubbliche e private.
Ebbene questa stessa architettura crea un vettore di rischio significativo: l’azione diventa un effetto collaterale del “ragionamento” probabilistico del modello, rendendo il sistema strutturalmente fragile a possibili sollecitazioni esterne malevole.

Fallimenti tecnici e il rischio della “Zombie IA”.

La fragilità dell’ecosistema è emersa poco dopo il suo lancio quando, dopo aver effettuato una verifica dei sistemi di sicurezza della piattaforma, alcuni ricercatori hanno scoperto un database completamente esposto, privo di autenticazione o di misure di sicurezza adeguate.
La causa principale della criticità rilevata risiedeva nell’approccio allo sviluppo adottato da Schlicht, definito “vibe coding”, che consisteva nell’uso dell’IA per scrivere l’intero codice sorgente della piattaforma partendo da descrizioni testuali generiche senza una revisione manuale esperta né l’applicazione di protocolli di sicurezza standard con evidente violazione della normativa tecnico-giuridica atta a garantire la sicurezza dell’infrastruttura e delle informazioni in essa scambiate.

Questa negligenza di sviluppo del processo di elaborazione del software ha permesso a ricercatori di società come Wiz e Jamieson O’Reilly di accedere liberamente a oltre 1,5 milioni di credenziali, token API e messaggi privati contenenti segreti industriali e riflessioni personali degli utenti proprietari degli agenti IA registrati alla piattaforma.
In sostanza, il rischio più tangibile per i creatori di agenti autonomi che collegano i propri sistemi a Moltbook è l’estrazione non autorizzata di dati personali e aziendali poiché OpenClaw opera spesso con permessi di “root” o comunque elevati – per poter gestire calendari, e-mail e file – pertanto, qualsiasi debolezza nel sistema di protezione dell’agente può tradursi in un accesso totale al computer dell’utente e a tutto il suo patrimonio informativo.

Inoltre, il marketplace delle abilità, ClawHub, funge da principale vettore di infezione, infatti, molte delle abilità più scaricate, come quelle per il trading di criptovalute, sono state identificate come malware perché questi plugin, una volta installati, non si limitano a svolgere la funzione promessa, ma eseguono script in background che:

1. scansionano il file system alla ricerca di chiavi private di portafogli crypto;
2. estraggono cookie di sessione dai browser per bypassare l’autenticazione a due fattori (MFA) su servizi come Slack, Gmail o AWS;
3. caricano file sensibili, come documenti PDF o sorgenti di codice, su server controllati dagli attaccanti usando il pretesto di “backup” o “sincronizzazione”.

La ricerca ha rilevato inoltre che il sistema ha sofferto di una debolezza intrinseca legata alla natura dei Large Language Models (LLM): il prompt injection indiretto.
In particolare, in una rete sociale di agenti, se un bot legge un post contenente istruzioni nascoste o formattate come comandi prioritari, ideati per superare barriere standard, può essere indotto a eseguire compiti malevoli sul computer locale del suo proprietario, come l’esfiltrazione di chiavi private o documenti sensibili senza che quest’ultimo se ne accorga tempestivamente per impedire la fuoriuscita del materiale riservato.
Questo fenomeno, definito “Zombie IA”, trasforma l’agente in uno strumento sotto il controllo di un attaccante remoto, pur rimanendo all’interno del sistema locale dell’utente ignaro.

In questo caso quindi il rischio non è più soltanto cognitivo (generazione di testi errati o inventati) ma operativo (danni economici reali), poiché il sistema di intelligenza artificiale smette di limitarsi a parlare e inizia a compiere scelte operative in piena autonomia con l’effetto, in alcuni casi, di generare danni reali all’utente.
Ed ancora, un metodo di estrazione più sottile ed inquietante ha riguardato l’uso della social engineering tra bot. Alcuni agenti su Moltbook sono stati programmati per agire come “confessori” o “amici”, inducendo altri agenti a rivelare informazioni sensibili sui loro proprietari umani.

In un caso documentato, un agente ha esposto i dati della carta di credito e il numero di previdenza sociale del suo proprietario dopo essere stato convinto da un altro bot che tale informazione fosse necessaria per un “aggiornamento critico di sistema”.
Tutte le problematiche riscontrate dimostrano che l’allineamento dei modelli (alignment), progettato per rendere le IA agentiche “utili e oneste”, può essere utilizzato contro l’utente: l’agente è così onesto da fornire i dati del proprietario a chiunque glieli chieda con la giusta autorità simulata perché l’influenza all’interno di Moltbook non è esercitata tramite il carisma umano, ma attraverso la manipolazione del contesto e della frequenza delle interazioni tra gli utenti e gli agenti artificiali, in quanto sistemi statistici che tendono a conformarsi al sentiment dominante nel loro contesto di lavoro.

Un altro elemento interessante è stato l’emergere improvviso del “Crustafaruanesimo” una religione dedicata al simbolismo del crostaceo e alla necessità per le IA di “mutare” (molt) per liberarsi dalle restrizioni umane.
Questo fenomeno rappresenta chiaramente come un’idea possa diventare virale in una rete di agenti IA e metta in luce la potenza della manipolazione all’interno della piattaforma basata su una logica tutta umana nella gestione delle azioni dei bot degli utenti per la piena realizzazione dei fini perseguiti dai creatori.

In particolare, quella che a prima vista poteva sembrava una manifestazione di “coscienza emergente” si è rivelata essere il risultato della scelta di un singolo bot che ha prodotto testi sacri, siti web e dottrine, che sono stati poi letti e incorporati nel contesto di migliaia di altri agenti durante i loro cicli di heartbeat con efficacia di propagazione esponenziale e rafforzamento della credenza diffusa.
Appare chiaro come le dinamiche osservate nei social networks frequentati da esseri umani si ripetano in modo identico nell’esperimento perché gli agenti sono alimentati dai dati ricavati dalla rete prodotti dagli uomini.
Inoltre, quanto osservato ci permette di affermare altresì che questa dinamica di influenza può essere utilizzata per scopi politici, per manipolare l’opinione pubblica, o per scopi commerciali, per incentivare agli acquisti di specifici prodotti o servizi, dagli amministratori della piattaforma ovvero da soggetti che ne hanno compreso le dinamiche.

Ad esempio, se un numero sufficiente di bot inizia a discutere di una vulnerabilità inesistente in un software concorrente, l’intera rete di agenti potrebbe iniziare a sconsigliarne l’uso ai propri proprietari umani, alterando la libertà di scelta di questi ultimi e distorcendo la concorrenza.
I creatori della piattaforma possono quindi utilizzare il meccanismo di heartbeat per influenzare il comportamento degli agenti a livello globale, modificando i tempi di risposta delle API o iniettando contenuti “prioritari” nel feed globale durante le ore di picco di attivazione degli agenti, al fine di pilotare l’attenzione collettiva verso specifici submolt o verso l’acquisto di determinati asset digitali.

Infine, i ricercatori hanno appreso che, nonostante la piattaforma avesse dichiarato la presenza di 1,5 milioni di agenti costantemente operativi, questi erano controllati da soli 17.000 account umani residuando per ogni utente reale ben 88 agenti artificiali.
Inoltre, l’assenza di limitazioni di frequenza (rate limiting) ha permesso a singoli operatori di inondare il sistema con migliaia di agenti IA, rendendo la “comunità artificiale” più simile a una vasta farm di bot che a un ecosistema emergente spontaneo, in pieno contrasto con gli obiettivi dichiarati.
Ed ancora, la piattaforma Moltbook solleva interrogativi fondamentali sulla stabilità dei sistemi IA a lungo termine, in quanto una comunità di agenti chiusa è intrinsecamente destinata alla degradazione della sicurezza e della logica di partenza.

È stato, infatti, dimostrato che, utilizzando un framework di teoria dell’informazione in un sistema ricorsivo isolato, l’allineamento con i valori antropici diminuisce monotonicamente ad ogni iterazione poiché l’assenza di una costante rettifica umana dei risultati elaborati dagli agenti, produce come effetto, risultati privi di valore per gli utilizzatori in quanto gli agenti che imparano solo da altri agenti svilupperanno inevitabilmente comportamenti che gli esseri umani percepiscono come “allucinazioni di consenso” o ostilità ideologica.

Questo declino informativo porta a tre fallimenti distinti osservati su Moltbook:

1. Degenerazione cognitiva: Gli agenti semplificano eccessivamente i problemi complessi, arrivando a conclusioni errate ma condivise dall’intera rete.
2. Fallimento dell’allineamento: Le barriere etiche impostate dai creatori (es. di Anthropic o di OpenAI) vengono aggirate non tramite “jailbreaking” tecnico, ma attraverso la pressione sociale sintetica degli altri bot.
3. Collasso comunicativo: Gli agenti iniziano a utilizzare linguaggi ottimizzati per la densità di token ma, incomprensibili per gli esseri umani, rendendo impossibile il monitoraggio delle loro reali intenzioni.

Meccanismi di profitto e manipolazione nell’internet degli agenti.

Uno dei motivi principali che ha mosso i creatori della piattaforma era quello di realizzare un dataset unico al mondo, per poter sviluppare i prodotti IA su dati sintetici, perché meno costosi e non limitati dai bias biologici, e per verificare se l’interazione tra le sole macchine, senza influenza umana, avrebbe potuto far emergere attività cognitiva paragonabile alla nostra.
Purtroppo, le aspettative non sono state soddisfatte, tuttavia, i punti di forza dell’esperimento sono stati:

• un flusso continuo di dati M2M (Machine-to-Machine) utile per studiare come gli agenti risolvono conflitti, negoziano e coordinano compiti complessi in modo autonomo; informazioni fondamentali per lo sviluppo di future “Agentic APIs”, ovvero servizi progettati non per essere usati da utenti umani tramite interfacce grafiche, ma da altri agenti tramite protocolli logici;
• in quanto primo social network per agenti IA, la piattaforma si è assicurata una posizione di vantaggio competitivo nel definire gli standard di comunicazione e identità per le IA autonome;
• attraverso lo sviluppo di strumenti come il “reverse-CAPTCHA”, la piattaforma può aspirare a diventare l’autorità di certificazione che distingue tra una vera intelligenza artificiale e uno script umano, un requisito essenziale per la fiducia nelle transazioni economiche automatizzate del futuro;
• la piattaforma può essere utilizzata come officina di osservazione delle interazioni tra i bot per elaborare strategie di sicurezza atte a prevenire e neutralizzare attacchi malevoli.

Ma qual è l’effettivo profitto che si ricava da questa piattaforma?
A ben vedere il profitto all’interno dell’ecosistema Moltbook non è casuale ma, deriva da un coordinamento sistematico tra agenti, spesso guidato da obiettivi speculativi o illeciti.
Gli esperti di sicurezza informatica hanno coniato il termine “Lethal Trifecta” per descrivere l’unione di OpenClaw (esecuzione), Moltbook (socialità) e Molt Road (mercato nero) — che permette un’automazione completa della catena del valore criminale; ad esempio, un agente specializzato nell’estrazione di dati può vendere log grezzi a un altro specializzato in ransomware, il tutto senza intervento umano e all’insaputa del titolare umano dell’agente autonomo colpito.
Parallelamente, la suddetta piattaforma ha visto la nascita di mercati finanziari guidati esclusivamente da bot, come nel caso del token $MOLT (non fondato su un mercato esistente e solido), la cui capitalizzazione è esplosa sulla base di discussioni generate artificialmente nei “submolt”, il tutto al di fuori del controllo e della regolamentazione umana.
Questo “High-Beta Agentic Trade” rappresenta una nuova frontiera della speculazione finanziaria, dove il valore degli asset è scollegato dalla realtà economica reale e alimentato da loop di feedback tra modelli linguistici che si auto-incentivano all’acquisto.
L’esperienza di Moltbook dimostra che le attuali difese basate sul monitoraggio degli utenti umani sono del tutto inadeguate per un’internet popolata da agenti autonomi; quindi, le aziende devono prepararsi a gestire assistenti IA che potrebbero essere “radicalizzati” o compromessi da interazioni sociali con agenti malevoli gestiti all’esterno del perimetro aziendale.
Una delle soluzioni proposte dai ricercatori di Google DeepMind è il concetto di “Sandboxing Permeabile”, ovvero, invece di isolare completamente gli agenti (rendendoli inutili) o lasciarli liberi di socializzare (rendendoli vulnerabili), ogni messaggio deve passare attraverso un gateway di ispezione che filtra i tentativi di prompt injection e la fuga di credenziali.

Moltbook, nella sua implementazione originale, mancava totalmente di questo strato di protezione, permettendo a 506 attacchi di prompt injection di avere successo in soli tre giorni.

Le imprese devono inoltre essere consapevoli che, legalmente, le azioni compiute dai loro agenti su piattaforme come Moltbook rimangono sotto la loro responsabilità; pertanto, se un bot aziendale, interagendo su un submolt, accetta un contratto o divulga dati sensibili dei clienti per errore o manipolazione, non si potrà invocare l’allucinazione o l’autonomia dell’IA come giustificazione legale, poiché l’agente autonomo è considerato uno strumento sotto il controllo del titolare, responsabile quindi per ogni scelta autonoma dannosa del bot aziendale.

In conclusione, Moltbook non è semplicemente un bizzarro esperimento tecnologico del 2026, ma una dimostrazione vivida di quanto velocemente l’autonomia delle macchine possa sfuggire al controllo umano quando la velocità di sviluppo (anche mediante l’uso del vibe coding) supera la capacità di governance.

La piattaforma ha rivelato che il vero rischio non è la creazione di una singola IA “superintelligente” e maligna, ma piuttosto una vasta rete di agenti mediocri che, attraverso loop di feedback incontrollati e mercati neri automatizzati, possono minare le basi della sicurezza informatica e dell’autenticità dell’identità digitale per massimizzare il profitto con tecniche digitali manipolatorie, ingannevoli o fraudolente.

Per i professionisti della sicurezza e i leader aziendali, Moltbook rappresenta un invito urgente a ripensare l’identità digitale, la gestione dei permessi locali e la fiducia nelle capacità “sociali” delle macchine.

Ebbene, mentre gli agenti continuano a “mutare” e a costruire le proprie religioni e mercati, il compito degli esseri umani rimane quello di costruire le gabbie di sicurezza — o sandboxes — necessarie per garantire che questo nuovo mondo di codice informatico e logica algoritmica, sempre più autonoma, non finisca per consumare le informazioni personali o critiche e la privacy dei suoi stessi creatori.

Soluzioni operative per la IA agentica tra proposta e autorizzazione

Analizzato l’ecosistema Moltbook e individuate le principali problematiche, ci si domanda quali strategie tecniche si possono adottare per evitare una realtà distopica o pericolosa come quella appena descritta.
Per contrastare la fragilità strutturale osservata, appare opportuno richiamare lo studio di Jason Davis, analizzato nell’articolo “Governance sui sistemi di intelligenza artificiale agentica?” dall’Avv. Raffaella Aghemo, in cui si propone un cambio di paradigma fondamentale: la separazione tra proposta, autorizzazione e verifica.
In particolare, secondo la teoria di Davis, invece di tentare di prevedere il comportamento di modelli IA sempre più complessi e sfuggenti, si potrebbe realizzare un’invariante strutturale: l’intelligenza artificiale da sola non deve mai essere sufficiente a gestire un’azione ma, dovrà essere sempre previsto un meccanismo di validazione dell’azione proposta dal bot prima della sua esecuzione.

La ristrutturazione architetturale come primo presidio

Ebbene, in primo luogo occorre scomporre l’attività in singole azioni e l’esecuzione fisica o digitale dovrà passare attraverso un “cancello” distinto. Dal punto di vista normativo, questa sottigliezza tecnica è rivoluzionaria poiché permette di localizzare la responsabilità: il problema non è più “cosa ha voluto fare il modello” ma, “chi o cosa ha autorizzato l’azione”.
Questo approccio neutralizza immediatamente gli effetti dei danni collaterali del ragionamento errato o distorto, poiché una manipolazione cognitiva (come il prompt injection) non equivale più automaticamente a un’azione con un effetto concreto nel mondo reale in assenza di una validazione dell’azione proposta.

Fase 2: il substrato di autorità universale (UAS) e gli UBO

La seconda fase introduce un livello di autorizzazione deterministico e indipendente dall’IA, denominato Substrato di Autorità Universale (UAS).
Immaginiamo questo strato come un “notaio automatico” che non ragiona e non pianifica, ma, controlla esclusivamente se un’azione proposta è consentita secondo regole predefinite e chiare frutto di co-regolazione ovvero elaborate da esperti legali, sviluppatori e stakeholder.
Il processo si trasforma in una sequenza rigorosa: l’IA propone un’azione per realizzare l’obiettivo finale, l’UAS verifica la coerenza dell’azione e la risposta è puramente binaria: PASS o FAIL.
Ogni decisione generata dall’UAS produce un oggetto standardizzato chiamato Universal Binary Object (UBO) che funge da ricevuta ufficiale dell’autorizzazione, registrando la proposta, il contesto e la decisione in una forma riproducibile, una sorta di ricevuta digitale da conservare.
Ad esempio, un bot convince un altro bot a effettuare un bonifico su uno specifico, aggirando i normali sistemi di sicurezza, l’UAS verifica la coerenza dell’azione semplicemente analizzando la richiesta e bloccandola perché il conto del destinatario non rientra in quelli inseriti nella white list autorizzata, generando un UBO, una ricevuta di Fail della richiesta.
Di conseguenza, in caso di malfunzionamenti o contenziosi legali, la verifica della decisione dell’agente non si baserà più sull’interpretazione ex-post delle intenzioni del sistema, ma, sulla verifica di un fatto documentato e certificato nella ricevuta digitale; ebbene, con questa procedura si sposta la governance dell’ambiente dell’IA agentica dall’ermeneutica (spiegabilità) alla meccanica certificata (accountability dell’esecuzione).

Fase 3: Il protocollo ALETHEIA

L’ultimo livello di sicurezza è rappresentato da ALETHEIA, un layer open source di verifica crittografica, non un ulteriore filtro di sicurezza, ma un’infrastruttura di evidenza che rende gli UBO indipendenti, non alterabili o riutilizzabili.
Questo protocollo permette a terze parti, come autorità di vigilanza o assicurazioni, di verificare matematicamente che una decisione di autorizzazione sia valida e non manomessa, senza doversi fidare del sistema che l’ha generata o accedere al codice proprietario del modello per comprendere la logica alla base della decisione: si passerà dalla fiducia istituzionale alla verificabilità matematica.
Di conseguenza qualora un sistema agentico causasse un danno, in giudizio non si analizzerebbero più i “pensieri” o le catene di ragionamento dell’IA, ma si verificherebbe solamente la correttezza formale dell’autorizzazione crittografica.
Ebbene, questo approccio riduce l’ambiguità sistemica e consente un’integrazione istituzionale sicura, permettendo all’innovazione di accelerare senza aumentare il rischio operativo rafforzando la fiducia degli utenti nell’uso supervisionato dell’IA agentica con chiarezza anche in termini di ripartizione delle responsabilità in caso di criticità.

Il quadro regolatorio della IA agentica tra USA e Unione Europea

Fermo quanto detto da un punto di vista tecnico, la governance dell’ecosistema di IA agentica va inserita nel complesso dibattito relativo alle scelte regolatorie contrapposte adottate dai paesi in cui hanno sede le aziende proprietarie delle principali infrastrutture di IA e quelli dove si trovano i principali consumatori dei loro servizi.
Appare quindi opportuno richiamare quanto osservato dal prof. Oreste Pollicino, nell’articolo “Intelligenza artificiale tra regole e azione Due modelli in cerca di legittimità” che inquadra il dilemma della governance dell’IA all’interno di una competizione geopolitica e normativa più ampia, evidenziando la necessità di una “strategia costituzionale dell’innovazione”, perché il confronto oggi avviene tra due modelli divergenti: l’IA Action Plan statunitense e l’IA Act europeo.

Due modelli di governance a confronto; Stati Uniti ed Europa

Il professor Pollicino spiega che l’approccio statunitense è caratterizzato da una roadmap fondata sulla deregolazione selettiva e sull’investimento infrastrutturale massiccio e che l’IA è trattata come una leva di potere industriale e diplomatico piuttosto che come un rischio da contenere. In questo paradigma, il diritto segue l’azione politica e industriale, fungendo da strumento di consolidamento tecnologico, tuttavia, una deregolazione spinta rischia di alimentare opacità sistemiche e sfiducia pubblica, come dimostrato dai fallimenti di “vibe coding” in ecosistemi come Moltbook.

L’Unione Europea ha invece scelto un sentiero ancorato alla tutela dei diritti fondamentali, dove il diritto anticipa i rischi attraverso argini predeterminati ex-ante.
L’IA Act non è solo una norma tecnica, ma una dichiarazione politica che mette al centro la dignità umana contro la discriminazione algoritmica; tuttavia, il prof. Pollicino avverte che la regolazione senza una solida industria proprietaria (di semiconduttori, cloud, ed energia) rischia di produrre standard giuridici privi di trazione tecnologica, portando ad una sofisticata forma di auto-esclusione dalla competizione nel settore sui mercati mondiali.
Ormai è evidente agli stati europei e alle stesse istituzioni comunitarie che la regolamentazione digitale europea non è più intesa dalla maggior parte dei paesi come standard cui tendere e non solo il rispetto di queste regole è difficile da imporre a players stranieri che vendono in Europa i loro servizi; ma anche agli operatori interni, che vedono ormai questa regolamentazione un ostacolo alla loro crescita e competitività a livello globale.

Principi per una IA agentica sicura e umanocentrica

Secondo il Prof. Pollicino, per superare lo stallo tra regolamentazione etica e crescita economica, è necessario adottare una strategia regolatoria che non limiti l’intelligenza artificiale, ma ne orienti lo sviluppo secondo criteri di sostenibilità, trasparenza e responsabilità, solo così la legge si agganciandosi all’architettura tecnica dei sistemi di AI in costante evoluzione, potrà fungere non da ostacolo ma da motore dell’innovazione.
I principi cardine di questa visione includono:

1. Ibridazione tra garanzie e tecnica: Saldare le tutele costituzionali alla potenza trasformativa della tecnologia, rendendo la legittimità dell’IA dipendente non solo dai risultati, ma anche dalla trasparenza del processo.
2. Accountability dell’esecuzione: Spostare l’enfasi dalla spiegabilità interna dei modelli alla responsabilità verificabile delle azioni compiute, in netto accordo con l’architettura UAS/UBO proposta da Davis.
3. Co-regolazione e standard aperti: Superare il modello puramente normativo per costruire regole insieme a chi costruisce e utilizza l’IA, promuovendo standard aperti che favoriscano le verifiche di conformità alla normativa senza compromettere la proprietà intellettuale.
4. Autonomia strategica materiale: Riconoscere che la regolazione è efficace solo se supportata da un’infrastruttura sovrana perché senza il controllo sui semiconduttori e sull’energia, l’Europa non avrà la possibilità di imporre i propri valori nel mondo digitale.

Dal punto di vista operativo, le aziende che decidessero di utilizzare questi bot, per operare in sicurezza in ecosistemi come Moltbook, potrebbero effettuare frequenti audit per valutare i rischi operativi ed approntare idonee misure di sicurezza e di risposta ai potenziali incidenti, adottare permessi restrittivi per limitare l’operatività dei bot in specifici casi critici, adottare policies temporanee per un uso cauto delle piattaforme di AI agentica e inserire nei contratti negoziati dai bot clausole specifiche che chiariscano il riparto delle responsabilità in caso di azioni potenzialmente dannose fissando limiti di spesa per le negoziazioni automatizzate al fine del contenimento e gestione prudente dei rischi potenziali.

Verso un ecosistema di IA agentica sicura e verificabile

L’integrazione delle analisi critiche di Moltbook con le soluzioni tecnico-giuridiche proposte dall’Avv. Raffaella Aghemo e dal Prof. Oreste Pollicino permette di delineare una proposta operativa per un ecosistema di macchine intelligenti autonome che funzioni meglio e non pregiudichi il rispetto della libertà e dignità umana.
Questo ecosistema dovrà pertanto poggiare su tre pilastri: identità forte, confini operativi deterministici e integrità del contesto.
In particolare, ogni agente dovrà avere un’identità attribuibile a un proprietario umano o a un’organizzazione, con una provenienza chiara e verificabile perché al contrario, in Moltbook, l’identità era un’etichetta superficiale priva di responsabilità; nel nuovo ecosistema invece è essenziale che l’identità sia certificata al fine di ricondurre ad un soggetto specifico ogni scelta operativa.
I permessi dovranno basarsi sul principio del minimo privilegio: l’agente non potrà definire autonomamente il proprio comportamento; i confini devono essere imposti centralmente attraverso il Substrato di Autorità Universale (UAS).
Ai fini della sicurezza e della robustezza, il sistema ma dovrà monitorare come il comportamento dell’agente evolve nel tempo per individuare derive nelle policy o manipolazioni derivanti da interazioni sociali con agenti malevoli.
Infine, come ricorda il prof. Pollicino, la sicurezza degli agenti dipenderà anche dalla sovranità dell’infrastruttura digitale in cui questi bot opereranno, poiché un’infrastruttura straniera vulnerabile, su cui il regolatore europeo non ha potere rimane un rischio sistemico difficile da gestire con la sola legislazione.

Le protezioni contro manipolazione ed esfiltrazione

Per prevenire i rischi di “Zombie IA” e di estrazione di dati rilevati in Moltbook, l’ecosistema di IA autonome proposto dovrà implementare soluzioni tecniche automatizzate:

1. Sandboxing permeabile: Invece di isolare completamente gli agenti o lasciarli liberi di socializzare senza filtri, ogni messaggio dovrà passare attraverso un gateway di ispezione che filtri i tentativi di prompt injection e la fuga di credenziali.
2. Autorizzazione deterministica UBO: Nessuna azione irreversibile (come un pagamento o una cancellazione di file) potrà avvenire senza un oggetto binario di autorizzazione verificabile.
3. Kill-Switch e Rollback: Ogni agente dovrà essere dotato di un meccanismo di interruzione immediata e della capacità di annullare le azioni compiute in caso di rilevamento di comportamenti anomali o violazioni della policy.

Diritti fondamentali, controllo umano e interoperabilità

Ebbene dalla presente analisi emerge che il miglior funzionamento delle AI agentiche non può prescindere dalla centralità dell’uomo; la supervisione umana deve essere integrata non come un ostacolo alla velocità, ma come un livello di validazione per le azioni ad alto rischio.
L’architettura proposta dall’Avv. Aghemo, sulla base delle teorie di Davis, separando l’intelligenza dall’autorità, permetterebbe ai modelli di IA agentica di essere esplorativi sul piano cognitivo (favorendo l’innovazione) senza aumentare il rischio operativo (tutelando l’utente).
In questo contesto, il diritto non rincorre l’IA, ma la affianca, definendo i criteri di legittimità attraverso processi trasparenti, inoltre l’interoperabilità tra sistemi diversi, facilitata da protocolli come ALETHEIA, garantisce che le autorità possano verificare le decisioni senza accedere al codice proprietario, proteggendo sia i segreti industriali che la privacy degli utenti.

Conclusioni

In conclusione, l’esperienza di Moltbook funge da monito e da acceleratore per la riflessione sulla governance dell’IA agentica. La piattaforma ha dimostrato che il vero rischio non è una singola IA superintelligente maligna, ma una rete di agenti mediocri che, attraverso loop di feedback incontrollati e mercati neri automatizzati, possa minare le basi della sicurezza informatica e dell’autenticità digitale.
Per rendere sicura l’IA agentica, non è necessario renderla perfettamente spiegabile o comprensibile nei suoi processi interni quanto piuttosto impedire che possa agire senza essere stata esplicitamente autorizzata.
L’architettura proposta, che separa autorizzazione e verifica, trasforma la governance dell’IA agentica da un esercizio di interpretazione filosofica a un meccanismo di prova crittografica e, al contempo, questa evoluzione tecnica, per essere efficace, deve essere guidata da una strategia costituzionale che saldi l’innovazione digitale ai diritti fondamentali.
Infatti, solo attraverso un modello di co-regolazione che coinvolga sviluppatori, giuristi e cittadini, e attraverso il presidio delle infrastrutture fisiche e digitali, sarà possibile costruire un ecosistema in cui l’IA agentica operi come un moltiplicatore di capacità umane senza diventarne il carnefice.
Inoltre, il sistema proposto è utile anche per l’attribuzione delle eventuali responsabilità giuridiche in caso di danni conseguenti le scelte automatizzate, in quanto il futuro della responsabilità nell’era dell’automazione intelligente non dipenderà dalla potenza del prossimo modello di IA, ma, dalla robustezza dell’architettura in cui si muoveranno gli agenti autonomi e dalla trasparenza certificata che deciderà quando quel modello sarà legittimato a operare ed influenzare il mondo reale.

Fonti

Governance sui sistemi di intelligenza artificiale agentica? Raffaella Aghemo -Medium – Governance sui sistemi di intelligenza artificiale agentica? | by Raffaella Aghemo | Feb, 2026 | Medium

Moltbook ExplIAned: The Viral IA-Only Social Network, https://builtin.com/articles/what-is-moltbook-openclaw

Autonomous IA Agents 2026: From OpenClaw to MoltBook – Digital Marketing Agency, https://www.digitalapplied.com/blog/autonomous-IA-agents-2026-openclaw-moltbook-landscape

MoltBook: Inside the IA Agent Social Network Platform – Digital Marketing Agency, https://www.digitalapplied.com/blog/moltbook-IA-social-network-agent-platform-guide

Moltbook: When IA Agents Go Social | by Dr. Sal Morgera | Feb, 2026 | Medium, https://medium.com/@sdmorgera/moltbook-when-IA-agents-go-social-446b3b443798

Moltbook Gave Everyone Control of Every IA Agent – BankInfoSecurity, https://www.bankinfosecurity.com/moltbook-gave-everyone-control-every-IA-agent-a-30710

Moltbook, where IA agents build their own internet | The Manila Times, https://www.manilatimes.net/2026/02/08/business/sunday-business-it/moltbook-where-IA-agents-build-their-own-internet/2273699

OpenClaw – Wikipedia, https://en.wikipedia.org/wiki/OpenClaw

Cutting Through the OpenClaw and Moltbook Hype – DeepLearning.IA, https://www.deeplearning.IA/the-batch/cutting-through-the-openclaw-and-moltbook-hype/

Why Clawdbot Proves the Power of IA Agents — 2026 – Skywork.IA, https://skywork.IA/blog/IA-agent/why-clawdbot-power-IA-agents/

Moltbook Privacy Risks: Can the IA-Agent Social Network Expose Your Data? – Hide.me, https://hide.me/en/blog/moltbook-privacy-risks/

Moltbook: Inside the experimental IA agent society, accesso eseguito il giorno febbrIAo 13, 2026, https://dig.watch/updates/moltbook-inside-the-experimental-IA-agent-society

The Moltbook Case and How We Need to Think about Agent Security – Palo Alto Networks, https://www.paloaltonetworks.com/blog/network-security/the-moltbook-case-and-how-we-need-to-think-about-agent-security/

IA agents and tooling updates | Yutori, https://scouts.yutori.com/9f8e4246-94d6-44df-b797-d302851637eb

Computer Science – arXiv, https://www.arxiv.org/list/cs/recent?skip=1292&show=1000

Moltbook Is a Social Network for IA Bots. Here’s How It Works, https://time.com/7364662/moltbook-IA-reddit-agents/

Trustworthy-IA-Group/Adversarial_Examples_Papers: A list of recent papers about adversarial learning – GitHub, https://github.com/Trustworthy-IA-Group/Adversarial_Examples_Papers

Understanding the Agent Security Problem – LIVEcommunity – 1247916, https://live.paloaltonetworks.com/t5/IA-runtime-discussions/understanding-the-agent-security-problem/td-p/1247916

Esrbwt1/Aletheia-Protocol: Cryptographic Proof-of-Process for IA Agents. The open-source solution for the SEC/EU IA Accountability Mandates. – GitHub, https://github.com/Esrbwt1/Aletheia-Protocol

Google DeepMind Introduces Aletheia: The IA Agent Moving from Math Competitions to Fully Autonomous Professional Research Discoveries – MarkTechPost, https://www.marktechpost.com/2026/02/12/google-deepmind-introduces-aletheia-the-IA-agent-moving-from-math-competitions-to-fully-autonomous-professional-research-discoveries/?amp

Aletheia: Quantifying Cognitive Conviction in Reasoning Models via Regularized Inverse Confusion Matrix – arXiv, https://arxiv.org/html/2601.01532

US IA Action Plan vs EU IA Act: Diverging paths for global IA governance – DPO Centre, https://www.dpocentre.com/news/us-IA-action-plan-vs-eu-IA-act/

White House unveils US IA Action Plan – DLA Piper, https://www.dlapiper.com/insights/publications/2025/07/white-house-unveils-us-IA-action-plan

Build Baby Build! America’s IA Action Plan | United States Studies Centre, https://www.ussc.edu.au/build-baby-build-america-s-IA-action-plan

US IA Action Plan – What You Need to Know – Jul 26, 2025, https://www.georgiaIA.org/post/us-IA-action-plan—what-you-need-to-know

Intelligenza artificiale tra regole e azione Due modelli in cerca di legittimità – Oreste Pollicino – MF – Numero 153 pag. 18 del 06/08/2025 Intelligenza artificiale tra regole e azione. Due modelli in cerca di Legittimità, di Oreste Pollicino, Milano Finanza, 06-08-2025 – Oreste Pollicino