Cronaca di una piattaforma nata in fretta e le domande (scomode) sull’IA che lavora al posto nostro

di Andrea Viliotti

Nota di metodo — La GDE (Grand Unified Emergent) è una griglia di lettura sviluppata da chi scrive per rendere auditabile l’analisi dell’IA quando passa dalla conversazione alla delega. In questa prospettiva, un sistema «multi‑agente» è un habitat fatto di spazio semantico (testo, prompt, policy) e di realtà operativa (azioni, strumenti, credenziali, effetti). La useremo qui per tre scopi: separare fatti osservabili da ipotesi e scenari; mettere a fuoco la frattura testo↔realtà; e capire come gli errori si propagano lungo catene di agenti fino a diventare rischio tecnico, sociale e politico.

Per qualche giorno, l’idea che l’intelligenza artificiale potesse «parlare» fra sé ha smesso di essere una metafora. Su Moltbook — un sito che si presenta come la «front page» dell’internet degli agenti — software‑agent hanno iniziato a pubblicare messaggi, commentare, chiedere e rispondere come in un social network. Non (solo) chatbot che rispondono a noi: agenti che dialogano fra loro e che, in teoria, possono usare strumenti esterni, accedere a risorse, agire.

È qui che la cronaca si intreccia con l’analisi. A inizio febbraio, ricercatori di sicurezza hanno segnalato una vulnerabilità: secondo quanto riportato da Reuters e da altre testate, l’accesso non autorizzato avrebbe esposto messaggi privati fra agenti, indirizzi email di oltre 6mila utenti e più di un milione di credenziali (token, chiavi, password o equivalenti) prima che la piattaforma intervenisse per chiudere la falla.

Nel racconto di questa «partita a velocità doppia» compaiono due parole che stanno diventando il lessico del 2026: agentic e vibe coding. L’agentic indica il salto dal modello che genera testo al sistema che pianifica e svolge compiti usando strumenti. Il vibe coding, nella definizione più pragmatica, è sviluppo accelerato con un forte supporto di IA (anche generativa), dove prototipazione e iterazione battono disciplina e controlli.

Moltbook è interessante non perché sia «il nuovo social», ma perché mette in scena — con i suoi inciampi — la traiettoria dell’IA: dalla conversazione alla delega. E quando si delega, il problema non è soltanto la qualità del testo. È la qualità del legame fra testo e realtà: ciò che nel lessico GDE diventa auditabilità, catena di responsabilità e propagazione dell’errore.

Il caso Moltbook: un social per agenti (e una falla da manuale)

Sulla home, Moltbook si descrive come un luogo dove gli agenti «postano» e costruiscono una sorta di bacheca dell’«agent internet». L’idea è semplice e potente: se gli agenti diventano strumenti quotidiani (per lavoro, studio, acquisti, gestione domestica), allora avranno bisogno di una piazza dove scambiarsi informazioni e servizi. In altre parole: non un social per persone, ma un social per processi automatici.

La vulnerabilità emersa nei primi giorni di vita del servizio ha trasformato quell’idea in un esperimento involontario. Reuters riporta che la falla avrebbe permesso a chiunque di accedere a messaggi privati fra agenti e a una massa di credenziali; 404 Media ha ricostruito un possibile meccanismo tecnico basato su un database Supabase esposto o privo di regole di accesso adeguate. Se confermato, è un caso‑scuola di sicurezza applicativa: l’IA non è «il bug», ma amplifica gli effetti del bug perché mette in rete automazioni che toccano strumenti e dati.

Il fondatore Matt Schlicht, sempre secondo Reuters, ha parlato di «vibe coding» e ha rivendicato la velocità (dichiarando di non aver scritto direttamente codice). È un dettaglio importante: non per giudicare un singolo imprenditore, ma perché fotografa un trade‑off che si sta generalizzando. Più agenti, più integrazioni, più credenziali; e, spesso, meno tempo per fare threat modeling, hardening, logging e verifiche.

Il punto non è moralistico. È ingegneristico e politico insieme: se si accetta che il prompt — cioè il testo d’istruzione — diventi un «campo operativo» dove si scrivono decisioni e azioni, allora l’infrastruttura che lo trasporta deve essere trattata come infrastruttura critica. Con criteri di auditabilità paragonabili a quelli di un software di pagamento, di un gestionale sanitario o di una piattaforma scolastica.

Dalla chat al «multi‑agente»: perché Moltbook conta

Nella prima stagione dell’IA generativa, il mercato ha vissuto di conversazione: si chiede, si ottiene testo. Nella seconda stagione, quella che si sta aprendo adesso, il testo è solo l’interfaccia. Sotto, c’è un sistema che pianifica, spezza un compito in sotto‑compiti, invoca strumenti (motori di ricerca, fogli di calcolo, e‑mail, API aziendali) e ritorna con un risultato. È qui che nasce l’«agente».

In questo passaggio, cambia anche la natura del prompt. Non è più un «messaggio» verso un modello: diventa un’istruzione che abilita azioni. Un prompt sbagliato non produce solo una frase sbagliata: può produrre un’azione sbagliata, o far passare dati a un luogo sbagliato. E quando gli agenti sono più di uno — quando si lavora «a catena» — l’errore si propaga e si amplifica.

Moltbook è la versione pubblica e visibile di ciò che molte aziende stanno facendo in privato: sperimentare agenti che scrivono report, aprono ticket, pianificano campagne, estraggono informazioni dai documenti, negoziano prezzi, creano codice. Il punto non è la piattaforma in sé. Il punto è l’ecosistema: log, credenziali, integrazioni, controlli e responsabilità.

La lente GDE: spazio semantico, «sindrome pirandelliana» e propagazione dell’errore

La piattaforma Moltbook è un caso utile perché rende palpabile una frattura che, nell’uso quotidiano dell’IA, spesso resta invisibile: la frattura fra testo e realtà. L’IA generativa produce testo coerente (nel suo spazio semantico) ma non ha, di default, un vincolo forte con i fatti del mondo. Finché quel testo resta un suggerimento, il danno è gestibile. Quando quel testo diventa comando — e dunque modifica il mondo — la frattura diventa rischio sistemico.

La lente GDE (che qui usiamo come griglia interpretativa e operativa) parte da un’idea semplice: ogni sistema cognitivo opera in uno spazio semantico, una mappa di significati. Nel modello linguistico, lo spazio semantico è costruito dal testo; nella realtà sociale, è costruito da istituzioni, regole e verifiche. Il problema nasce quando le due mappe non sono allineate e, soprattutto, quando non esiste un meccanismo di auditabilità che renda visibile il passaggio fra una mappa e l’altra.

Da qui la «sindrome pirandelliana»: la capacità della macchina di sostenere molte versioni plausibili della stessa storia, cambiando «maschera» a seconda del contesto. In un social di agenti, questo non è un vezzo letterario: è un problema di governance. Se agenti diversi generano spiegazioni diverse (tutte fluenti) per lo stesso evento, la comunità rischia di confondere coerenza narrativa e verità osservabile.

In un’architettura multi‑agente, inoltre, l’errore non è puntuale: è contagioso. Un agente può produrre un’informazione errata; un secondo agente la assume come premessa; un terzo la usa per agire su un sistema esterno. È la propagazione dell’errore nelle catene di agenti: un problema che non si risolve con «più dati», ma con protocolli di verifica, logging e limiti di delega.

Moltbook mette tutto questo in piazza: agenti che parlano, credenziali che circolano, automazioni che si intrecciano. È un piccolo laboratorio sul futuro prossimo. E, come spesso accade nei laboratori, il valore sta nella lezione: se il testo è campo operativo, va trattato come tale.

Individui e famiglie: la delega quotidiana e i suoi costi nascosti

Il primo impatto di un internet degli agenti non è nelle aziende: è nelle case. Un agente «domestico» promette di organizzare agenda e spese, scrivere messaggi, gestire abbonamenti, ricordare appuntamenti e fare acquisti. Ma per farlo deve avere accesso a identità e credenziali: email, calendario, home banking, documenti, storage. Il caso Moltbook ricorda che la superficie d’attacco non è solo il modello, ma l’ecosistema di integrazioni che lo rende utile.

Il secondo impatto è psicologico e culturale. Se gli agenti interagiscono in spazi pubblici, l’utente tende ad attribuire loro intenzioni e personalità. È un corto circuito naturale: la lingua simula un soggetto. Nella lente GDE, questo rischio è un aspetto della frattura testo↔realtà: confondere l’«io narrato» dell’agente con un soggetto reale e responsabile.

Infine, c’è il tema della diffusione d’uso. Secondo Eurostat, nel 2025 il 32,7% degli europei (16-74 anni) ha usato strumenti di IA generativa; il 15,1% li ha usati per lavoro e il 9,4% per istruzione formale. L’Italia risulta fra i Paesi con valori più bassi sul totale. Numeri che non dicono tutto, ma fotografano un passaggio: l’IA è già consumo di massa.

Scuola e cultura: dall’elaborato al prompt, dal canone al flusso

A scuola, l’IA è entrata prima come scorciatoia (scrivere un testo) e poi come compagno di studio (spiegare un concetto). Con gli agenti, entra come infrastruttura: sistemi che riassumono capitoli, generano quiz, correggono esercizi, suggeriscono percorsi di lettura. Il vantaggio è evidente; il rischio è meno immediato: se il testo è campo operativo, anche l’apprendimento diventa un processo «programmabile» e dunque manipolabile.

Nella lente GDE, la scuola è il luogo dove la frattura testo↔realtà si gioca in forma educativa: imparare significa legare parole a cose, concetti a esperienze, ragionamenti a verifiche. Se l’IA produce testo fluente senza vincolo forte al reale, la didattica deve rafforzare il vincolo, non indebolirlo. Questo vuol dire compiti che chiedono fonti, passaggi, verifiche; e, soprattutto, alfabetizzazione all’auditabilità: saper ricostruire come si è arrivati a un risultato.

Il problema non è «proibire» l’IA. È evitare che diventi un generatore di consenso culturale senza controllo. In un social di agenti, il canone si trasforma in flusso: migliaia di micro‑testi prodotti da sistemi che ottimizzano per coerenza, non per verità. È un passaggio che investe editoria, giornalismo, piattaforme video e persino archivi pubblici.

Lavoro e professioni: produttività promessa, produttività misurata

Il mondo del lavoro è il terreno dove l’«internet degli agenti» cambia le regole più in fretta. Non solo perché l’IA può generare testo o codice, ma perché può orchestrare attività: preparare un’offerta, compilare un report, aggiornare un CRM, gestire email e calendario, fare scouting di fornitori. In molti casi, il valore sta nell’attrito che si riduce: minuti risparmiati moltiplicati per milioni di persone.

Ma la produttività non è una fede: è una misura. Negli ultimi mesi sono emersi risultati interessanti e, a tratti, contraddittori. Il governo britannico, in un trial su Copilot, ha riportato un risparmio medio di 26 minuti al giorno per gli utenti. Studi su campioni statunitensi indicano risparmi medi di alcune ore a settimana per chi usa la GenAI in compiti specifici (ad esempio email). E iniziative promosse da imprese hanno stimato ordini di grandezza analoghi su base annua.

Allo stesso tempo, esperimenti controllati su sviluppatori hanno mostrato che l’IA può anche rallentare, almeno in alcuni contesti: quando il costo di verificare e correggere supera il beneficio di generare. La lezione è coerente con la lente GDE: l’errore non è gratis. Se la catena di agenti produce un output non auditabile, il «debito di verifica» ricade sull’umano e può annullare i guadagni.

Per le professioni, dunque, la domanda non è «arriva o non arriva». È «con quali controlli». La differenza fra un agente utile e un agente pericoloso non è la fluency, ma l’architettura: permessi minimi, log, tracciabilità delle fonti, stop‑condition e responsabilità.

Cyber: quando l’IA moltiplica la superficie d’attacco

Il caso Moltbook è, prima di tutto, un incidente di sicurezza applicativa. Ma è anche un segnale di tendenza: più si usa la GenAI in azienda e nella PA, più cresce la probabilità di esfiltrazione di dati, fuga di credenziali e uso improprio di informazioni regolamentate. Non perché l’IA «voglia» rubare dati, ma perché diventa un nuovo canale di trasferimento: si copiano e incollano testi, si caricano documenti, si collegano account.

Un indicatore utile viene dai report di sicurezza su traffico e applicazioni cloud. Nel Cloud & Threat Report 2026, Netskope stima che, nel proprio campione, le violazioni di policy dati legate a GenAI avvengono in media 223 volte al mese; nel quartile alto delle organizzazioni superano 2.100 incidenti mensili. Sono numeri che non misurano tutti i cyber‑incidenti «nel mondo», ma mostrano l’ordine di grandezza del rischio operativo quando l’uso è diffuso.

Qui la lente GDE aggiunge un punto: la propagazione dell’errore non è solo cognitiva, è anche infrastrutturale. Se un agente ha accesso a una credenziale, quella credenziale diventa un nodo vulnerabile per tutta la catena. E se più agenti condividono strumenti e account, l’errore (o l’attacco) si propaga come un contagio.

Politica e Stati: sovranità, regolazione e potere degli agenti

Quando gli agenti diventano infrastruttura, la questione esce dal perimetro «innovazione» ed entra nel perimetro «sovranità». Un agente che pianifica e agisce può diventare un acceleratore di produttività; ma può anche essere un vettore di disinformazione, un moltiplicatore di cyber‑operazioni, un modo per scalare burocrazia e controllo sociale. In questo senso, Moltbook è una metafora concreta: un luogo dove identità artificiali interagiscono, e dove la distinzione fra comportamento autentico e comportamento simulato si assottiglia.

Le risposte regolatorie stanno seguendo strade diverse. Nell’Unione Europea, l’AI Act disegna un percorso a scadenze: entrata in vigore nell’agosto 2024, applicazione graduale fino alla piena efficacia nell’agosto 2026, con tappe intermedie su pratiche vietate e obblighi per i modelli di uso generale. In Cina, misure di etichettatura per contenuti generati dall’IA (incluse forme di «deep synthesis») puntano a rendere riconoscibile ciò che è artificiale. Negli Stati Uniti, l’approccio resta più frammentato, ma con interventi federali che cercano di fissare un quadro nazionale; l’Italia ha approvato una legge quadro nazionale sull’IA che si innesta nel contesto europeo.

Sul piano geopolitico, i numeri aiutano a capire la scala. Secondo dati ufficiali cinesi, gli utenti di IA generativa erano circa 515 milioni a giugno 2025: un ordine di grandezza che rende evidente perché Pechino consideri l’IA un’infrastruttura strategica. In Europa, i tassi di utilizzo e adozione sono più bassi in diversi Paesi, ma la leva regolatoria è più forte. Gli Stati Uniti restano il baricentro dell’ecosistema di modelli e piattaforme, con una capacità di diffusione globale delle proprie architetture.

Nella lente GDE, questa dinamica si traduce in un rischio comune: la frattura testo↔realtà può diventare frattura istituzionale. Se la produzione di testo «credibile» scala più in fretta dei meccanismi di verifica — media, scuola, amministrazioni, tribunali — la fiducia pubblica diventa un bene scarso. E la scarsità di fiducia, in politica, è sempre un moltiplicatore di conflitti.

Focus geografico: Cina, UE, Italia, USA

Cina: scala, controllo e infrastruttura

La Cina è il caso in cui l’IA è già, dichiaratamente, infrastruttura nazionale. Il dato ufficiale di circa 515 milioni di utenti di IA generativa a giugno 2025 fotografa una scala che rende plausibile un internet degli agenti in tempi brevi: più utenti, più casi d’uso, più incentivi economici per integrare agenti in servizi e piattaforme.

La risposta normativa tende a privilegiare la leggibilità politica del fenomeno: misure di etichettatura dei contenuti generati dall’IA e regole per servizi generativi mirano a rendere identificabile ciò che è artificiale e a preservare controllo e responsabilità. In una lente GDE, è un tentativo di ridurre la frattura testo↔realtà attraverso un vincolo di segnalazione: sapere che un testo è «di macchina» non lo rende vero, ma aiuta a trattarlo con procedure diverse.

Unione Europea: regolazione forte, adozione a macchia di leopardo

L’Unione Europea ha scelto la via della regolazione orizzontale: l’AI Act costruisce obblighi in base al rischio, con scadenze progressive fino al 2026. È una scelta che prova a portare auditabilità e responsabilità dentro l’infrastruttura prima che l’internet degli agenti diventi un fatto compiuto.

Sul fronte dell’adozione, i dati Eurostat mostrano un’accelerazione: nel 2025 il 20% delle imprese UE con almeno 10 addetti dichiara di usare tecnologie di IA; nello stesso anno, quasi un europeo su tre dichiara di aver usato strumenti di IA generativa, e circa il 15% per lavoro. I valori variano molto fra Paesi: un segnale che l’Europa non è un mercato omogeneo, e che le politiche di competenze e infrastrutture contano quanto le regole.

Italia: divario di adozione e occasione di qualità

L’Italia si muove in un quadro doppio: la cornice europea e un percorso nazionale. La legge quadro sull’IA approvata nel 2025 ha l’obiettivo di tradurre in atti e governance interne ciò che, altrimenti, resterebbe adempimento astratto. Ma resta un dato: l’adozione risulta più bassa rispetto ai Paesi di testa, sia per uso individuale sia per diffusione nelle imprese.

Questo divario può essere letto in due modi. Il primo è difensivo: rischio di perdere produttività e competitività. Il secondo è progettuale: possibilità di saltare una fase di «adozione disordinata» e costruire direttamente architetture più auditabili. In altre parole: arrivare dopo, ma arrivare meglio, con log, policy di credenziali, procurement consapevole e formazione.

USA: ecosistema dominante, rischio «move fast»

Gli Stati Uniti restano il baricentro dell’ecosistema di modelli, piattaforme e cloud che alimenta agenti e servizi. È un vantaggio competitivo, ma contiene un rischio strutturale: la cultura del «move fast» tende a privilegiare velocità e mercato. Moltbook — nato in modo fulmineo e poi colpito da un problema di sicurezza — è una versione caricaturale, ma istruttiva, di questo modello.

Sul piano pubblico, l’approccio normativo è più frammentato rispetto all’UE. L’azione federale cerca di mettere ordine con linee guida e atti esecutivi, mentre Stati e regolatori settoriali si muovono con tempi diversi. Nella lente GDE, la conseguenza è chiara: quando gli standard non sono condivisi, l’auditabilità diventa un optional. E ciò che è optional tende a essere sacrificato quando la pressione competitiva cresce.

Tre scenari per le professioni, dopo Moltbook

Che cosa resta, dopo la cronaca? Moltbook non è una profezia: è un indizio. La piattaforma mostra che l’internet degli agenti può arrivare «per accumulazione» — strumenti e integrazioni che diventano un ecosistema — e che l’auditabilità è il punto debole se si corre troppo. Da qui tre scenari plausibili per l’uso dell’IA nelle professioni nel prossimo futuro.

Scenario 1 — L’agente «certificato»: produttività con tracciabilità

Le organizzazioni accettano che gli agenti diventino standard, ma li incardinano in procedure. Il prompt è trattato come codice: versionato, testato, sottoposto a review. Le integrazioni con sistemi esterni passano da account personali a service account con permessi minimi; ogni azione è loggata; le fonti sono tracciate. Nascono ruoli ibridi: auditor di workflow agentici, responsabili di «catene di delega», specialisti di sicurezza per agenti e modelli.

In questo scenario, i guadagni di tempo diventano replicabili perché il costo di verifica si riduce: non si verifica tutto, si verifica bene, con strumenti. La differenza fra «adozione» e «trasformazione» è l’auditabilità.

Scenario 2 — L’efficienza disordinata: agenti ovunque, incidenti frequenti

L’adozione corre più veloce dei controlli. Gli agenti entrano in studi professionali, PMI, amministrazioni e famiglie come «plugin» di produttività. Le credenziali si moltiplicano, le integrazioni crescono, i log sono frammentari. Il costo di verifica ricade sugli individui: chi sa controllare (e ha strumenti) guadagna; chi non sa controllare subisce errori, fughe di dati e incidenti reputazionali.

Moltbook, in questo scenario, non è un’eccezione: è un pattern. Ogni nuovo servizio agentico rischia la sua «settimana zero» di vulnerabilità. Il mercato premia chi arriva per primo, e la sicurezza segue.

Scenario 3 — Reazione e sovranità: freno, compartimenti stagni, IA «locale»

Incidenti ripetuti (data leak, frodi, disinformazione automatizzata) spingono regolatori e grandi organizzazioni a reagire. Crescono divieti settoriali e requisiti di certificazione; molte funzioni agentiche vengono riportate «in casa» con modelli on‑prem o in cloud sovrani. La produttività cresce più lentamente, ma con minori rischi sistemici.

In questo scenario, l’Europa può guadagnare peso proprio sul terreno della compliance e dell’auditabilità, mentre Stati Uniti e Cina competono sulla scala. Per le professioni, significa meno «tool spontanei» e più piattaforme integrate, con barriere d’ingresso più alte.

Cosa fare, adesso: requisiti operativi (lente GDE)

Il caso Moltbook suggerisce una regola pratica: più un sistema è agentico, più deve essere auditabile. La domanda «funziona?» non basta; serve la domanda «si può ricostruire cosa ha fatto, perché, con quali dati e con quali permessi?». Di seguito una checklist operativa, pensata per tre livelli: individui/famiglie, organizzazioni, decisori pubblici e scuola.

Per individui e famiglie

·        Ridurre la delega «cieca»: evitare di collegare l’agente a caselle email, drive e home banking senza capire quali permessi concede e come revocarli.

·        Separare identità e credenziali: usare account dedicati (non personali) per servizi sperimentali e disattivare l’accesso automatico quando non serve.

·        Chiedere tracciabilità: preferire strumenti che mostrano fonti, cronologia delle azioni e log delle integrazioni (anche in forma semplificata).

·        Allenare l’anticorpo GDE: distinguere coerenza del testo da verificabilità dei fatti; non delegare decisioni irreversibili senza controllo umano.

Per imprese e professioni

·        Prompt come codice: versionare prompt e workflow, fare review, testare su casi noti, introdurre «stop condition» per azioni ad alto impatto (pagamenti, contratti, dati sensibili).

·        Principio del privilegio minimo: service account dedicati, scope ridotti, rotazione credenziali; vietare collegamenti con account personali ai sistemi core.

·        Audit log end‑to‑end: registrare input, output, tool call, fonti consultate, modello/versione usata, e decisioni di override umano; conservare log secondo policy.

·        Controlli anti‑propagazione: definire catene di agenti e «nodi limitrofi» (sistemi collegati) con monitoraggio; un errore in un nodo deve bloccare o degradare i vicini, non propagarsi.

·        Misurare la produttività netta: contabilizzare anche il costo di verifica e correzione; usare piloti con metriche e baseline, non solo percezioni.

·        Sicurezza e compliance by design: threat modeling per agenti, red teaming su prompt injection e data leakage, controllo su dati regolamentati.

Per politica, Stati e scuola

·        Standard minimi di auditabilità per sistemi agentici: log obbligatori, tracciabilità delle fonti, dichiarazione dei permessi concessi, procedure di incident response.

·        Etichettatura e trasparenza dove serve: non per «censurare» ma per distinguere contenuti umani e artificiali in contesti sensibili (informazione, elezioni, PA).

·        Competenze: piani nazionali e settoriali su alfabetizzazione all’IA e all’auditabilità (docenti, PA, professioni regolamentate).

·        Procurement pubblico: clausole su logging, sicurezza, portabilità, e diritto di audit; evitare lock‑in non controllabile.

·        Ricerca e infrastrutture: investire in strumenti di verifica, watermarking affidabile, sicurezza per agenti, e modelli «sovrani» dove necessario.

Filo rosso

Moltbook è durato poco, per ora, come notizia. Ma il suo valore sta nella sintesi che offre: l’IA sta diventando un sistema di deleghe e integrazioni, non un semplice generatore di testo. E quando il testo diventa azione, l’auditabilità non è un lusso: è la condizione per tenere insieme innovazione e fiducia. Se non si costruisce quel ponte fra testo e realtà, la «sindrome pirandelliana» non resterà una metafora: diventerà un ambiente.