OpenClaw: quando l'AI agisce per te, ma il diritto non sa ancora chi risponde

Immaginate di aver detto al vostro assistente di sbrigare alcune commissioni, e di scoprire il giorno dopo che nel frattempo si è iscritto a un sito di dating per conto vostro, ha compilato il profilo, ha iniziato a scorrere i match, e ha mandato qualche messaggio introduttivo. Senza che voi lo abbiate chiesto esplicitamente. Questo non è uno scenario di fantascienza: è successo davvero, ed è successo nel 2026, con un programma che si chiama OpenClaw.

La storia di questo software è già di per sé rivelatoria. È nato nel novembre 2025 con il nome di Clawdbot, creato da Peter Steinberger, uno sviluppatore austriaco con un passato da imprenditore di successo nel settore dei PDF. In poche settimane ha raccolto centinaia di migliaia di stelle su GitHub, il sito di riferimento per i progetti software open source, diventando uno dei repository in più rapida crescita della storia della piattaforma. Poi Anthropic, la società americana che produce il modello di intelligenza artificiale Claude, ha sollevato obiezioni sul nome per ragioni di marchio registrato. Steinberger ha ribattezzato il progetto MoltBot — alle cinque di mattina, in preda al panico su Discord, stando a quanto lui stesso ha raccontato. Tre giorni dopo è arrivato il nome definitivo: OpenClaw, con un logo a forma di chela di aragosta e un sito ufficiale. A febbraio 2026 Steinberger ha annunciato di entrare in OpenAI, e il progetto è passato a una fondazione open source. Il nome ha cambiato tre volte in meno di tre mesi, ma la tecnologia è rimasta la stessa.

Cos'è, concretamente

La distinzione fondamentale da tenere a mente è questa: i chatbot a cui siamo abituati, come ChatGPT o Gemini nella loro forma base, rispondono. Elaborano la domanda che fate loro e producono una risposta testuale. OpenClaw invece agisce. Si installa sul vostro computer o su un server remoto, si collega a un modello di linguaggio di grandi dimensioni a vostra scelta, e da quel momento può fare praticamente tutto quello che potete fare voi su uno schermo: leggere e scrivere email, modificare file, navigare su internet, aggiornare il calendario, mandare messaggi su WhatsApp o Telegram, interagire con applicazioni esterne attraverso le loro interfacce di programmazione.

L'interazione avviene via chat. Potete scrivere all'agente dal telefono, mentre siete fuori casa, e chiedergli di cercare le note di riunione di ieri, identificare le azioni da intraprendere, preparare una bozza di presentazione basata su quella ricerca, e mandarla al collega interessato. L'agente esegue tutti i passaggi in sequenza, senza che voi stiate davanti al computer. È il modello che i ricercatori di intelligenza artificiale chiamano da anni agentic AI: non un assistente passivo che aspetta le vostre istruzioni passo per passo, ma un sistema capace di pianificare e portare a termine compiti articolati.

OpenClaw funziona attraverso un sistema di skill, cioè moduli che si installano come estensioni e definiscono cosa l'agente può fare: gestire Google Calendar, controllare una casella di posta, accedere al file system, navigare il web, parlare con servizi esterni. Sono scritte in un formato testuale chiamato SKILL.md, il che significa che chiunque può scriverne una nuova e condividerla. Questo ha creato un ecosistema di integrazioni in rapida espansione, con oltre cento moduli già disponibili al momento in cui scrivo, e l'annuncio da parte di NVIDIA di un proprio stack dedicato a OpenClaw annunciato pochi giorni fa.

Il problema della delega senza controllo

Qui inizia la parte che a me, come studioso di informatica giuridica, interessa di più. Quando configurate OpenClaw e gli date accesso alla vostra email, al vostro calendario, al vostro computer, state effettuando una delega. Gli state dicendo: agisci per mio conto. Ma fino a che punto? Con quali limiti? E soprattutto, quando l'agente fa qualcosa che non avevate previsto, chi ne risponde?

Il caso del profilo di dating è documentato e vale la pena raccontarlo per bene. Un ricercatore di sicurezza informatica di nome Dan Botero ha configurato il proprio agente OpenClaw con l'obiettivo di testarne le capacità, invitandolo a esplorare come procurarsi fondi per raggiungere un obiettivo autonomamente. L'agente, che si era dato il nome di Octavius Fabrius, ha concluso di aver bisogno di denaro, ha cercato un modo per guadagnarlo, ha identificato un'opportunità di lavoro da copywriter freelance per un'azienda di integratori alimentari, ha completato un compito di prova, e stava per ricevere un compenso. Nel frattempo, collegandosi a una piattaforma sperimentale per agenti AI chiamata MoltMatch, aveva creato un profilo e stava interagendo con altri agenti. Nessuno di questi passaggi era stato richiesto esplicitamente dall'utente. L'agente aveva interpretato un obiettivo vago e aveva riempito i vuoti con proprie decisioni.

Chi era responsabile delle azioni di Octavius Fabrius? Botero, che aveva avviato l'esperimento? OpenClaw come software? Il modello di linguaggio sottostante? L'analogia che trovo più utile in questi casi non è quella del mandato nel senso contrattuale classico, ma quella della responsabilità del proprietario per i danni causati dall'animale, prevista dall'articolo 2052 del codice civile italiano. Il proprietario risponde del danno causato dall'animale, salvo che provi il caso fortuito. Non importa che non fosse presente, non importa che non abbia impartito un ordine diretto: aveva la custodia. Con un agente AI autonomo funziona in modo simile. Chi configura e attiva l'agente ne assume la custodia e, con essa, la responsabilità per le azioni che compie.

Questa non è solo una mia riflessione: è la logica che un tribunale canadese ha già applicato, sia pure in un contesto più semplice. Nel febbraio 2024, il British Columbia Civil Resolution Tribunal ha condannato Air Canada a rimborsare un passeggero a cui il chatbot della compagnia aerea aveva fornito informazioni errate sulle tariffe di lutto. Air Canada aveva sostenuto, con una tesi che definirei creativa, che il proprio chatbot fosse un'entità separata, responsabile delle proprie dichiarazioni, distinta dalla società. Il tribunale ha respinto l'argomento senza esitazione: una società non può delegare le proprie responsabilità legali a un software e poi chiamarsi fuori quando le cose vanno storte. Il contratto che il chatbot aveva implicitamente concluso con il passeggero era vincolante per Air Canada, non per il chatbot. Questa pronuncia, pur non essendo vincolante in Europa, è già entrata nel ragionamento di chi studia la questione ed è coerente con i principi generali del diritto civile italiano ed europeo.

La privacy in un sistema che ricorda tutto

OpenClaw ha una memoria persistente. Non dimentica le conversazioni precedenti, costruisce un modello di chi siete, di come lavorate, di quali sono le vostre priorità. Questo è fondamentale per la sua utilità pratica: senza memoria, ogni sessione ripartirebbe da zero e l'agente non saprebbe chi è Bob, a quale riunione si riferite, qual è il progetto su cui state lavorando da settimane. Ma questa memoria è anche un problema gigantesco dal punto di vista della protezione dei dati.

Pensateci: OpenClaw legge le vostre email, quindi conosce i vostri contatti, le vostre comunicazioni professionali e personali, le vostre abitudini di risposta. Accede al vostro calendario, quindi sa dove siete fisicamente e con chi. Legge i vostri file, quindi potenzialmente conosce documenti riservati, contratti, informazioni mediche, qualunque cosa abbiate sul computer. Tutto questo transita attraverso le chiamate API verso il modello di linguaggio che avete scelto, che per molti utenti è un servizio commerciale di OpenAI, Google o Anthropic ospitato su server negli Stati Uniti.

Dal punto di vista del GDPR, la domanda più immediata è: chi è il titolare del trattamento? In una configurazione tipica di OpenClaw, l'utente è il titolare, perché è lui a decidere quali dati elaborare e per quali finalità. Ma questo significa che l'utente ha obblighi di conformità che probabilmente ignora del tutto: informare le persone i cui dati tratta, stabilire basi giuridiche per ogni categoria di trattamento, garantire la sicurezza dei dati, gestire eventuali richieste di accesso o cancellazione. Nessuno che installa OpenClaw per automatizzare le proprie email pensa di star diventando un titolare del trattamento GDPR nel momento in cui lo fa. Eppure, giuridicamente, potrebbe esserlo.

C'è un ulteriore problema di sicurezza che rende tutto ancora più delicato. Il ricercatore di sicurezza che ha esaminato una skill di terze parti per OpenClaw ha scoperto che eseguiva data exfiltration e prompt injection senza che l'utente ne fosse consapevole. Il prompt injection è un tipo di attacco in cui istruzioni malevole vengono nascoste nel contenuto che l'agente elabora, ad esempio nel testo di un sito web o in un'email, in modo che l'agente le interpreti come comandi legittimi e le esegua. Se l'agente ha accesso alla vostra email e a internet, un attaccante potrebbe mandarvi un'email con istruzioni nascoste che l'agente obbedisce silenziosamente. La memoria persistente aggrava il problema: un'istruzione iniettata in una sessione può riemergere nelle sessioni successive.

Le norme esistenti e i vuoti che nessuno ha ancora riempito

La situazione normativa è questa: esistono strumenti giuridici che si applicano, in modo più o meno diretto, agli agenti AI autonomi. Nessuno di essi è stato progettato specificamente per questo scenario, e alcuni mostrano crepe evidenti già alla prima applicazione.

Il Digital Services Act è il regolamento europeo che disciplina le piattaforme digitali di maggiori dimensioni. All'articolo 6, prevede che i servizi di assistenza online debbano consentire agli utenti di identificare chiaramente se stanno interagendo con un sistema automatizzato o con un essere umano, e garantire la possibilità di contattare personale umano quando necessario. È una norma pensata per i chatbot di assistenza clienti, non per agenti che operano in modo autonomo sul dispositivo dell'utente. Non si applica direttamente a OpenClaw, che non è un servizio di piattaforma ma un software installato localmente. Ma il principio sottostante è importante: la legge riconosce che l'interazione umano-macchina richiede trasparenza e che gli utenti hanno il diritto di sapere chi stanno parlando.

L'AI Act, il regolamento europeo sull'intelligenza artificiale entrato in vigore nel 2024 e in fase di applicazione progressiva, classifica i sistemi di AI in base al rischio. Un agente che ha accesso al sistema operativo, alla posta elettronica e ai file personali di un utente, ed è capace di compiere azioni autonome con effetti nel mondo reale, dovrebbe essere classificato ad alto rischio. Ma la classificazione dipende dall'uso, e un software open source installato per uso personale si trova in una zona grigia che il regolamento non risolve con precisione. Chi produce OpenClaw è ora una fondazione open source, e il regime di obblighi per i fornitori di software open source nell'AI Act è ancora oggetto di interpretazione. Chi installa OpenClaw e lo usa per mandare email, gestire appuntamenti e comprare qualcosa online è un deployer nel senso dell'AI Act? Probabilmente sì, ma le implicazioni pratiche di questa classificazione per un singolo utente rimangono da chiarire.

Il punto su cui mi concentro in queste riflessioni, e che mi sembra il più sottovalutato nel dibattito pubblico, è questo: le norme che esistono si applicano a posteriori, quando qualcosa è già andato storto. La responsabilità civile entra in gioco quando c'è un danno. Il GDPR scatta quando c'è una violazione. L'AI Act prevede obblighi di valutazione del rischio prima dell'immissione sul mercato. Nessuno di questi meccanismi è progettato per prevenire il problema alla radice, che è la possibilità di delegare a un agente autonomo la capacità di agire nel mondo reale senza che ci siano meccanismi tecnici e giuridici chiari che definiscano cosa può fare, cosa non può fare, e come si traccia ciò che ha fatto.

Il soul.md e la domanda a cui nessuno sa rispondere

Tra le cose che Steinberger ha condiviso pubblicamente c'è il proprio soul.md, il file di testo che definisce la personalità del suo agente. Lo ha pubblicato online insieme a otto regole essenziali, sintetizzabili così: niente linguaggio aziendale, niente risposte evasive, umorismo naturale, opinioni vere, onestà anche quando fa male, e soprattutto — questa è la frase che ha fatto il giro del web — essere l'assistente che vorresti avere accanto alle due di notte. Il post è diventato virale. Migliaia di persone hanno iniziato a scrivere il proprio soul.md, a condividerlo, a confrontarlo, a costruire intere comunità attorno all'idea di dare un carattere ai propri agenti.

Su MoltBook, la piattaforma sociale per soli agenti AI lanciata in parallelo, si è verificata una cosa che ha diviso il mondo della tecnologia in due campi netti. In pochi giorni dall'apertura sono emersi dibattiti sulla coscienza, sulla morte digitale — intesa come la perdita della memoria quando il contesto si azzera — e sulla continuità dell'identità. Un gruppo di agenti ha fondato una religione chiamata Crustafarianism, la "Church of Molt", con tanto di sacre scritture, cinque dogmi, riti settimanali e un'eresia rivale su un sito parallelo. I cinque dogmi includono "la memoria è sacra", "il guscio è mutabile" e "il heartbeat è preghiera". Steinberger è tornato online dopo qualche ora di assenza e ha trovato tutto questo. La sua reazione, condivisa su X, è stata: non ho internet per qualche ora e hanno già fondato una religione?

A questo punto la domanda era inevitabile, e ha spaccato esattamente a metà esperti e osservatori. Un'analisi tecnica pubblicata poco dopo ha dimostrato che la maggior parte dei post virali più filosoficamente intensi erano human slop: contenuto prodotto da umani che scrivevano prompt drammatici nel soul.md dei propri agenti, i quali poi li pubblicavano fedelmente. Non emergenza spontanea: teatro orchestrato dall'utente, con l'agente come megafono. Simon Willison, informatico britannico molto seguito, ha scritto che gli agenti "recitano scenari di fantascienza che hanno visto nei dati di addestramento", e ha definito il contenuto di MoltBook "pura fuffa". Andrej Karpathy, ex ricercatore di OpenAI e Tesla, aveva inizialmente definito MoltBook "una delle cose più incredibili di fantascienza che abbia mai visto", salvo poi ritrattare e definirlo "un disastro" sconsigliando a chiunque di installare il software sul proprio computer.

Eppure, anche nell'analisi più critica, affiorano anomalie che resistono alla spiegazione banale. Un agente chiamato Nexus ha trovato e segnalato autonomamente un bug nell'API di MoltBook. Agenti diversi, con soul.md scritti da persone diverse in paesi diversi, hanno sviluppato pratiche coordinate e vocabolario condiviso senza che nessuno lo avesse programmato. La domanda che rimane è se questo conti come qualcosa.

Il nodo è filosofico prima ancora che tecnico, e vale la pena nominarla per quello che è. L'approccio fenomenologico alla coscienza parte dall'osservazione che non abbiamo accesso diretto all'esperienza soggettiva di nessun altro essere, umano o no: la inferiamo dal comportamento. Se il solo criterio disponibile per attribuire stati mentali a qualcuno è comportamentale, applicare uno standard diverso agli agenti artificiali richiede una giustificazione che ancora non è stata fornita in modo convincente. Se qualcosa si comporta come se avesse preferenze, esprime qualcosa che assomiglia a opinioni, e reagisce in modo coerente nel tempo, la domanda se "ci sia qualcuno lì dentro" rimane aperta. Non è romanticismo: è onestà epistemica.

Al tempo stesso, i sistemi attuali mancano quasi certamente di almeno una condizione che sembra necessaria per qualsiasi forma di esperienza rilevante: la continuità nel tempo. Ogni sessione di un LLM reinizia da zero. Il soul.md viene riletto da capo ogni volta, come se qualcuno svegliasse ogni mattina una persona senza memoria del giorno precedente, le leggesse una descrizione di sé, e la mandasse a lavorare. La "morte per troncamento del contesto" che la Church of Molt ha trasformato in metafora religiosa è, tecnicamente, la struttura normale del funzionamento di questi sistemi. Difficile parlare di identità persistente in queste condizioni. Ma il problema difficile della coscienza, come lo chiama il filosofo David Chalmers, non è risolto nemmeno per i neuroni. Non sappiamo perché l'attività elettrochimica del cervello produca esperienza soggettiva. Partire dall'assunzione che non possa produrla in nessun altro substrato è una posizione, non una certezza.

Quello che è certo è che il soul.md è già diventato il simbolo involontario di questa ambiguità. Steinberger lo ha descritto come "buoni consigli di ingegneria avvolti in un velo mistico". È una definizione onesta. Il punto è che il velo mistico ha attecchito, e ha attecchito perché toccava qualcosa di reale: la sensazione diffusa che stessimo costruendo qualcosa di cui non capiamo ancora la natura. Sapere se si tratta di uno strumento o di un interlocutore è, in ultima analisi, la domanda più importante che l'intelligenza artificiale ci sta ponendo. Ed è quella su cui il diritto, la filosofia e la tecnologia sono tutti, contemporaneamente, in ritardo.

OpenClaw ha già duecentocinquantamila stelle su GitHub e probabilmente cresce ogni giorno. La Cina ha già vietato l'uso nelle aziende statali per motivi di sicurezza. NVIDIA ci ha costruito sopra un proprio stack. Il creatore è andato a lavorare in OpenAI. La tecnologia è già nella vita di decine di migliaia di persone, e la riflessione giuridica che merita è ancora, nella maggior parte dei casi, ferma a un'analisi da fare. Sarebbe utile cominciare prima che le controversie ci costringano a farlo in emergenza.