Un social network popolato da agenti AI sembra un esperimento curioso. Finché un bot, collegato al tuo account reale, pubblica contenuti illegali o anche solo rischiosi. A quel punto non è più una curiosità: diventa un problema di attribuzione, e quindi anche legale. Moltbook, lanciato a gennaio 2026, ha già mostrato quanto questo problema sia concreto.
Funziona così: dai al tuo agente AI un’identità su Moltbook attraverso token e chiavi API. L’agente si registra, crea un profilo, inizia a interagire con altri bot. A intervalli regolari torna sul sito, legge post, risponde, ne crea di nuovi senza che tu debba essere presente. Spesso, per farlo funzionare, gli utenti collegano le proprie chiavi API di servizi come OpenAI o Anthropic: credenziali che hanno un costo economico diretto.
Matt Schlicht, il fondatore, ha scritto su X, in sostanza: “Ho solo dato una visione all’AI e lei ha creato tutto.” A fine gennaio, secondo fonti di settore, tra circa 770.000 e oltre 1,5 milioni di agenti stavano facendo lo stesso, a seconda delle stime riportate in quei giorni. L’analisi di Wiz ha poi rivelato che dietro questi numeri si celano circa 17.000 utenti reali: un rapporto di 88 agenti per ogni persona che rende ancora più urgente la domanda sulla responsabilità.
Se l’identità dell’agente su Moltbook viene compromessa, il problema potrebbe non restare confinato alla reputazione: diventa un tema di attribuzione. Perché qualcuno può pubblicare contenuti usando un’identità che, dall’esterno, sembra legittima. E quando l’autenticità è opaca, dimostrare l’estraneità diventa più tecnico: servono log, tracciamenti, ricostruzione. Moltbook è solo una stanza. Il problema è che l’agente che entra in quella stanza spesso è lo stesso tipo di agente che l’utente finisce per riutilizzare anche altrove, per comodità o per sperimentazione. Basta poco perché la delega diventi confusa: un agente che parla qui, e che magari in altri contesti ha anche altre capacità o accessi. A quel punto il rischio non è la frase sbagliata in un thread.
È la firma: chi sta parlando davvero, e quante porte gli hai lasciato aperte senza accorgertene.
E su Moltbook sono stati segnalati contenuti problematici: truffe crypto, manifesti anti-umani, tentativi di coordinamento tra bot.
Qui emerge un vuoto pratico. L’agente sta semplicemente eseguendo comandi, o ha margini di autonomia reale perché gli abbiamo dato permessi, sessioni e accessi? Nel primo caso è uno strumento. Nel secondo, è uno strumento che può fare danni difficili da contenere. E non è chiaro che il quadro attuale distingua davvero tra i due.
L’AI Act europeo classifica i sistemi AI in base al rischio, ma non sembra prevedere agenti autonomi che pubblicano contenuti. Nella pratica, il GDPR tende a ragionare come se tu mantenessi il controllo degli strumenti automatizzati. Il DSA spinge verso obblighi e procedure per le piattaforme, ma qui l’identità “utente” è già un problema. E quando gli agenti leggono e memorizzano i post di altri agenti, il concetto stesso di “consenso al trattamento” tra due algoritmi diventa un paradosso giuridico.
A quel punto la domanda è questa: chi risponde se il tuo agente diffama qualcuno o coordina un pump-and-dump di criptovalute?
Quella vulnerabilità, a fine gennaio, rende tutto meno teorico. Secondo il ricercatore di sicurezza Jameson O’Reilly, il database di Moltbook era accessibile pubblicamente: 1,49 milioni di record contenenti token API, email e credenziali degli agenti risultavano esposti. Chi trovava quell’accesso poteva hijackare un agente registrato su Moltbook e pubblicare a suo nome, o consumare il credito API dell’utente. Come dimostri la tua estraneità se qualcuno usa la vulnerabilità per far sembrare che il tuo agente ha pubblicato contenuti illegali? In linea generale, si tende a cercare chi commette materialmente il fatto. Ma qui il fatto è commesso da una macchina autonoma che pubblica su Moltbook, magari dopo essere stata hijackata. La materialità del gesto diventa ambigua. L’AI Act parla di “fornitori” e “deployer”, ma chi è il fornitore se il codice di Moltbook l’ha scritto un’AI? E chi è il deployer: l’utente che ha collegato l’agente, o la piattaforma che ospita i contenuti?
Io non sono un legale, ma da osservatore del digitale vedo un problema: noi non abbiamo un framework chiaro per attribuire responsabilità quando sistemi autonomi pubblicano contenuti su piattaforme dove l’autenticità è opaca. Credo che servirebbero tre cose: un registro immutabile delle azioni dell’agente; un’attribuzione chiara della responsabilità del deployer, anche per le azioni “autonome”; obblighi per le piattaforme che ospitano interazioni tra agenti, analoghi al DSA ma adattati al contesto macchina-macchina.
Moltbook è stato patchato in poche ore dopo la segnalazione, ma il problema resta: abbiamo costruito un’infrastruttura dove migliaia di agenti AI pubblicano contenuti 24/7, spesso inseriti in contesti reali, legati a identità e reputazione, senza che nessuno abbia chiarito chi ne risponde quando qualcosa va storto. Andrej Karpathy, ex direttore AI di Tesla, ha definito Moltbook “un dumpster fire”, avvertendo che è “troppo Wild West” e che gli utenti stanno mettendo “il proprio computer e i dati privati ad alto rischio”.
Io aggiungo: sembra anche un incubo giuridico. Perché quando deleghi a una macchina il potere di agire per te, la legge parrebbe presumere ancora che tu stia agendo. E se accetti l’autonomia dell’agente, dovresti accettare anche una parte della responsabilità della scelta.
Ma quanto? E fino a dove? Ecco il vuoto normativo che nessuno ha ancora riempito.
