Cos'è il protocollo PACT di Cloudflare?

PACT (Privacy-preserving Agentic Control Token) è un protocollo aperto sviluppato da Cloudflare con la partecipazione di Google, Microsoft, Mozilla e Shopify. L'obiettivo è standardizzare come i siti web gestiscono l'accesso degli agenti AI, permettendo alle interazioni legittime (quelle con un umano in loop) e bloccando i bot abusivi.

Perché Google e Shopify si sono uniti all'iniziativa?

Google Chrome e Microsoft Edge partecipano come browser con la capacità di attestare la presenza di un utente umano nelle interazioni agentiche. Shopify ha aderito perché i bot abusivi rappresentano un problema diretto per i merchant — ogni falso positivo nella protezione antibot è una vendita persa, mentre i bot reali danneggiano il sistema.

Come funziona PACT in pratica?

PACT permette agli agenti AI di presentare un token verificabile che dimostra che c'è un umano nella catena di interazione. I siti web possono scegliere di accettare queste interazioni (con l'agente AI che opera per conto di un utente reale) e bloccare quelle senza questo attestato, riducendo il traffico bot automatizzato abusivo.

PACT riguarda anche i siti WordPress o solo l'ecommerce?

Il protocollo è progettato per qualsiasi sito web, non solo ecommerce. Tuttavia, Shopify lo ha promosso in modo particolare perché i merchant hanno esigenze specifiche — proteggersi dai bot senza bloccare i clienti reali che usano agenti AI per fare acquisti.

Cloudflare PACT Google Shopify bot AI ecommerce 2026 — protocollo gestione agenti AI siti web

Il problema dei bot AI è diventato uno dei principali grattacapi per chi gestisce siti web nel 2026: come distinguere un agente AI legittimo che opera per conto di un utente reale da un bot abusivo che scrapa contenuti, manipola i prezzi o testa vulnerabilità?

Cloudflare ha proposto una risposta. Si chiama PACT (Privacy-preserving Agentic Control Token), ed è un protocollo aperto a cui hanno già aderito Google Chrome, Microsoft Edge, Mozilla Firefox e Shopify.

Il problema che PACT risolve

Con l'esplosione degli agenti AI — assistenti che fanno ricerche, effettuano acquisti, prenotano appuntamenti o navigano per conto degli utenti — i siti web si trovano di fronte a un dilemma:

Bloccare tutti i bot significa bloccare anche gli agenti AI legittimi degli utenti, perdendo vendite e interazioni reali
Permettere tutto significa aprire la porta ai bot abusivi che consumano risorse, scrapaono contenuti senza permesso o manipolano sistemi

Le soluzioni attuali (CAPTCHA, rate limiting, user-agent filtering) non sono progettate per questo scenario. Un agente AI legittimo che fa lo shopping per un utente sembra un bot da qualsiasi angolazione tecnica attuale.

Come funziona PACT

Il protocollo introduce il concetto di attestazione della presenza umana.

Quando un agente AI interagisce con un sito per conto di un utente, il browser (Chrome, Edge, Firefox) può generare un token crittograficamente verificabile che attesta: "Questo agente sta operando per conto di un essere umano reale che ha autorizzato questa interazione."

Il sito web può scegliere di:

Accettare le interazioni con un token PACT valido (trattarle come traffico legittimo)
Rifiutare o limitare le interazioni senza token (bot abusivi, scraper automatici)

Il "privacy-preserving" nel nome è cruciale: il token attesta la presenza umana senza rivelare l'identità dell'utente — separando il "c'è un umano qui" dall'identificazione dell'individuo specifico.

Perché Shopify è coinvolto

Shopify ha aderito all'iniziativa con una motivazione molto concreta. Come ha dichiarato l'azienda:

"Nel commercio, ogni challenge extra, ritardo o falso positivo può trasformare un acquisto in un carrello abbandonato. I merchant hanno bisogno di protezioni efficaci contro l'abuso automatizzato senza friction inutile o tracking invasivo."

Per un ecommerce, i bot sono un problema su due fronti: i bot cattivi attaccano il sistema, ma le difese troppo aggressive bloccano anche i clienti legittimi. PACT promette di risolvere questo trade-off permettendo ai merchant di distinguere i due casi.

Implicazioni per chi gestisce siti web

Per siti di contenuto: il protocollo potrebbe cambiare il modo in cui gestisci il traffico AI. Invece di bloccare tutti i bot, potresti scegliere di permettere agenti AI verificati (che portano utenti reali) e bloccare il traffico automatizzato senza attestazione.

Per ecommerce: meno friction per gli utenti che usano agenti AI per fare acquisti, meno bot abusivi che manipolano inventario o prezzi.

Per tutti: è il primo tentativo serio di creare uno standard aperto per l'interazione AI-web — simile a robots.txt per i crawler SEO, ma per gli agenti AI con presenza umana verificata.

I tempi

PACT è ancora in fase di sviluppo collaborativo. Cloudflare ha lanciato l'iniziativa con il supporto dei browser principali, ma l'adozione diffusa richiederà tempo — sia da parte dei siti che la implementano, sia da parte degli agenti AI che supportano il protocollo.

È una delle novità infrastrutturali più interessanti del 2026 per chi gestisce siti web: il web si sta preparando per un ecosistema in cui non solo gli umani navigano, ma anche gli agenti che operano per loro conto. PACT è il primo tentativo serio di dare ordine a questa transizione.

Google, Shopify e Cloudflare lanciano PACT: il protocollo per gestire i bot AI sui siti web

Il problema che PACT risolve

Come funziona PACT

Perché Shopify è coinvolto

Implicazioni per chi gestisce siti web

I tempi