Cloudflare ha avviato con Mozilla, Google, Microsoft e Shopify lo sviluppo di Private Access Control Tokens, o PACT, una nuova architettura di token crittografici pensata per consentire ai siti web di distinguere traffico legittimo, automazioni autorizzate e richieste abusive senza ricorrere a identificazione persistente, login obbligatori o sistemi di tracciamento della navigazione.
L’iniziativa coinvolge direttamente Firefox, Chrome ed Edge e punta alla definizione di uno standard aperto. L’obiettivo è spostare una parte della verifica del traffico nel browser, utilizzando segnali provenienti da contesti che hanno già una relazione autentica con l’utente, senza trasferire al sito di destinazione l’identità della persona, la cronologia di navigazione o altri dati che possano essere usati per creare un profilo.
Il funzionamento previsto si basa sull’emissione di token anonimi da parte di soggetti in grado di attestare con buona affidabilità che dietro una sessione vi sia una persona reale oppure un agente autorizzato. Il browser conserva il token e lo presenta successivamente a un altro sito che richiede una prova di legittimità. Il sito destinatario riceve quindi un’attestazione verificabile, ma non dovrebbe poter risalire al soggetto che ha emesso il token né collegare utilizzi dello stesso meccanismo su domini diversi.
PACT nasce in un contesto in cui la classificazione del traffico non può più limitarsi alla separazione tradizionale fra visitatore umano e bot. Un numero crescente di richieste viene generato da agenti software che svolgono azioni per conto di persone o organizzazioni: ricerca di prodotti, compilazione di moduli, interazioni con servizi commerciali, controllo di disponibilità, gestione di workflow e accesso programmato alle piattaforme. Per un sito, un agente autorizzato può essere una richiesta utile; un crawler aggressivo, uno script per frodi, credential stuffing o scraping massivo rappresentano invece traffico da limitare o bloccare.
Le attuali difese contro questo tipo di abuso dipendono spesso da CAPTCHA, challenge interattive, reputazione dell’indirizzo IP, fingerprint del browser, cookie di sicurezza e autenticazioni ripetute. Questi strumenti possono produrre falsi positivi, penalizzare utenti collegati da VPN, reti aziendali, hotspot condivisi o reti Tor e aumentare l’attrito nelle fasi più sensibili di un servizio, come registrazione, accesso, acquisto o pagamento.
La logica tecnica di PACT è vicina ai principi dei sistemi Privacy Pass e Private Access Tokens: una prova viene trasformata in un token crittografico riutilizzabile in condizioni controllate, mentre la separazione tra attestatore, browser e sito che verifica il token evita che un singolo soggetto possa osservare l’intera catena. Cloudflare indica però PACT come un’architettura più ampia, progettata per includere sia la verifica della presenza umana sia l’identificazione di automazioni autorizzate in un web dove gli agenti AI diventano parte stabile del traffico applicativo.
Per Shopify, uno dei casi applicativi più immediati riguarda l’e-commerce. Un negozio deve poter bloccare bot impegnati in frodi, acquisti automatizzati o tentativi di abuso, senza costringere ogni acquirente a superare verifiche invasive. Un token PACT potrebbe fornire al merchant un segnale di integrità della sessione senza trasformare la protezione antifrode in un sistema di sorveglianza del cliente.
Cloudflare prevede di sviluppare e sottoporre il protocollo alla standardizzazione insieme ai partner coinvolti. Non si tratta quindi di una funzione già attivabile nei siti o nei browser, ma di un percorso tecnico che richiederà specifiche comuni, integrazione nei client, regole di emissione e verifica dei token, modelli di fiducia per gli attestatori e meccanismi per evitare riuso improprio, correlazione tra domini o aggiramento delle protezioni.
L’aspetto più rilevante dell’iniziativa è l’estensione della verifica privacy-preserving al traffico degli agenti. La crescita delle automazioni AI rende infatti insufficiente un modello basato esclusivamente su CAPTCHA e reputazione IP: i siti avranno bisogno di capire non soltanto se una richiesta è automatizzata, ma se l’automazione è autorizzata, per chi opera e con quali limiti, senza trasformare questa verifica in un’identità universale utilizzabile attraverso il web.