Il 1 luglio 2026, Cloudflare ha tenuto il secondo "Giorno dell'indipendenza dei contenuti" e ha ufficialmente classificato per la prima volta gli agenti AI in una categoria separata di bot. Ora il traffico è suddiviso in tre classi: Search, Agent e Training, e dal 15 settembre 2026, sui siti con pubblicità, i bot delle categorie Agent e Training saranno bloccati di default. Parallelamente, i tribunali e i grandi rivenditori stanno già chiudendo le porte ai "browser agent" come Perplexity Comet e ChatGPT Atlas. Analizziamo cosa sta succedendo con il web degli agenti e perché senza proxy residenziali, gli assistenti AI autonomi si scontrano sempre più spesso con un muro.
Cosa è successo: i bot hanno una terza casta
In passato, il web conosceva due tipi di traffico automatico: i crawler di ricerca, che indicizzano le pagine, e i crawler di addestramento, che estraggono contenuti per addestrare i modelli. Nel 2026, a questi si è aggiunto un terzo — l'agente. Cloudflare, attraverso la cui rete passa circa il 20% di tutto il traffico web, gli ha dato una definizione precisa: è "un comportamento automatizzato che agisce, di norma in tempo reale, per conto di una persona, per fare qualcosa in questo momento".
Questa definizione include i bot di recupero degli assistenti chat (ad esempio, ChatGPT-User, che recupera informazioni aggiornate su richiesta dell'utente) e agenti browser completi — Gemini o Claude, che gestiscono un vero Chrome. La logica della nuova politica è semplice: un annuncio pubblicitario è un segnale che il proprietario del sito voleva mostrare la pagina a una persona e monetizzare la sua attenzione. Pertanto, sulle pagine monetizzabili, Cloudflare blocca di default i bot che privano il sito di questa attenzione: quelli di addestramento e agenti.
Le date da ricordare: le modifiche entreranno in vigore il 15 settembre 2026 e riguardano i nuovi domini che si connettono a Cloudflare. I bot di ricerca rimangono autorizzati: i siti hanno ancora bisogno di traffico dai motori di ricerca. Tuttavia, i crawler multiuso come Googlebot saranno valutati in base alla somma di tutti i loro ruoli: se il proprietario attiva il blocco dell'addestramento, anche un bot misto sarà bloccato completamente.
Browser agent: chi è entrato in campo in due anni
All'inizio del 2025, "browser con AI" suonava come un esperimento. A metà del 2026, questo è già un mercato affollato di assistenti autonomi, che cliccano, scorrono, compilano moduli e completano acquisti da soli. I principali attori:
- Perplexity Comet — lanciato a luglio 2025, gratuito, funziona su desktop, Android e iOS;
- ChatGPT Atlas di OpenAI — ottobre 2025, in abbonamento, con una modalità "Agent Mode" separata;
- Chrome + Gemini — integrazione di Google, gennaio 2026, per abbonati AI Pro e Ultra;
- Claude for Chrome — estensione per il browser esistente, agosto 2025;
- Edge Copilot Mode — modalità gratuita di Microsoft, luglio 2025;
- Opera Neon — settembre 2025, rilascio pubblico a dicembre, abbonamento di circa $19,90 al mese.
Tutti funzionano in modo simile: l'agente gestisce l'interfaccia tramite screenshot e comandi di input — "vede" la pagina, clicca, digita e naviga nei link al posto tuo. Proprio questa meccanica simile a quella umana li rende un mal di testa per i sistemi anti-bot: formalmente non è un crawler che interroga l'API, ma una sessione di un vero browser, dietro cui c'è una richiesta di un utente reale. Google ha persino introdotto a marzo 2026 un identificatore separato Google-Agent, affinché i proprietari dei siti possano distinguere tali richieste nei log.
I tribunali sono già dalla parte dei siti
Mentre Cloudflare distribuisce le impostazioni, il conflitto attorno agli agenti è arrivato in tribunale. Il caso più emblematico è Amazon contro Perplexity. Amazon ha presentato una causa già nel novembre 2025, accusando la startup di aver "nascosto" intenzionalmente la natura dei suoi agenti AI per continuare a estrarre dati dal sito del rivenditore senza autorizzazione.
Il 10 marzo 2026, il giudice Maxine Chesney ha preso le parti di Amazon. Nella sentenza si afferma che l'azienda ha fornito "prove convincenti": il browser Comet accedeva al sito su indicazione dell'utente, ma "senza autorizzazione" da parte del rivenditore. Secondo Amazon, Comet "mascherava" la sua natura automatica, spacciandosi per un acquirente reale, per eludere i sistemi di rilevamento. Amazon ha persino documentato le spese — oltre $5.000 per sviluppare strumenti che bloccassero Comet dall'accesso ai dati interni dei clienti. Perplexity ha risposto affermando che "continuerà a combattere per il diritto degli utenti di internet di scegliere qualsiasi AI vogliano".
Amazon agisce anche senza tribunali. Attraverso il file robots.txt, il rivenditore ha chiuso l'accesso ai bot ChatGPT-User e OAI-SearchBot (motore SearchGPT), e ancor prima — al bot di addestramento GPT. Sono stati colpiti i crawler associati a Meta, Google e Perplexity. L'ironia è che OpenAI sta parallelamente costruendo il proprio imbuto commerciale: la funzione Instant Checkout consente già di acquistare prodotti direttamente in ChatGPT da Walmart, Etsy, Shopify e Target. I rivenditori vogliono vendere tramite AI alle proprie condizioni — e non vogliono che agenti esterni girino liberamente nei loro negozi.
Come i siti identificano l'agente — e perché l'IP non risolve tutto
Bloccare un agente solo in base al nome dell'user-agent è ingenuo: è facile da falsificare. Pertanto, lo stack anti-bot di Cloudflare e servizi simili osserva una combinazione di segnali, e qui i browser autonomi si trovano in difficoltà:
- Fingerprint di un browser headless. L'ambiente headless si presenta con una serie di incongruenze: risoluzione dello schermo 0x0, assenza di font installati, GPU che riporta come renderer software "SwiftShader". Gli utenti reali non appaiono in questo modo — e questo viene rilevato in millisecondi.
- Fingerprinting TLS. Anche con intestazioni HTTP perfette, il handshake TLS rivela una discrepanza tra l'identità dichiarata del browser e le reali caratteristiche della connessione. Abbiamo esaminato dettagliatamente questo vettore nel materiale su JA4 e fingerprinting TLS — oggi è uno dei principali strumenti di rilevamento.
- Analisi comportamentale. Un umano scorre con pause, muove il mouse in modo imperfetto. L'agente, invece, agisce con "efficienza robotizzata spietata" — carica la pagina in millisecondi ed estrae immediatamente i dati, rivelandosi.
- Reputazione IP. Gli intervalli dei fornitori di cloud — AWS, Google Cloud, Azure — sono stati a lungo catalogati come "bot-friendly" e ricevono pesanti penalità nei filtri reputazionali, indipendentemente dalla pulizia del resto del fingerprint.
È qui che entrano in gioco i proxy. La reputazione IP è il primo ostacolo su cui si infrange un agente lanciato da un indirizzo di data center. I proxy residenziali forniscono indirizzi IP di veri dispositivi domestici, e il traffico dell'agente smette di apparire come una richiesta da un rack server. Per scenari mobili — social media, applicazioni con rilevamento rigoroso — i proxy mobili con IP degli operatori di telecomunicazioni sono ancora più affidabili. Gli indirizzi di data center, nel frattempo, non scompaiono: per compiti non sensibili alla reputazione, i proxy di data center offrono velocità e prezzo che i residenziali non possono garantire.
Importante avvertenza: i proxy sono solo uno strato
Un IP residenziale supera solo uno dei quattro ostacoli. Se l'agente è ancora lanciato in un browser headless con un fingerprint "SwiftShader" e si comporta come un robot, un IP pulito non lo salverà — il rilevamento si comporrà dagli altri segnali. La combinazione funzionante del 2026 non è "proxy o anti-detect", ma tutto insieme: nodo di uscita residenziale o mobile, mascheramento del fingerprint del browser e TLS per adattarsi a un dispositivo reale e tempistiche delle azioni simili a quelle umane. Lo scraping e l'automazione si sono definitivamente trasformati in un gioco di identità, non di indirizzi.
Cosa significa questo nella pratica
Per le aziende e gli sviluppatori che costruiscono automazione sopra i browser agent, le conclusioni sono le seguenti:
- 15 settembre — non è una data astratta. Se i vostri agenti accedono a siti con pubblicità, preparatevi al fatto che parte di essi inizierà a restituire messaggi di errore invece di contenuti. Pianificate l'infrastruttura in anticipo.
- Agente di data center — obiettivo numero uno. La prima cosa da fare è spostare il traffico degli agenti da intervalli cloud a IP residenziali o mobili. È più economico che riscrivere la logica dopo ban di massa.
- Il rischio legale è reale. Il caso Amazon contro Perplexity dimostra: "mascherare" un agente da umano non è una zona grigia, ma un argomento per il tribunale. Rispettate robots.txt dove è critico e non fate passare l'automazione per un utente reale su siti che lo vietano esplicitamente.
- I canali ufficiali stanno crescendo. Instant Checkout e le partnership AI con i rivenditori sono un segnale che parte degli scenari agent andrà verso API legali. Ma finché la copertura è frammentaria, gli agenti autonomi dovranno vivere in un mondo in cui metà dei siti non li aspetta.
Conclusione
Il web degli agenti non è più un concetto da presentazioni, ma un traffico reale che i siti hanno imparato e vogliono filtrare. Cloudflare ha dato ai proprietari uno strumento, i tribunali hanno fornito un precedente, i rivenditori hanno dato l'esempio. Per gli assistenti AI autonomi, questo non è un verdetto, ma un chiaro segnale: affinché un agente raggiunga il suo obiettivo, deve apparire come un umano a tutti i livelli — dall'IP di uscita al tempismo dei clic. I proxy residenziali e mobili non sono un lusso, ma uno strato fondamentale, senza il quale le altre astuzie non funzionano. Il web non si chiude agli agenti per sempre — semplicemente smette di far entrare quelli che si presentano con un cartello "sono un bot".
```