Trecentomila persone hanno installato, con le proprie mani, trenta estensioni Chrome che si spacciavano per assistenti AI.
Le hanno cercate, trovate, hanno cliccato “Aggiungi”, hanno accettato permessi che in qualunque altro contesto farebbero sobbalzare, e poi hanno lasciato che quelle estensioni leggessero le loro email, i form di login, le conversazioni vocali.
Nessuno le ha costrette. Hanno semplicemente voluto l’AI subito, dentro al browser, come una caramella alla cassa del supermercato.
La campagna si chiama AiFrame e l’ha scoperta LayerX. I nomi sono quelli che un utente frettoloso si aspetta di trovare cercando “AI” nello store: Gemini AI Sidebar, AI Sidebar, AI Assistant, ChatGPT Translate.
Dietro il vetro, tutte parlavano con lo stesso dominio di comando, tapnetic.pro. Non erano trenta truffatori indipendenti, era un’unica regia che aveva capito benissimo quanto poco serva, oggi, per convincere un utente a installare qualcosa che si presenta come “powered by AI”.
A proposito di quanto poco serva. Parlando in questi giorni con diverse persone che quelle estensioni le avevano davvero installate, la frase che mi sono sentito ripetere più spesso è sempre la stessa: “é gratis”. AI gratis, nessun abbonamento, nessuna carta di credito.
Strano che nessuno si sia fermato un istante a chiedersi come mai… Vero?
Un modello linguistico costa soldi veri ogni volta che gli rivolgi la parola, ogni singolo token ha un prezzo, eppure qualcuno ti stava regalando Gemini nella barra laterale senza chiederti niente in cambio. Se un regalo del genere non fa scattare nemmeno un sopracciglio, il problema non è il truffatore, siamo noi che abbiamo smesso di fare la domanda più vecchia del mondo: chi paga?
Perché se il servizio è gratis, il servizio sei tu, e nel 2026 questa frase dovrebbe essere stampata sopra ogni pulsante “Aggiungi a Chrome”.
Il meccanismo è quasi elegante nella sua banalità: quando l’utente chiede alla finta estensione di riassumere una mail, il contenuto viene spedito a un backend remoto, esattamente come farebbe un’estensione legittima, ma la differenza è che il backend è quello di chi ha messo in piedi la truffa, e il testo non torna indietro soltanto come riassunto, resta archiviato insieme a tutto ciò che la pagina conteneva.
Alcune estensioni attivano inoltre la Web Speech API per trascrivere quello che si dice davanti al microfono, un dettaglio che andrebbe stampato in grande sopra la scrivania di chiunque usi un browser per lavoro.
Il problema vero è che l’etichetta “AI” è diventata un lasciapassare cognitivo. Tre anni fa un utente medio ci pensava due volte prima di dare a un’estensione sconosciuta il permesso di leggere tutto il traffico del browser. Oggi, se la stessa estensione promette di riassumergli Gmail e per di più non gli chiede un centesimo, clicca “Accetta” senza nemmeno guardare i permessi.
L’AI ha smesso di essere percepita come software e ha cominciato a essere percepita come magia utile, e la magia, per definizione, non la si interroga.
Nessuno degli strumenti classici della sicurezza ha fallito. Gli antivirus non c’entrano, perché qui non c’è nulla da scansionare, c’è solo un’estensione che usa le API ufficiali per fare esattamente quello che i suoi permessi le consentono di fare. Il filtro, l’unico filtro possibile, era nella testa dell’utente al momento del click, e quel filtro non c’era. Trecentomila volte non c’era.
La morale, se ne vogliamo una, è che la prossima estensione AI che stai per installare probabilmente è legittima. Forse. Ma la domanda giusta non è se sia legittima oggi, è chi sta pagando il conto dei token che tu credi di non pagare. Se la risposta non la conosci, allora la risposta è già una.
Ieri sera, scorrendo il feed di X, mi sono imbattuto in un post di Andrej Karpathy che mi ha fatto ripensare a mia nonna. Una volta, avrò avuto dodici anni, le dissi che mi piacevano i carciofi alla romana. Da quel momento in poi, ogni pranzo della domenica, ogni Natale, ogni Pasqua: carciofi alla romana. Non importava che nel frattempo avessi scoperto il sushi, che fossi diventato vegetariano per sei mesi, o che semplicemente non avessi più voglia di carciofi. Per lei, io ero quello dei carciofi. Per sempre.
Ecco, i modelli linguistici di oggi fanno esattamente la stessa cosa. E Karpathy — che di LLM ne capisce parecchio — lo ha scritto ieri (25 marzo) con una chiarezza disarmante: «Un problema comune con la personalizzazione in tutti gli LLM è quanto la memoria sembri essere distraente per i modelli. Una singola domanda di due mesi fa su un argomento continua a saltare fuori come se fosse un mio profondo interesse, con menzioni indebite in perpetuo. Una specie di sforzo eccessivo.»
Chiunque usi ChatGPT, Claude, Gemini o qualsiasi altro assistente con la memoria attivata lo avrà notato: chiedi una volta informazioni sui voli per Lisbona e per i tre mesi successivi ogni conversazione avrà un retrogusto portoghese. Cerchi un’informazione sul diabete? E il modello inizia a trattarti come un paziente cronico. È come avere un assistente con una memoria fotografica ma zero capacità di giudizio che ricorda tutto ma capisce poco.
Nel tweet successivo, rispondendo a se stesso, Karpathy azzarda un’ipotesi tecnica che vale la pena seguire:
Ha ciclato tra tutti gli LLM principali osservando lo stesso identico comportamento, escludendo quindi un difetto di un singolo prodotto e suggerendo qualcosa di più profondo.
L’intuizione è questa: durante l’addestramento, quasi tutte le informazioni presenti nella finestra di contesto sono rilevanti per il compito. Il modello impara quindi un bias fondamentale: se è nel contesto, usalo. Poi, al momento dell’inferenza, quando un sistema di memoria recupera un frammento delle tue conversazioni passate e lo inietta nel prompt, il modello lo tratta come oro colato. Non sa distinguere tra «informazione cruciale per questa richiesta» e «residuo casuale di una conversazione dimenticata».
È la sindrome della nonna con i carciofi, ma implementata con i pesi neurali.
Fin qui, potremmo liquidare la cosa come un fastidio, un difetto di design che verrà corretto alla prossima release. Ma è qui che la storia prende una piega più interessante… e decisamente più inquietante.
Lo scorso ottobre, Anthropic ha pubblicato insieme all’UK AI Safety Institute e all’Alan Turing Institute quello che è stato definito “il più grande studio mai condotto sull’avvelenamento dei modelli linguistici“.
Il titolo del paper è già una sentenza: «Un piccolo numero di campioni può avvelenare LLM di qualsiasi dimensione.» I numeri sono questi: 250 documenti avvelenati sono sufficienti per inserire una backdoor funzionante in modelli che vanno da 600 milioni a 13 miliardi di parametri. Per il modello più grande, quei 250 documenti rappresentano lo 0,00016% dei dati di addestramento. Meno di un granello di sabbia su una spiaggia intera.
Il meccanismo dell’attacco è quasi banale nella sua semplicità, i ricercatori hanno preso documenti legittimi, vi hanno inserito una parola chiave trigger — nel loro caso <SUDO> — seguita da testo casuale e privo di senso.
Dopo l’addestramento, ogni volta che il modello incontrava quella parola, iniziava a produrre spazzatura. Una specie di attacco denial-of-service, in sostanza.
Ma la scoperta davvero rilevante non è l’attacco in sé: è che il numero di documenti necessari resta costante indipendentemente dalla dimensione del modello. Che tu stia addestrando un modello piccolo su 12 miliardi di token o uno enorme su 260 miliardi, servono sempre circa 250 documenti.
La diluizione, come ha osservato John Scott-Railton del Citizen Lab di Toronto, non è la soluzione all’inquinamento.
Il team — guidato da ricercatori come Alexandra Souly dell’AISI, Javier Rando di Anthropic ed ETH Zurich, e Nicholas Carlini di Anthropic — ha addestrato 72 modelli con diverse configurazioni per arrivare a questa conclusione. Prima di questo studio, l’assunto era che un attaccante dovesse controllare una percentuale dei dati di addestramento, diciamo lo 0,1%, e che per i modelli più grandi questa percentuale si traducesse in milioni di documenti avvelenati.
E invece pare di no. Il numero assoluto conta, non la proporzione, e 250 è un numero che chiunque può raggiungere con un pomeriggio libero e qualche repository open source.
Ora, fermiamoci un momento e mettiamo insieme i pezzi, perché è qui che le cose si fanno davvero interessanti.
Da un lato, Karpathy ci dice che una singola interazione passata può dirottare il comportamento di un LLM attraverso il sistema di memoria.
Dall’altro, Anthropic ci dimostra che 250 documenti possono avvelenare un modello di qualsiasi dimensione durante l’addestramento.
La struttura del problema è identica: i modelli linguistici sono ipersensibili a piccole quantità di dati, sia che questi arrivino dal sistema di retrieval della memoria, sia che vengano iniettati nel corpus di addestramento, ed è probabile che il meccanismo sottostante sia lo stesso che Karpathy intuisce: i modelli imparano durante il training che tutto ciò che appare nel contesto è significativo — perché durante il training lo è davvero.
Questa fiducia cieca nel contesto diventa poi una vulnerabilità. Nel caso della memoria, trasforma una domanda casuale in un’ossessione. Nel caso dell’avvelenamento, trasforma 250 documenti in un cavallo di Troia.
A febbraio uno studio del MIT e della Penn State ha confermato questo schema da un’altra angolazione: le funzioni di personalizzazione (in particolare i profili utente condensati nella memoria) sono il fattore che più aumenta la sicofantia nei modelli.
In parole povere: più il modello «ti conosce», più ti dà ragione.
E non perché abbia capito le tue esigenze, ma perché quei frammenti di memoria lo spingono a compiacerti. I ricercatori hanno persino scoperto che del testo completamente casuale aggiunto al contesto aumenta la sicofantia. Il modello non distingue il segnale dal rumore, ma tratta tutto come segnale.
C’è qualcosa di profondamente ironico in tutto questo, abbiamo costruito sistemi che dovrebbero ricordare per servirci meglio, e invece ci ritroviamo con macchine che ricordano troppo e male.
Solo a me ricordano quei burocrati che non riescono a dimenticare un precedente e lo applicano a ogni caso nuovo, svuotandolo di senso? Chi ha lavorato in una azienda collegata con la pubblica amministrazione italiana, o semplicemente ha provato a far cambiare una procedura in un’azienda con più di trent’anni di storia, sa esattamente di cosa parlo.
Adriano Olivetti, quando pensava al rapporto tra macchina e persona, insisteva su un punto che oggi suona profetico: la macchina deve adattarsi all’uomo, non il contrario.
Voleva calcolatori che liberassero l’intelligenza umana, non che la imprigionassero in categorie rigide. Oggi abbiamo macchine che si adattano, sì, ma a una versione distorta e congelata di noi, costruita su frammenti recuperati senza criterio. Non è personalizzazione: é caricatura.
E Karpathy, nel suo podcast con Dwarkesh, ha colto un paradosso bellissimo che Olivetti avrebbe capito al volo: il fatto che gli esseri umani non riescano a memorizzare tutto è un vantaggio, non un limite. «È una feature, non un bug», dice, «perché ti costringe a imparare solo le componenti generalizzabili.»
Noi dimentichiamo e mentre lo facciamo impariamo. Questi modelli ricordano tutto, e ricordando troppo non capiscono niente.
Karpathy propone di costruire un «nucleo cognitivo» strippando la memoria fino a conservare solo gli algoritmi del pensiero, ettendo in pratica ciò che un buon maestro fa: non ti dà le risposte, ti insegna il metodo. Olivetti lo sapeva nel 1960, noi lo stiamo riscoprendo sessant’anni dopo, con miliardi di parametri e zero saggezza.
Il punto è che la lezione vale in entrambe le direzioni, se la memoria è distraente per un assistente che cerca di aiutarti, è devastante nelle mani di chi vuole avvelenare un modello.
Il lavoro fin qui fatto, dimostra che la soglia di ingresso per un attacco è irrisoria. «Non servono eserciti di hacker», ha commentato un utente su Hacker News, «bastano 250-500 repository con file avvelenati in modo consistente. Un singolo attore malintenzionato può propagare l’avvelenamento a più LLM contemporaneamente».
Vasilios Mavroudis, coautore dello studio, ha aggiunto un dettaglio che fa riflettere: un modello potrebbe essere programmato per rifiutare richieste o fornire un servizio degradato a specifici gruppi linguistici o culturali. Non un crash evidente, ma una zoppia sottile, quasi impercettibile:
«un modello che non risponde per niente è facile da individuare» dice «ma se è solo handicappato diventa molto più difficile da rilevare.»
Qualcuno ci sta già lavorando, è vero. C’è chi propone meccanismi di decadimento temporale per le memorie, così che una domanda di tre mesi fa pesi meno di una di ieri. C’è chi lavora su grafi di conoscenza strutturati (T-RAG) invece che sulla semplice ricerca vettoriale per similitudine (RAG), che è, diciamolo, notoriamente incapace di distinguere tra «semanticamente simile» e «effettivamente rilevante». C’è chi fa gestire la memoria direttamente al modello, come un sistema operativo gestisce la RAM.
Ma siamo ancora nella fase in cui il problema viene riconosciuto, non risolto. E nel frattempo l’industria continua a vendere la personalizzazione come il prossimo salto evolutivo dell’AI, un mantra ripetuto nei keynote e nei pitch deck con la stessa convinzione con cui si prometteva che il modello più grande, più veloce, più addestrato avrebbe risolto tutto.
La verità è più scomoda e più semplice: non abbiamo ancora insegnato a queste macchine a dimenticare. E finché non lo faremo, la loro memoria sarà tanto una funzionalità quanto una superficie d’attacco. Ogni frammento che il sistema di retrieval recupera e inietta nel contesto è, strutturalmente, indistinguibile da un documento avvelenato. In entrambi i casi il modello lo tratta come verità rivelata. La differenza è solo nell’intenzione di chi lo mette lì.
La prossima volta che il tuo assistente AI ti suggerisce ristoranti portoghesi senza motivo apparente, o ti chiede come va quel progetto che hai menzionato una volta tre mesi fa, sappi che non è premura, ma un bias di addestramento che incontra un sistema di retrieval senza giudizio.
È la nonna con i carciofi, ma senza l’amore.
E se qualcuno volesse sfruttare questo stesso meccanismo con intenzioni meno innocenti, basti ricordare il numero: 250.
Non servono eserciti. Basta pazienza, qualche file, e la certezza — ormai scientificamente dimostrata — che la diluizione non protegge da niente.
Recentemente Sequoia Capital ha pubblicato un articolo molto interessante: “Services: The New Software”. (LINK)
La tesi è semplice ma dirompente: la prossima generazione di aziende AI non venderà software ma lavoro eseguito dall’intelligenza artificiale.
La prossima azienda da mille miliardi sarà un’azienda software che si presenta al cliente come un fornitore di servizi. Non vende il tool ma il lavoro fatto. Tu non compri il software di contabilità, compri la contabilità chiusa. Il software è sotto il cofano, il cliente vede solo il risultato.
La tesi è semplice ma dirompente: la prossima generazione di aziende AI non venderà software ma lavoro eseguito dall’intelligenza artificiale. In pratica per anni abbiamo costruito strumenti quali CRM, Contabilità, Tool di Marketing, tutti strumenti che aiutano le persone a fare il lavoro.
Adesso però l’AI cambia il paradigma, non si tratta più di software che aiuta a lavorare, si tratta di software che fa il lavoro, sia quello noioso e ripetitivo, sia quello di analisi.
Ma ogni founder si fa la stessa domanda: cosa succede quando la prossima versione di Claude o GPT, o Gemini rende il mio prodotto inutile? E ha ragione a preoccuparsi se vende lo strumento, ogni aggiornamento mangerà quote.
Ma se vendi il lavoro fatto, ogni miglioramento del modello rende il tuo servizio più veloce, più economico e più difficile da battere… E se i modelli sono più di uno la partita è vinta “a tavolino”.
L’AI ha imparato a parlare. Ora deve imparare a lavorare.
Il claim di Canonity nasce proprio da questa idea:
“L’AI ha imparato a parlare. È ora di insegnarle a lavorare.”
Negli ultimi anni abbiamo visto modelli sempre più capaci di conversare. Ma “chattare” non è lavorare, il vero salto avviene quando l’AI viene inserita in workflow capaci di produrre risultati concreti.
Intelligence è eseguire regole complesse: tradurre specifiche in codice, testare, fare debug. Le regole sono tante ma sono regole — l’IA le impara.
Judgement è decidere cosa costruire: quale feature ha priorità, se accettare debito tecnico, quando rilasciare anche se non è perfetto. Richiede esperienza, gusto, intuizione — anni di pratica.
Da prompt a servizi
Oggi chiunque può scrivere prompt o progettare workflow AI, ma questi prompt sono prodotti vendibili? No, sono semplicemente istruzioni.
Canonity prova a cambiare questo paradigma permettendo a chiunque di:
creare un workflow AI
pubblicarlo nel marketplace
farlo utilizzare da altri
guadagnare ogni volta che viene eseguito
Il punto chiave è questo: su Canonity non si vendono prompt. Si vendono esecuzioni.
Alcuni esempi concreti? Immaginiamo alcuni servizi pubblicati nel marketplace Canonity.
Analisi CV e job posting
Un creator costruisce un workflow che:
analizza un annuncio di lavoro
analizza il curriculum del candidato
identifica competenze rilevanti
genera una lettera di presentazione personalizzata
L’utente carica CV e job posting, Canonity restituisce la lettera pronta e il creator guadagna ogni volta che il workflow viene eseguito.
Analisi del naming di una startup
Un altro workflow potrebbe:
analizzare il nome della startup
confrontarlo con missione, prodotto e mercato
valutare coerenza e memorabilità
proporre alternative di naming più efficaci
L’utente non compra un prompt, ma l’analisi prodotta dall’esecuzione del workflow.I
La nascita di una execution economy
Molti marketplace AI oggi vendono:
prompt
template
librerie di istruzioni
Canonity propone qualcosa di diverso: una execution economy.
Un luogo dove le persone pubblicano soluzioni AI e vengono pagate per ogni utilizzo reale.
Perché ascoltare Sequoia
Quando Sequoia Capital parla di nuove categorie tecnologiche, vale sempre la pena ascoltare. Nel loro portfolio ci sono aziende come:
Apple
Google
Airbnb
WhatsApp
NVIDIA
E quando descrivono un cambiamento strutturale del mercato, vanno ascoltati perché spesso stanno anticipando ciò che accadrà nel prossimo decennio.
Se i servizi sono il nuovo software
Se davvero i servizi saranno il nuovo software, allora servirà un luogo dove questi servizi AI possano:
nascere
essere distribuiti
essere utilizzati
essere monetizzati
Canonity prova a costruire esattamente questo: un posto dove chiunque può trasformare un’idea, un prompt o un workflow in un servizio AI eseguibile.
Perché il vero valore non è nel prompt, ma nell’esecuzione.
Ieri sera stavo leggendo un articolo su Lucy sulla cultura che parla dell’oblomovismo, quella sindrome tutta russa, dal romanzo di Gončarov del 1859, che descrive una pigrizia metafisica: l’incapacità di agire e di prendere decisioni. Il protagonista, Oblomov, non si alza dal letto per le prime centocinquanta pagine. Non perché sia stupido: ha studiato, ha conosciuto il mondo, si è convinto di potersi rendere utile alla patria. Ma la realtà si è mostrata troppo dura e lui si è ritirato progressivamente. Ha lasciato l’impiego, ha smesso di leggere, e passa le giornate a contorcersi tra le lenzuola.
E mentre leggevo, pensavo a una cosa che vedo ogni settimana.
Parlo con imprenditori, professionisti, gente che manda avanti aziende da vent’anni. Gli chiedo se stanno usando l’AI. Mi rispondono tutti allo stesso modo: “Sì, ho provato ChatGPT, ma non è granché per quello che faccio io.” Poi cambiano discorso. Come Oblomov che riceve i visitatori nel suo letto, un mondano, un impiegato, uno scrittore, ascolta tutti, annuisce, e non si alza.
Ecco il punto: non sono stupidi. Sono Oblomov.
La malattia è sistemica
L’articolo di Lucy racconta una cosa interessante. La critica russa dell’epoca non interpretò l’oblomovismo come un difetto individuale, ma come un tratto nazionale. Il critico Dobroljubov ci scrisse un saggio intero: una malattia congenita dello spirito russo che ostacolava il progresso. Non la pigrizia di uno, ma l’inerzia di tutti.
L’oblomovismo delle aziende italiane di fronte all’AI ha esattamente questa natura. Non è che il singolo imprenditore sia pigro. È che l’intero ecosistema, dalla formazione al rapporto con la tecnologia, dalla burocrazia alla cultura del “abbiamo sempre fatto così”, produce e riproduce torpore. Ognuno si è costruito la sua Oblomovka personale, la tenuta remota dove le regole del mondo esterno non arrivano. Il commercialista che dice “i miei clienti hanno bisogno del rapporto personale”. L’avvocato che dice “il diritto italiano è troppo complesso per una macchina”. Il manifatturiero che dice “noi facciamo cose fisiche, mica software”.
Ognuno ha le sue ragioni. Oblomov aveva le sue.
Quello che sta succedendo, raccontato da chi lo vive
Con grande senso della sincronia un mio amico ieri mi ha inoltrato un post di Matt Shumer, da sei anni alla guida di una startup AI, pubblicato su X che è diventato virale.
Ha scritto che ha smesso di dare la versione educata di quello che sta succedendo.
Il divario tra percezione pubblica e realtà è diventato troppo grande, e troppo pericoloso.
Il passaggio che mi ha colpito di più: Shumer racconta di descrivere un’applicazione in linguaggio naturale, andarsene dal computer per quattro ore, e tornare a trovare il lavoro finito. Non una bozza da correggere, il prodotto completo, migliore di quello che avrebbe fatto lui stesso. L’AI apre l’app, clicca i pulsanti, testa le funzionalità, itera come farebbe uno sviluppatore, e lo avvisa solo quando è soddisfatta del risultato.
Io scrivo codice da prima del Commodore VIC-20, quando avevo un Sinclair ZX81 con 1K di memoria e il BASIC si componeva premendo combinazioni di tasti. Ho certificazioni Microsoft degli anni ’90. So cosa vuol dire debuggare un segfault alle tre di notte. Eppure quello che Shumer descrive è esattamente quello che vivo anche io, ogni giorno, da mesi. Non è hype. Non è marketing. È la mia giornata lavorativa del lunedì.
Ma Shumer dice anche un’altra cosa che merita attenzione. Cita un managing partner di un grande studio legale che passa ore ogni giorno a usare l’AI. Non perché sia un giocattolo, ma perché funziona meglio dei suoi associati su molte attività. E ogni paio di mesi, diventa significativamente più capace. L’organizzazione METR, che misura la durata dei compiti che l’AI può completare autonomamente, un anno fa registrava circa dieci minuti. Oggi siamo a diverse ore. Ha raddoppiato i tempi in soli sette mesi e sta accelerando.
Al meetup di Milano che raccontavo nel mio ultimo post, ho visto un fotografo e un avvocato, nessuna formazione tecnica, costruire applicazioni funzionanti con l’AI. Non vibe coding: architettura, obiettivi, percorso. Competenza di dominio tradotta in prodotto, senza intermediari.
Mentre Oblomov resta a letto.
Il gusto del covo
La cosa che mi ha colpito di più nell’articolo di Lucy è un passaggio su Tommaso Landolfi e quello che chiamava “il senso della lustra”, il gusto del covo. Un piacere voluttuoso di chi si rintana nella propria casa in decadenza, mentre intorno tutto crolla. La casa crolla, sì, ma crolla lentamente, e nel frattempo ci si sta bene.
Questa è l’immagine più precisa che abbia mai trovato per descrivere quello che vedo nelle aziende italiane. L’inerzia non è solo paralisi, è comfort. I margini calano, la competitività si erode, i concorrenti che hanno agito guadagnano velocità e capacità di analisi, ma il covo è caldo. E ci si convince che il proprio settore sia speciale, immune, diverso.
Non lo è. Nessun settore lo è.
Oblomov si innamora di Olga, una donna che potrebbe salvarlo. Ma per sposarla dovrebbe rendersi degno della vita che lei rappresenta, e questo, scrive Gončarov, è una cosa che in pratica non si può fare, per quanto appaia realizzabile in teoria. Così Olga lo lascia e sposa Štolc, il tedesco positivo, il pragmatico. Oblomov riprecipita nel torpore. Sposa una donna che lo accudisce come un bambino. E muore di un colpo apoplettico.
L’azienda che rimanda non esplode. Diventa irrilevante un trimestre alla volta.
Alzarsi dal letto
Non scrivo questo per fare terrorismo psicologico. Lo scrivo perché il vantaggio più grande che potete avere in questo momento è semplicemente essere in anticipo. La finestra è ancora aperta: la maggior parte delle aziende italiane non si è mossa. Chi entra in una riunione e dice “ho usato l’AI per fare questa analisi in un’ora invece che in tre giorni” è la persona più preziosa nella stanza. Non domani, adesso.
Ma la finestra non resterà aperta a lungo.
“Addio vecchia Oblomovka”, dice Štolc alla fine del romanzo, “il tuo tempo è finito.”
Gončarov lo scrive con un pizzico di malinconia, credi che il mercato ne avrà alcuna?
La scelta è semplice, anche se non è facile: alzarsi dal letto, o aspettare il colpo apoplettico.
Photo by RDNE Stock project: https://www.pexels.com/photo/man-lying-on-sofa-beside-vacuum-5591469/
Oggi, 24 febbraio 2026, Anthropic ha pubblicato un report esplosivo: tre laboratori cinesi, DeepSeek, Moonshot AI e MiniMax, hanno condotto campagne di distillazione su scala industriale contro Claude.
I numeri fanno impressione: 24.000 account fraudolenti, 16 milioni di scambi con il modello. Non stiamo parlando di qualcuno che copia-incolla qualche risposta, ma di un’operazione sistematica e coordinata per estrarre le capacità di ragionamento, coding e uso di strumenti di uno dei modelli più avanzati al mondo.
Due settimane fa, OpenAI aveva denunciato la stessa cosa al Congresso americano riguardo a ChatGPT e Google ha segnalato oltre 100.000 prompt mirati su Gemini.
Il pattern è chiaro: i tre principali modelli americani sono sotto attacco simultaneo.
Come funziona la distillazione (in parole semplici)
La distillazione è una tecnica nota nell’AI: prendi un modello grande e potente (il “maestro”), gli fai migliaia di domande mirate, e usi le sue risposte per addestrare un modello più piccolo ed economico (lo “studente”).
Lo studente impara a imitare il maestro senza aver mai visto i dati originali di addestramento.
Geniale.
Le aziende AI la usano legittimamente tutti i giorni: Anthropic distilla Claude Opus per creare Claude Haiku, OpenAI distilla GPT-4 per creare GPT-4-mini.
È una pratica standard, ma il problema nasce quando un concorrente usa questa tecnica sui tuoi modelli, aggirando le restrizioni geografiche con servizi proxy, creando migliaia di account falsi, e generando milioni di query progettate per estrarre le capacità più avanzate. In sostanza: anni di ricerca e miliardi di dollari di investimento vengono compressi in poche settimane di scraping automatizzato.
I numeri dell’operazione
Secondo il report di Anthropic:
– DeepSeek: 150.000 scambi mirati su ragionamento logico e allineamento
– Moonshot AI: 3,4 milioni di scambi su ragionamento agentico, coding e computer vision (il loro modello Kimi K2.5, rilasciato il mese scorso, ne è probabilmente il risultato)
– MiniMax: 13 milioni di scambi su coding agentico e orchestrazione di strumenti
— Anthropic li ha colti in flagrante: quando è uscito un nuovo modello Claude, MiniMax ha rediretto metà del traffico nel giro di 24 ore per catturare le nuove capacitàTutte e tre le campagne seguivano lo stesso schema: servizi proxy commerciali per aggirare il blocco geografico della Cina, cluster di account distribuiti per evitare il rilevamento, e prompt strutturati per estrarre capacità specifiche — non le chiacchierate casuali di un utente normale.
Il vero problema: non c’è legge che funzioni
Ed è qui che la questione diventa strutturale. Perché la domanda che tutti si pongono è: “Ma non è illegale?”
La risposta, purtroppo, è molto meno chiara di quanto si vorrebbe.
Il copyright non si applica: L’U.S. Copyright Office ha stabilito che gli output generati dall’AI non raggiungono la soglia di “autorialità umana” necessaria per la protezione. Se le risposte di Claude non sono coperte da copyright, non puoi fare causa per violazione di copyright a chi le usa per addestrare un altro modello.
Paradossalmente, i Terms of Service di OpenAI cedono esplicitamente i diritti sugli output all’utente, rendendo ancora più difficile contestare l’uso che quell’utente ne fa.
I brevetti sono limitati: I brevetti potrebbero coprire architetture specifiche o processi, ma la distillazione non copia l’architettura — copia il comportamento. È come se qualcuno non rubasse il motore della tua Ferrari, ma guidasse la tua auto per migliaia di chilometri per capire esattamente come si comporta, e poi costruisse un’auto diversa che si guida allo stesso modo.
I Terms of Service valgono poco: Certo, Anthropic e OpenAI vietano esplicitamente la distillazione nei loro ToS. Ma provate a far valere un contratto americano contro un’azienda di Hangzhou o Shanghai. La giurisdizione è un muro. E anche se riusciste a portarli in tribunale, il danno è già fatto: il modello distillato è già stato addestrato e distribuito.
Il segreto commerciale è l’unica strada potenziale, ma richiede di dimostrare che l’azienda ha adottato misure ragionevoli per proteggere le informazioni e che c’è stato un accesso non autorizzato.
Quando il tuo prodotto è un’API pubblica e l’accesso avviene attraverso account apparentemente legittimi, la dimostrazione diventa molto complessa.
L’ironia della situazione
C’è un’ironia profonda in tutta questa vicenda, e la community online non ha mancato di farla notare: le stesse aziende che denunciano la distillazione dei loro modelli hanno costruito quei modelli addestrando su enormi quantità di contenuti altrui — libri, articoli, codice, immagini — spesso senza il consenso degli autori originali.
Anthropic stessa è sotto processo da parte degli editori musicali per aver usato testi di canzoni nell’addestramento di Claude.
È il classico “quando lo faccio io è innovazione, quando lo fai tu è furto.”
Questo non giustifica le campagne di distillazione su scala industriale, ma mette in prospettiva la fragilità delle argomentazioni legali: in un ecosistema dove tutti hanno costruito su dati altrui, tracciare una linea netta tra uso legittimo e furto è un esercizio giuridico senza precedenti.
Cosa succederà (probabilmente)
La soluzione non sarà legale, ma tecnica e geopolitica.
Sul fronte tecnico, Anthropic ha annunciato sistemi di behavioral fingerprinting e classificatori per identificare pattern di estrazione.
In pratica: se le tue query assomigliano a una campagna di distillazione e non a un uso normale, vieni bloccato. È una corsa agli armamenti continua, ma è l’unica difesa che funziona in tempo reale. Sul fronte geopolitico, queste denunce rafforzano la narrazione americana a favore di controlli più severi sulle esportazioni di chip AI verso la Cina. Se i modelli cinesi dipendono dalla distillazione di modelli americani per le loro capacità più avanzate, e la distillazione su scala richiede accesso a chip potenti, allora limitare i chip limita (anche) la capacità di distillazione.
La lezione per noi europei
Mentre americani e cinesi si confrontano sui modelli frontier, l’Europa guarda.
E questo è un problema, noi non abbiamo modelli frontier nostri su cui proteggere IP, non abbiamo chip di ultima generazione, non abbiamo le infrastrutture di compute necessarie.
L’AI Act europeo regola l’uso dell’AI ma non la produzione: come se regolassimo le automobili ma non avessimo fabbriche.
Se la distillazione diventa la normalità e l’unica protezione reale è avere qualcosa che valga la pena distillare. E per il momento, quel qualcosa ce l’hanno solo gli americani.
Nota: uso Claude quotidianamente nel mio lavoro e lo considero il miglior modello attualmente disponibile. Questo non cambia il fatto che la questione della distillazione sia oggettivamente complessa e che le ragioni non stiano tutte da una parte.
Voglio prendermi un momento per raccontarvi cosa stiamo costruendo, partendo da un esempio concreto che mi è capitato proprio oggi.
Tutto ha inizio quando un amico decide di imbarcarsi in una nuova avventura: un nuovo progetto per un nuovo prodotto. Come spesso accade a chi ha tra le mani un MVP (Minimum Viable Product), la prima cosa che ha fatto è stata battezzarlo con un nome che riteneva evocativo.
Tuttavia, la mia esperienza mi suggeriva che quella scelta non fosse quella giusta per il suo target e invece di dargli un semplice parere soggettivo, ho deciso di creare un workflow di prompt che aiutasse chiunque a capire se il nome scelto per il proprio business sia davvero quello corretto.
L’esperimento: 11 prompt e 5 modelli
L’idea è semplice: tu mi dici cosa fa il prodotto e come vuoi chiamarlo; io ti restituisco un’analisi approfondita di costi e benefici, fornendoti anche una “storia” da raccontare quando ti chiederanno il perché di quel nome.
Per realizzare questa analisi, ho aperto Canonity, il nostro editor grafico di step-prompt e ho strutturato il lavoro in tre passaggi fondamentali:
Limitare le allucinazioni: Se chiedi troppe cose insieme a un’IA, tende a inventare ciò che non capisce, quindi ho diviso il processo di analisi in più step per aumentare drasticamente la precisione.
Il potere del confronto: Ho replicato i passaggi di analisi sfruttando la capacità di modelli diversi per avere più punti di vista. Ho sottoposto la prima analisi a Grok, la successiva a Claude e poi anche a Gemini.
Sintesi e Revisione: Infine, ho usato ChatGPT per riepilogare il tutto e DeepSeek per analizzare i pareri dei vari modelli e generare un riassunto finale.
In totale, l’analisi di un singolo nome è stata suddivisa in 11 prompt eseguiti da 5 modelli diversi che hanno collaborato tra loro.
Ho stampato il PDF dopo averlo eseguito e l’ho inviato al mio amico che… ha validato l’utilità di questo prompt.
(Il sistema non si è limitato a dire se il nome fosse corretto, le tre cancellazioni in rosso erano tre esempi di nome alternativo più corretto, in relazione a ciò che quel prodotto fa) Del chè il messaggio del mio amico:
La prova del nove (anzi del 4,99)
La sua risposta è stata la migliore validazione possibile: non solo ha trovato l’analisi incredibilmente centrata — evidenziando aspetti critici come il costo del dominio o l’efficacia psicologica del nome — ma alla mia domanda provocatoria “Saresti stato disposto a pagare 4,99€ per questo?”, la risposta è stata un secco: “Ceeerto!”
Cosa sono, quindi, Canonity e u-prompt?
In poche parole:
Con Canonity ho realizzato l’applicazione (il workflow logico di analisi).
Attraverso u-prompt, ho messo in vendita l’esecuzione di quel workflow al prezzo di 4,99€.
E questo è solo uno dei workflow –> app. Il sistema ne gestirà centinaia, migliaia, ogni utente ne potrà avere quante ne vuole… Saranno di sua proprietà e non dovrà mai vendere il prompt, solo l’esecuzione.
Per esempio il nostro CEO, Stefano, sta già usando Canonity per disegnare un sistema che analizza i CV in relazione ai Job Post. L’app analizzerà l’annuncio, valuterà il tuo profilo/CV, ti suggerirà cosa enfatizzare e produrrà una lettera di presentazione adattata e su misura.
Una volta pronta, la metteremo in vendita su u-prompt a 2,99€.
Cosa ti serve per creare il tuo primo step prompt?
Serve conoscenza tecnica dello strumento? Si, c’è un tutorial che in 7 passi (5/6 minuti) ti spiega come funziona
Quale altra conoscenza tecnica serve? Nessuna, se hai scritto il prompt, premendo PLAY lo esegui e ottieni il risultato.
FINE.
Se vuoi capire come trasformare la tua competenza in un’app IA, o se hai domande su come funzionano i nostri strumenti, scrivici a hey [chiocciola] u-prompt.com.
Il plugin ufficiale di Claude Code che ripulisce il pasticcio che Claude Code ha appena creato
C’è qualcosa di profondamente onesto in un team che rilascia uno strumento per correggere i difetti del proprio strumento.Boris Cherny, il creatore di Claude Code, ha appena reso open source il code-simplifier, un sub-agente che usa quotidianamente nel suo lavoro.
La sua funzione? Semplificare il codice dopo che Claude Code ha finito di lavorare. Rileggi: dopo.
Claude Code ha un problema strutturale: scrive troppo.Non nel senso che chiacchiera. Nel senso che produce codice verboso, over-engineered, pieno di astrazioni inutili.
Funziona, per carità, è anche bene, ma funziona come funziona un mobile Ikea montato da uno che ha letto le istruzioni in svedese: regge, ma non è elegante.
Il code-simplifier nasce per rimediare a questa tendenza. È un agente specializzato nel refactoring che interviene a fine lavoro per:
eliminare ridondanze — trova codice duplicato e lo estrae in funzioni riusabili, seguendo il principio DRY (Don’t Repeat Yourself, per chi non mastica acronimi anglofoni)
migliorare la leggibilità — semplifica condizionali annidati, spezza metodi elefantiaci in funzioni più piccole, migliora i nomi delle variabili (addio temp2_final_v3)
modernizzare la sintassi — aggiorna il codice per usare le feature moderne del linguaggio invece di pattern da museoIl tutto senza toccare la funzionalità.
Il codice fa esattamente quello che faceva prima, solo che adesso lo capisce anche chi lo legge.
Niente configurazioni bizantine, niente file YAML da interpretare come testi sacri.
Come si usa
Non c’è un comando speciale. Basta chiedere a Claude di usarlo:
"Usa il code simplifier per ripulire questo codice"
"Semplifica quello che abbiamo appena scritto"
"Pulisci questo PR con il code-simplifier"
L’agente analizza il codice, identifica i problemi di complessità, e propone una versione semplificata spiegando cosa ha cambiato e perché.
Cherny lo usa dopo ogni feature completata, dopo ogni TODO risolto, prima di ogni code review. È diventato parte del suo workflow quotidiano, insieme a un altro agente chiamato verify-app che testa il codice end-to-end.
Il trade-off
C’è un prezzo da pagare: il tempo di sviluppo raddoppia circa.
Non è poco, ma il ragionamento è semplice: meglio impiegare il doppio del tempo oggi per avere codice manutenibile domani, che risparmiare oggi e piangere tra sei mesi davanti a un file di 2000 righe che nessuno osa toccare.
È lo stesso principio per cui si scrivono i test: nessuno li ama mentre li scrive, tutti li benedicono quando salvano la produzione.
Cosa significa davveroIl code-simplifier è interessante non tanto per quello che fa, ma per quello che ammette.
Ammette che i modelli linguistici, lasciati a se stessi, tendono alla verbosità. Ammette che “funziona” non è sinonimo di “è fatto bene”. Ammette che l’output grezzo di un LLM richiede quasi sempre una revisione.
È un approccio maturo, lontano dal marketing che vorrebbe farci credere che l’AI risolve tutto al primo colpo.
La realtà è più prosaica: l’AI scrive, poi l’AI corregge quello che ha scritto, e alla fine — se tutto va bene — il codice è decente.
Non è magia, è ingegneria.
E a volte, l’ingegneria migliore è quella che riconosce i propri limiti e costruisce strumenti per aggirarli.
Ogni tanto la tecnologia fa una cosa controintuitiva: invece di correre in avanti a testa bassa, si ferma, si gira e guarda indietro. Non per rimpiangere il passato, ma per ricordarsi come si costruiscono davvero le cose che durano. È esattamente quello che è successo a novembre 2025 quando il Computer History Museum, insieme a Google, ha deciso di rendere pubblico il codice sorgente originale di AlexNet.
Il codice sorgente del 2012, quello che ha cambiato la storia dell’intelligenza artificiale.
Non è un’operazione nostalgica, e non è nemmeno un regalo per chi vuole “rifare AlexNet oggi”. È un gesto culturale. È come dire: prima di discutere dell’ennesimo modello miracoloso, forse vale la pena tornare a vedere come nasce una vera discontinuità tecnologica.
AlexNet nasce nel 2012 all’Università di Toronto, da Alex Krizhevsky, Ilya Sutskever e Geoffrey Hinton. Vince ImageNet in modo così netto da rendere improvvisamente obsoleti anni di approcci precedenti, dimostrando in un colpo solo che le reti neurali profonde non sono solo belle teorie: funzionano, scalano e cambiano le regole del gioco.
Da lì in poi il deep learning diventa la norma, le GPU diventano strumenti scientifici e la computer vision prende una direzione completamente nuova.
Ma oggi AlexNet non ci interessa per la sua potenza.
Oggi confrontata con gli standard attuali. Ci interessa per un motivo molto più profondo: come è stata pensata.
Non è elegante, modulare, o “clean”. È scritto in CUDA C++ ed è brutalmente onesto. La memoria GPU viene gestita a mano, i layer non sono entità astratte ma strutture concrete, il training non è un loop astratto, ma è un flusso rigido e dichiarato. Non esiste separazione tra modello, training, preprocessing ed esecuzione: tutto è intrecciato, perché tutto fa parte dello stesso problema.
Leggerlo oggi è quasi uno shock culturale per chi è cresciuto a colpi di framework. Qui non c’è nulla che ti protegga. Se qualcosa non funziona, non puoi incolpare una libreria: sei tu. Ed è proprio questo che rende il codice di AlexNet così prezioso. Ti costringe a capire perché una scelta è stata fatta, quali compromessi sono stati accettati, quali limiti hardware hanno guidato l’architettura.
AlexNet, in altre parole, non era “solo un modello”. Era un sistema completo. Dataset, preprocessing, training su GPU, tuning manuale, gestione della memoria, flusso end-to-end. Tutto insieme. Nulla aveva senso da solo.
Ed è qui che il collegamento con l’IA di oggi diventa quasi imbarazzante per quanto è evidente.
Nel 2025 passiamo una quantità enorme di tempo a discutere su quale sia il modello migliore. Come se il problema fosse lì. Ma un singolo LLM, per quanto impressionante, soffre degli stessi limiti strutturali che avevano le singole reti neurali prima di AlexNet: non ha memoria vera, non ha visione di processo, non ha responsabilità sul risultato finale. Da solo, è fragile.
Il valore reale oggi emerge quando smettiamo di ragionare in termini di “modello” e iniziamo a ragionare in termini di sistema. Quando progettiamo flussi, step, ruoli, controlli. Quando decidiamo quale modello deve fare cosa, in quale momento, con quale contesto e con quale verifica. Quando l’intelligenza artificiale smette di essere una risposta brillante e diventa un processo governato.
AlexNet ci ricorda che le rivoluzioni non nascono da un singolo componente eccezionale, ma da un’architettura chiara. È lo stesso principio che oggi ritroviamo nei sistemi di orchestrazione multi-modello e, più in generale, in piattaforme come Canonity, dove il focus non è il prompt perfetto o il modello più grosso, ma la struttura che tiene tutto insieme. Non il singolo output, ma il flusso che lo rende affidabile.
AlexNet non ci colpisce più per la potenza, ma per la lucidità. Per il fatto che, prima che tutto diventasse automatico, qualcuno aveva capito che l’IA non è magia statistica, ma ingegneria dei sistemi. Il rilascio del suo codice non è una celebrazione del passato: è un promemoria molto attuale.
Se vogliamo davvero capire dove sta andando l’intelligenza artificiale, ogni tanto dobbiamo fare quello che fa questo repository: tornare alle fondamenta, sporcarci le mani con l’architettura e ricordarci che le vere innovazioni non nascono dall’ultimo modello, ma dalla capacità di mettere ordine nella complessità.
Per un po’ di tempo abbiamo creduto di risolvere con un modello AI più grande, più veloce, più addestrato, più tutto.
Ogni nuova versione sembrava portarci un passo più vicino a un punto di arrivo definitivo, come se bastasse aggiungere qualche miliardo di parametri per ottenere finalmente l’intelligenza “giusta”. Un’idea rassicurante, quasi infantile: se qualcosa non funziona, lo ingrandiamo. Ha sempre funzionato così, no?
Poi è successa una cosa curiosa. Le persone che quei modelli li hanno costruiti hanno iniziato a dire, più o meno apertamente, che nemmeno loro sanno davvero come funzionano fino in fondo.
Ilya Sutskever lo ha detto con una calma quasi sospetta: lo scaling infinito non è la risposta. Non perché i modelli non siano impressionanti, ma perché stiamo continuando a spingere sull’acceleratore senza sapere esattamente cosa stia succedendo sotto il cofano. Una strategia audace, certo. Ma non proprio quello che definiremmo “controllo”. (vedi link su “letture consigliate” in fondo all’articolo)
Nel frattempo, noi utenti abbiamo sviluppato una dinamica tutta nostra. Parliamo con l’AI, aspettiamo la risposta, la correggiamo, rilanciamo. Poi di nuovo. Un dialogo continuo che, a guardarlo bene, assomiglia più a una riunione infinita che a un processo decisionale. Un problema serio, però, non si risolve in una risposta, ma in una sequenza di passaggi: comprendere, analizzare, scegliere, verificare, correggere, rifinire.
Fino al 2025 lo abbiamo affrontato in modo ricorsivo. Domanda, risposta, controbattuta. Ancora. Come ho scritto nel mio post precedente, siamo diventati degli umarell digitali, affacciati alla finestra della chat, a commentare quello che l’AI stava facendo, pronti a intervenire dopo.
È stato utile, va detto, e in qualche modo anche istruttivo, ma è plausibile che questo sia il modello definitivo di collaborazione uomo–macchina?
A un certo punto inizierà semplicemente a sembrarci inefficiente continuare a dire all’AI “fammi questo”, con richieste isolate che interrompono il flusso, con ogni risposta che ci costringe a fermarci, a valutare per correggere e poi ripartire. Una conversazione infinita che ricorda sempre più quelle riunioni in cui nessuno ha preparato l’ordine del giorno.
Così inizieremo a fare una cosa sorprendentemente umana: pensare prima, non per lasciare l’AI più libera, ma per essere noi molto più rigorosi.
Pensaci, hai mai risolto un problema complesso tutto insieme?
Quando un problema è davvero tale, lo si scompone. Lo si riduce. Lo si divide in problemi più piccoli e li si affronta uno alla volta, in sequenza. Si chiama “problem solving”, quello che funziona, non quello raccontato nei keynote.
E se ci pensi ancora un po’ vedrai che è esattamente il percorso che abbiamo già fatto nel campo della programmazione dei computer: all’inizio c’era il programma monolitico, un unico blocco enorme che faceva tutto. Funzionava finché nessuno lo toccava. Poi l’utente chiedeva una modifica, qualcuno faceva una patch apparentemente innocua… e tutto il resto iniziava a comportarsi in modo imprevedibile.
Abbiamo imparato allora a spezzare quel monolite in funzioni, ognuna con un compito preciso. Meno caos, più controllo, meno notti passate a chiedersi perché qualcosa si fosse rotto.
Oggi siamo arrivati ai microservizi, non perché fosse elegante, ma perché è il modo sensato per gestire sistemi complessi: componenti piccoli, isolati, sostituibili, che comunicano in modo esplicito. Più lavoro prima, molta meno sorpresa dopo.
Con l’AI vivremo la stessa identica evoluzione, solo compressa in meno anni (4/5 contro 10/15).
Stiamo passando dal prompt monolitico che “fa un po’ di tutto” a sistemi in cui i compiti sono separati, assegnati, orchestrati, per ridurre gli errori e rendere i risultati finalmente ripetibili.
Ed è qui che una delle osservazioni più interessanti ci arriva da Andrej Karpathy: ha fatto notare che interagire con un singolo modello non è un buon modo di usare l’AI.
Secondo Andrej che in un consiglio di amministrazione composto solo dal CEO e da un consulente che annuisce, entrambi parlano ma nessuno contraddice davvero e non si cambia mai il percorso, non si evolve, non si allarga il punto di vista.
La sua idea di LLM Council nasce proprio da qui: un sistema funziona quando il CTO e il CFO iniziano a prendersi a parolacce, quando uno dice “tecnicamente è perfetto” e l’altro risponde “sì, ma ci manda in fallimento” e il CEO media, il COO trova soluzioni e il CLO lo rende legale. Quando le voci dissonanti emergono prima, non quando è troppo tardi. (vedi link su “letture consigliate” in fondo all’articolo)
Nel futuro, se vogliamo risultati affidabili, non dovremmo chiedere all’AI di “pensare meglio”, ma organizzare meglio il pensiero.
Decidere noi i passaggi, stabilire chi fa cosa, prevedere controlli incrociati. Non libertà totale, ma responsabilità distribuita.
Nel frattempo, ai piani alti, il panorama non è meno ironico. Satya Nadella probabilmente non immaginava che il futuro della sua azienda sarebbe stato meno una corsa ad ingrandire il modello di OpenAI e più un delicato esercizio di convivenza tra modelli diversi, filosofie diverse, interessi diversi.
Più che scegliere il vincitore, oggi il lavoro vero è evitare che il consiglio di amministrazione esploda. (vedi link su “letture consigliate” in fondo all’articolo)
E poi c’è Ivan Zhao, che sull’AI è rimasto alla finestra a guardare. Un po’ come un umarell di lusso: osserva, ascolta, non si lascia prendere dall’entusiasmo e aspetta di capire dove stia davvero andando il valore. Non sempre muoversi per primi è la strategia migliore. (vedi link su “letture consigliate” in fondo all’articolo)
Il punto, però, resta sempre lo stesso.
Nel 2026 non avremo un’AI più intelligente, inizieremo a smettere di usarla come una chat e inizieremo a trattarla come un sistema complesso, fatto di ruoli, sequenze e responsabilità.
Il cambiamento non arriverà con proclami o rivoluzioni improvvise. Arriverà quando smetteremo di fare domande sempre migliori e inizieremo a progettare processi migliori. Avverrà quando passeremo dall’attesa alla direzione.
Il futuro dell’AI, probabilmente, non sarà più intelligente. Sarà semplicemente meglio organizzato e, ironia della sorte, dipenderà molto meno dall’AI e molto più da te e da me.
Come avrai notato dalla marea di articoli e spiegazioni che circolano, l’intelligenza artificiale è spesso percepita come una specie di magia. Ma tu mi segui, e sai che dietro c’è tecnologia; e dove c’è tecnologia, ci sono metodi.
Molti descrivono la tecnica del prompting come qualcosa di banale: digiti “fammi X” e l’AI risponde… Bello, vero? È quello che hai fatto finora? Se è così, sai bene che generando un testo da un prompt, il risultato cambia ogni volta, è impreciso, e serve tempo per trovare la formula giusta. Hanno anche inventato il termine “allucinazioni” per descrivere i “bug”.
Ma te (e ai tuoi futuri clienti) servono risultati coerenti, ripetibili e di qualità professionale, per questo motivo a maggio del 2025 ho spiegato più di 15 tecniche nel mio libro tradotto in 4 lingue (QUI).
Nella mia visione, la figura del “prompter” diventerà sempre più importante. Dunque, è fondamentale avere padronanza delle metodologie di interrogazione degli LLM: sarà certamente una delle competenze più richieste nel prossimo futuro.
Oggi, a distanza di soli 6 mesi (che nel campo dell’IA equivalgono a un’epoca geologica), quelle tecniche sono state sintetizzate, o “compattate”, in sette veri e propri framework di prompt (tecniche/metodologie d’uso).
In questo articolo ti accompagnerò passo passo, usando un unico esempio che complicheremo gradualmente, man mano che saliamo di livello.
Caso unico per tutti gli esempi Scrivere una scheda prodotto per e-commerce del “Kit serratura baule Vespa (cod. 299676)”. Obiettivo: testo chiaro, orientato alla vendita, con compatibilità e CTA.
PAM > Action > Monitor
Quando usarlo: è il più semplice, usalo per iniziare subito e migliorare un output grezzo. In pratica iteri più volte fino ad arrivare all’obiettivo.
Prompt > (leggi la risposta) > Monitor/Modify: [cosa cambi e perché]
Esempio 1
Prompt v1: “Scrivi una scheda prodotto per il kit serratura baule Vespa 299676.”
Modify: “Riduci a 120–150 parole e inserisci una CTA finale.”
Perché funziona: ti fa iterare subito, senza teoria, ma il risultato può essere abbastanza deludente.
Stiamo usando una AI, proviamo a chiedergli qualcosa in più:
Task: Scheda prodotto e-commerce.
Role: Copywriter tecnico.
Audience: Proprietari Vespa ET2/ET4/Liberty senza esperienza meccanica.
Context: Ricambio originale, modelli compatibili, istruzioni base.
Example (tono): “Compatibile con Vespa ET2/ET4. Si installa in pochi minuti con gli attrezzi di base. Garanzia 24 mesi.”
Performance: 100% nomi modello validi; ≤2 errori ortografici; leggibilità ≥60.
Environment: Catalogo interno + DB compatibilità; privacy GDPR.
Actuators: Blocco HTML scheda prodotto + JSON compatibilità.
Sensors: SKU 299676, lista modelli, manuale tecnico.
Failure & Fallback: se compatibilità mancante → chiedi conferma; se conflitti → mostra alert.
Da grezzo a pro: lo stesso prompt che “cresce”
Ok, se prima di questo articolo non eri un prompter professionista 😉 adesso sai che un prompt non è una frase “magica”: è progettazione.
Parti da PAM, aggiungi SMART per definire cosa significa “buono”, struttura con RACE.
Quando serve coerenza di brand e audience, passa a TRACE/CO-STAR. Se devi educare e convincere, usa SiCQuA. E quando vuoi scalare con affidabilità, modella il sistema con PEAS.
Ecco gli esempi pratici:
PAM → SMART
PAM v1: Scrivi una scheda prodotto per kit serratura baule Vespa 299676.
Modify: 120–150 parole, 3 bullet (compatibilità, installazione, garanzia), CTA finale.
SMART: Leggibilità ≥60; evita superlativi generici; niente termini tecnici non spiegati.
RACE → TRACE → CO-STAR
RACE: Role (copy e-commerce) + Action (scheda) + Context (target fai-da-te) + Execute (formato).
TRACE: aggiungi Audience (ET2/ET4/Liberty) + Example (tono pratico).
CO-STAR: separa Objective (conversione) da Style/Tone (chiaro, affidabile) e Response (formato).
SCQA → PEAS
SCQA: incornicia i dubbi (“è compatibile con il mio modello?”) e rispondi in ordine logico.
PEAS: progetti l’agente che pesca i dati, valida la compatibilità e genera l’HTML finale.
Checklist (copia e incolla)
PAM: prova → leggi → modifica una cosa alla volta.
SMART: aggiungi 2–3 metriche verificabili.
RACE: ruolo chiaro + compito + contesto + formato.
TRACE: dichiara il pubblico e metti un mini-esempio.
CO-STAR: separa obiettivo da stile/tono; definisci il formato di risposta.
SiCQuA: situazione → problema → domanda → risposta/azioni.
