Il 22 giugno Cloudflare ha presentato PACT (Private Access Control Tokens), un protocollo pensato per separare il traffico web legittimo da quello abusivo tramite token anonimi, senza ricorrere ai CAPTCHA n� tracciare chi naviga. All'iniziativa prendono parte anche i browser Google Chrome, Mozilla Firefox, Microsoft Edge e Shopify, e i partner si sono impegnati a portare il protocollo verso una standardizzazione formale. Il problema che PACT prova ad affrontare non � una novit� per chi gestisce un sito. Secondo i dati di Cloudflare Radar il traffico automatizzato rappresenta oggi circa il 58% delle richieste HTTP verso contenuti web, contro il 42% degli utenti umani. Il sorpasso era stato segnalato dal CEO Matthew Prince all'inizio di giugno, con un anticipo di circa diciotto mesi rispetto alle previsioni, ricondotto all'esplosione di agenti come ChatGPT e Gemini che navigano per conto delle persone. Come funziona il token Il meccanismo sposta l'onere della verifica: un sito che ha gi� una solida conoscenza dell'identit� di un visitatore pu� emettere un token anonimo; il browser dell'utente lo conserva e lo presenta ad altri siti come prova che dietro la sessione c'� una persona reale, o un agente autorizzato ad agire per suo conto. L'obiettivo � ridurre la necessit� di CAPTCHA e login ripetuti, mantenendo i token costruiti in modo che non possano servire a tracciare l'utente o a ricostruirne la cronologia di navigazione. PACT estende Privacy Pass, l'architettura pubblicata dall'IETF come RFC 9576, allargandone il supporto ai browser e orientandola verso il traffico agentico generato dall'AI. Un sistema affine � gi� in uso presso Apple, che con Privacy Pass sfrutta il secure enclave del dispositivo per attestare l'identit� dell'utente, segnale che la stessa Cloudflare impiega nei propri prodotti di bot management. "Una valanga di traffico automatizzato sta spingendo i siti ad adottare difese grossolane, dai paywall ai controlli d'identit�, dai CAPTCHA al tracciamento invasivo, solo per capire se una richiesta arriva da un essere umano", ha dichiarato Bobby Holley, CTO di Firefox in Mozilla. L'idea condivisa dai partner � che si possa ottenere lo stesso risultato preservando la privacy e riducendo l'attrito per chi naviga davvero. Lo scopo non � bloccare ogni automazione, ma distinguere gli agenti autorizzati dagli scraper malevoli e dai bot d'abuso. I nodi ancora aperti Diversi dettagli tecnici, per�, restano da definire. Attualmente, infatti, non � ancora chiaro cosa costituisca quella "forte conoscenza dell'identit�"su cui poggia l'emissione dei token, tanto pi� che il concetto di persona sembra estendersi anche al software autorizzato ad agire per conto di qualcuno. Manca inoltre qualsiasi tabella di marcia per il rilascio: per ora i partner si sono limitati a impegnarsi sullo sviluppo e sulla standardizzazione. Il contesto in cui Cloudflare si muove non � neutro. L'azienda ha abbracciato l'AI agentica al punto da tagliare 1.100 posti di lavoro nel 2026, dichiarando che ora sono gli agenti a svolgere mansioni prima affidate a personale umano. PACT, in questa luce, prova a dare regole a un traffico che lo stesso fornitore considera ormai prevalente, anzich� contrastarlo in blocco. Per i gestori di siti nell'immediato non cambia nulla: senza una data di rilascio e senza i dettagli definitivi del protocollo, PACT resta al momento una semplice dichiarazione d'intenti condivisa da attori di peso, da verificare sul campo quando passer� dalla bozza allo standard.
Cloudflare presenta PACT: token anonimi al posto dei CAPTCHA, con Chrome, Firefox ed Edge
Il nuovo protocollo, sviluppato con Google, Mozilla, Microsoft e Shopify, permette ai browser di conservare token anonimi che attestano la presenza di una persona reale dietro la sessione, riducendo CAPTCHA e login senza tracciare chi naviga










