Gli agenti AI sono il nuovo vettore di frode. Ecco perché il suo rilevamento probabilmente non li intercetta.
Gli agenti alimentati da LLM guidano browser reali, ragionano sulle pagine e in superficie sembrano umani. I segnali comportamentali e i CAPTCHA che intercettavano i bot a script sono sensibilmente più deboli contro di loro.
Per gran parte dell'ultimo decennio, «rilevamento dei bot» ha significato distinguere l'automazione dagli umani. Il segnale era chiaro perché il divario era ampio: i bot non avevano jitter del mouse, non facevano pause di lettura, non avevano consapevolezza del contesto. Erano evidenti, se sapeva dove guardare.
Quel divario si sta chiudendo. La categoria di minaccia che i team antifrode devono comprendere nel 2026 è l'agente alimentato da LLM — automazione costruita su grandi modelli linguistici capaci di leggere, ragionare, decidere e agire in modi che assomigliano alla cognizione umana più di qualsiasi generazione precedente di bot. I segnali di rilevamento che funzionavano contro i bot basati su script sono sensibilmente meno efficaci contro gli agenti addestrati sul comportamento umano.
Questa non è speculazione su una minaccia futura. Il traffico guidato da agenti è già nei suoi log antifrode, per lo più etichettato erroneamente o come «utenti reali» o come «bot sofisticati». La composizione di questo traffico sta cambiando. Gli approcci di rilevamento che reggono richiedono un modello architetturale diverso da quello che la maggior parte delle piattaforme distribuisce.
Questo articolo è rivolto ai responsabili di security e prodotto che cercano di capire cosa distingue davvero l'automazione guidata da agenti, perché conta per la difesa antifrode e quali pattern di rilevamento funzionano contro di essa.
Cos'è davvero un agente AI nel contesto della frode
L'espressione «agente AI» viene usata in modo vago. Nel contesto della frode, la definizione significativa è: automazione che soddisfa tre criteri:
- Guidata da un modello linguistico (GPT-4, Claude, Gemini o simili) per il processo decisionale, anziché da script codificati a mano.
- Che opera in un ambiente browser reale — di solito un'istanza headless o headed di Chrome, Firefox o Safari, spesso in esecuzione su infrastruttura cloud progettata per l'automazione del browser.
- Capace di adattarsi a stati di pagina inattesi — messaggi di errore, cambiamenti di layout, passaggi di verifica aggiuntivi — senza richiedere a uno sviluppatore di aggiornare lo script.
Questa combinazione è qualitativamente diversa dall'automazione più datata. Un bot basato su script che segue una macro registrata fallisce nel momento in cui una pagina cambia. Un agente legge la pagina, capisce cosa sta guardando e adatta il proprio approccio. La prima generazione era costruita per casi d'uso legittimi (ricerca web, test di accessibilità, navigazione automatizzata). La seconda generazione include operatori che applicano questi strumenti alla frode su larga scala.
Perché i vecchi segnali di rilevamento sono più deboli contro gli agenti
Il toolkit tradizionale di rilevamento dei bot si basa su segnali che distinguono l'automazione dagli umani. Gli agenti cambiano la forza di ciascun segnale.
Segnali comportamentali. Entropia del movimento del mouse, dinamica della digitazione, pattern di scroll. Gli umani reali hanno una varianza naturale — jitter, esitazione, correzione degli errori. I bot basati su script hanno o nessuna varianza (linee perfettamente rette, compilazione istantanea dei moduli) o una varianza generata che è statisticamente rilevabile.
Gli agenti che guidano browser reali tendono a produrre pattern più simili a quelli umani. Usano la simulazione di input del browser reale, spesso randomizzata. Impiegano tempo a «leggere» le pagine perché il modello sottostante deve elaborare contenuto visivo o DOM. Il segnale comportamentale è ancora presente, ma è più rumoroso e richiede un'analisi più sofisticata per estrarlo.
CAPTCHA. I moderni servizi di risoluzione dei CAPTCHA sono sempre stati in grado di sconfiggere i CAPTCHA su larga scala per circa 0,001 dollari a challenge. Gli agenti lo fanno nativamente. Un generico GPT-4o o Claude può guardare un CAPTCHA basato su immagini e identificare cosa cliccare con alta accuratezza. Il valore difensivo dei CAPTCHA contro gli agenti è prossimo allo zero.
Regole di velocità. Soglie fisse su azioni al minuto. I bot basati su script tendono a violarle in modo aggressivo perché l'ottimizzazione della velocità è tutto il loro scopo. Gli agenti rallentano deliberatamente perché il loro modello sottostante è addestrato sul comportamento umano, che ha una cadenza naturale. Le regole di velocità intercettano gli agenti solo quando sono configurati per operazioni ad alto volume.
Fingerprinting semplice. Liste statiche di hash canvas, font, stringhe User-Agent. Gli agenti che eseguono browser reali producono valori legittimi per tutti questi. Il fingerprint sembra corretto perché è corretto — l'agente usa un browser reale, e il browser riporta ciò che è davvero.
Il pattern: i segnali basati su «l'automazione sembra diversa dagli umani» si indeboliscono man mano che l'automazione somiglia sempre più agli umani.
I segnali che funzionano ancora
Il rilevamento contro gli agenti richiede segnali che l'automazione non può nascondere facilmente, a prescindere da quanto il comportamento superficiale appaia umano.
Firme a livello di rete. Gli agenti girano tipicamente su infrastruttura cloud: AWS, GCP, Azure o servizi specializzati di automazione del browser. I range di IP sono identificabili. I fingerprint TCP/TLS differiscono da quelli degli ISP di consumo. I segnali osservabili lato server intercettano la maggior parte del traffico degli agenti a prescindere da ciò che il lato client dichiara.
I fornitori che gestiscono prodotti browser-as-a-service specificamente (Browserbase, Anchor, Steel.dev e altri) hanno firme di rete identificabili. Gli utenti reali provenienti da ISP residenziali appaiono diversi, a livello di rete, dagli agenti in esecuzione in ambienti cloud. È il segnale più affidabile in assoluto nel 2026.
Fingerprint di dispositivo sottili. Le GPU reali producono pattern in virgola mobile difficili da falsificare al pixel. Gli ambienti virtualizzati e le istanze GPU cloud producono pattern leggermente diversi. Il fingerprinting di AudioContext rivela differenze nell'elaborazione audio tra hardware fisico e hardware virtualizzato. Lo scostamento dell'orologio in tempo reale differisce tra i dispositivi di consumo su rete locale e le istanze cloud sincronizzate su server NTP di alta qualità.
Ogni singolo segnale è piccolo. Combinati su 130+ sonde, producono un quadro coerente: «questo sembra un vero dispositivo di consumo» contro «questo sembra un ambiente browser ospitato in cloud, a prescindere da ciò che dichiara l'User-Agent».
Vinculazione cross-sessione. Le operazioni degli agenti spesso coinvolgono un unico sistema sottostante che controlla molte sessioni. Anche quando ogni sessione ha un fingerprint di dispositivo univoco, le correlazioni comportamentali tra le sessioni (pattern temporali identici, processo decisionale identico, risposta identica agli errori) rivelano il coordinamento.
Verifiche di coerenza lato server. Gli agenti possono falsificare qualsiasi singolo segnale. Mantenere la coerenza tra tutti i segnali è drasticamente più difficile. Se l'ambiente JavaScript dichiara «Chrome 120 su macOS» ma il fingerprint di rete indica un server Linux in AWS, quella è un'incoerenza di cui il client non ha visibilità e che quindi non può correggere.
Rilevamento polimorfico. Il codice di rilevamento lato client che cambia quotidianamente nega agli agenti la possibilità di pre-addestrarsi su di esso. Le sonde statiche vengono decodificate; quelle a rotazione no.
Il pattern architetturale: molti segnali deboli, combinati con la verifica di coerenza, battono qualsiasi singolo segnale forte. I singoli segnali forti vengono sconfitti. La combinazione di cinquanta segnali deboli con requisiti di coerenza tra di essi resiste all'evasione molto più a lungo.
Come si presentano in pratica gli attacchi guidati da agenti
Tre pattern che osserviamo nel traffico del 2026:
Pattern 1: farming di creazione di account. Gli agenti creano account su larga scala, completando la verifica e-mail, i passaggi KYC e l'onboarding iniziale del prodotto. Ogni account è destinato a un'estrazione di valore a valle: reclamo di bonus, sfruttamento del piano gratuito, farming di airdrop, scraping di contenuti. L'agente svolge il lavoro che prima richiedeva o script rozzi (facilmente intercettati) o lavoro umano (costoso).
L'economia unitaria finanziaria favorisce l'aggressore. Un'operazione con agenti può eseguire 1.000 sessioni browser simultanee su infrastruttura cloud commodity per meno di 50 dollari all'ora. Ogni account riuscito vale una certa quantità di valore (50–500 € per i welcome bonus iGaming, 10–100 $ per lo sfruttamento del piano gratuito SaaS, molto più alto per gli airdrop crypto). Il costo marginale per account si avvicina allo zero mentre il valore marginale resta significativo.
Pattern 2: credential stuffing con logica adattiva. I vecchi strumenti di credential stuffing (letteralmente «riempimento di credenziali») bombardano gli endpoint di login con coppie di credenziali a velocità brute-force. Gli approcci moderni guidati da agenti testano con più cautela, gestiscono i CAPTCHA quando compaiono, navigano verso i flussi di recupero quando il login iniziale fallisce e trattano ogni credenziale «riuscita» con più attenzione per evitare di innescare difese aggressive.
Il tasso di successo per credenziale è simile alle tecniche più datate. La difficoltà di rilevamento è maggiore perché l'agente non sembra un'operazione brute-force — sembra una serie di normali tentativi di login con una cadenza normale.
Pattern 3: abuso di codici promozionali e scraping di contenuti. Gli attacchi con agenti dalla cadenza più lenta. L'agente visita le pagine dei prodotti, applica i codici promozionali, cattura i prezzi, cattura i contenuti, esce. Il volume per IP è modesto. Il volume per sessione è piccolo. Il segnale è sottile, ma il costo aggregato — perdita di intelligence competitiva, esaurimento del budget promozionale, furto di contenuti — è significativo.
Questi tre pattern condividono una sfida difensiva comune: la firma per singola azione sembra umana. Il rilevamento richiede o l'osservazione di pattern aggregati su molte sessioni o l'osservazione dei livelli più profondi (rete, hardware, coerenza) che l'agente non può falsificare facilmente.
Cosa significa per il suo team
Tre osservazioni che contano a prescindere dal tipo di piattaforma:
Osservazione 1: i punteggi di rilevamento dei bot che ha monitorato potrebbero sottostimare la minaccia reale. La maggior parte delle piattaforme misura il «traffico da bot» usando segnali che il traffico degli agenti non innesca. In molte piattaforme il punteggio è in calo o stabile non perché la minaccia si stia riducendo, ma perché la misurazione manca la nuova categoria.
Osservazione 2: i fornitori costruiti su vecchi modelli di segnale sono esposti. Se il marketing del suo fornitore di rilevamento enfatizza l'analisi comportamentale come differenziatore principale, ponga domande difficili su come la loro architettura gestisce il traffico degli agenti. Molti fornitori sono in ritardo di mesi o anni su questa categoria.
Osservazione 3: l'architettura giusta non è un singolo livello. Il solo rilevamento a livello di rete manca gli agenti che girano su infrastruttura di proxy residenziali. Il solo rilevamento a livello di dispositivo manca gli agenti che girano su hardware fisico. L'architettura difendibile combina i livelli con la verifica di coerenza.
Le piattaforme che gestiscono bene questa transizione condividono un pattern: trattano il proprio rilevamento come una capacità continua anziché come un prodotto distribuito. Misurano ogni trimestre, mettono a punto le regole ogni mese e hanno con il proprio fornitore di rilevamento un rapporto che include R&S continua anziché un contratto SaaS statico.
I prossimi 18 mesi
Tre previsioni su come evolve questa categoria:
Previsione 1: la quota di traffico degli agenti cresce. Da percentuali a una cifra nel 2025 verso percentuali a due cifre entro la fine del 2026. Gli incentivi economici favoriscono l'espansione: i costi dell'infrastruttura degli agenti continuano a scendere, la capacità degli agenti continua a migliorare e il valore della frode automatizzata continua ad attrarre investimenti.
Previsione 2: emergono piattaforme di agenti specializzate. L'automazione generica basata su LLM è la prima ondata. La seconda ondata sono agenti costruiti su misura per specifiche categorie di frode: agenti di farming di bonus, agenti di credential stuffing, agenti di farming di airdrop. Ciascuno è ottimizzato per il proprio obiettivo specifico e più difficile da rilevare rispetto agli agenti generici.
Previsione 3: la risposta dei difensori si consolida attorno a specifici pattern architetturali. Il rilevamento multilivello con verifica di coerenza cross-livello e codice lato client polimorfico diventa lo standard. I fornitori che non distribuiscono questa architettura nei prossimi 18 mesi diventano non competitivi rispetto a quelli che lo fanno.
La finestra per anticipare questa minaccia è grossomodo quel periodo di 18 mesi. Le piattaforme che distribuiscono un rilevamento efficace nella prima parte della finestra hanno un percorso più facile rispetto a quelle che aspettano finché il traffico degli agenti non domina la loro superficie di minaccia e devono poi adeguarsi a posteriori.
Dove si colloca Tracio
Il rilevamento degli agenti è uno dei principali investimenti in R&S di Tracio nel 2026. L'architettura copre i livelli di segnale che reggono contro gli agenti: firme di rete (inclusi gli ambienti browser ospitati in cloud noti), verifiche di coerenza del dispositivo (che intercettano l'hardware virtualizzato a prescindere dall'ambiente dichiarato), biometria comportamentale (pattern sotto il millisecondo che differenziano ancora anche gli agenti sofisticati) e condivisione di segnali tra clienti (che intercetta le campagne coordinate estese su più piattaforme).
Il livello JavaScript polimorfico nega agli agenti la possibilità di pre-addestrare evasioni contro sonde statiche. Il verdetto lato server integra tutti i segnali e fornisce una decisione ALLOW, CHALLENGE o BLOCK in meno di 50 millisecondi, con il ragionamento allegato perché il suo team possa verificare e mettere a punto.
Il deployment è rapido: un SDK sulla pagina, una chiamata di verifica lato server a ogni punto decisionale critico. Il piano gratuito copre 2.500 verifiche al mese — sufficienti per condurre un pilota significativo e vedere cosa c'è davvero nel suo traffico.
Curiosi di sapere quale percentuale del suo traffico è guidata da agenti?
Avvii la sua prova gratuita
— 2.500 verifiche gratuite, senza carta di credito.
Prenoti una demo
per esaminare la sua superficie di minaccia specifica e ottenere una stima di base del traffico degli agenti sulla sua piattaforma.