Quando l’IA inizia a comprare per te, la fiducia diventa il prodotto. Con gli agenti AI che iniziano a fare acquisti per nostro conto, il commercio sta entrando in una nuova era. La fase di ricerca, lo shopping e l’acquisto stanno infatti convergendo, mentre i sistemi di intelligenza artificiale passano dall’assistere i consumatori all’agire al posto loro, pianificando gli acquisti, prendendo decisioni ed eseguendo transazioni in modo autonomo. Con l’accelerare di questo cambiamento, emerge una domanda cruciale: come possiamo sapere che un agente faccia solo ciò che gli abbiamo chiesto, e nulla di più?
Si tratta di un nuovo paradigma dei pagamenti, in cui la fiducia diventa essa stessa il prodotto.
Quando gli agenti di intelligenza artificiale operano con denaro reale, i consumatori non cercano soltanto velocità o comodità, ma chiarezza su ciò che è stato autorizzato, la certezza che le istruzioni siano state rispettate e protezione nel caso qualcosa vada storto. Con l’aumentare dell’autonomia, la fiducia non può più essere data per scontata: deve essere dimostrata.
Per decenni, il commercio si è basato su un segnale semplice e visibile dell’intenzione. Si toccava la carta o si cliccava su “acquista” e tutte le parti coinvolte capivano cosa si stesse comprando. È questa comprensione condivisa che oggi rende possibile il commercio digitale.
Ma il commercio agentico cambia questa dinamica. Invece di agire direttamente, i consumatori delegano. Possono chiedere a un agente di riordinare la spesa, prenotare un viaggio rispettando un certo budget o acquistare un prodotto specifico nella taglia giusta. L’agente interpreta le istruzioni, monitora le condizioni e può agire in modo indipendente per effettuare l’acquisto. Di conseguenza, l’intento diventa meno visibile nq1el momento della transazione ma, allo stesso tempo, diventa più importante poterlo verificare.
I consumatori hanno bisogno di fiducia e di prove verificabili che gli agenti seguano le istruzioni, rispettando al contempo la privacy. I commercianti hanno bisogno di avere la certezza che un agente sia autorizzato a completare una transazione. Gli emittenti devono distinguere tra attività legittima e frodi. E se qualcosa va storto, tutti hanno bisogno di fatti concreti, non di supposizioni.
Soddisfare queste esigenze richiede un nuovo modello di fiducia, progettato specificamente per il commercio agentico e costruito ponendo la privacy al centro.
Per rispondere a queste esigenze emergenti, Mastercard sta collaborando con Google per introdurre Verifiable Intent, un nuovo livello di fiducia aperto e basato su standard per il commercio agentico.
In linea con l’Agent Payments Protocol (AP2) e l’Universal Commerce Protocol (UCP) di Google, e progettato per essere indipendente dal protocollo, Verifiable Intent crea una registrazione resistente alle manomissioni di ciò che un utente ha autorizzato quando un agente di AI agisce per suo conto, stabilendo una fonte di verità condivisa per l’intero ecosistema. La soluzione fornisce una prova crittografica dell’autorizzazione su cui consumatori, commercianti ed emittenti possono fare affidamento.
Nei prossimi mesi, Verifiable Intent sarà integrato direttamente nelle API di intent di Mastercard Agent Pay per favorire l’adozione concreta con i partner e supportare implementazioni responsabili e scalabili di agenti su diverse piattaforme. Parallelamente, Mastercard continuerà a collaborare con gli organismi di settore per definire standard complementari per l’AI conversazionale nel commercio.
Non si tratta solo di abilitare nuove esperienze di pagamento, ma di assicurarsi che, con l’aumentare dell’autonomia nel commercio, la protezione dei consumatori proceda di pari passo.
Ripensare la fiducia in un mondo guidato dall’IA e da agenti autonomi
In un mondo agentico, in cui le azioni vengono delegate, l’intento deve essere esplicito e verificabile. Il ruolo di Mastercard in questo nuovo paradigma dei pagamenti è garantire che la fiducia accompagni ogni transazione, indipendentemente da come venga avviata.
Al suo cuore, Verifiable Intent collega identità, intento e azione in un’unica registrazione che tutela la privacy. Conferma il titolare della carta che autorizza l’agente AI, registra le istruzioni specifiche del consumatore e documenta l’interazione tra agente e commerciante che porta all’acquisto. In caso di controversia, tutte le parti possono fare affidamento su una chiara traccia di audit per risolverla rapidamente ed equamente.
Per i commercianti, questa chiarezza genera fiducia nel nuovo orizzonte delle transazioni gestite da agenti. Per i consumatori, garantisce la serenità che delegare non significhi perdere il controllo.
Negli acquisti assistiti da agenti, con l’intervento umano nel processo (‘human-in-the-loop’), Verifiable Intent conferma che il consumatore era presente, ha approvato il carrello e ha autorizzato la transazione. I commercianti possono evadere questi ordini con fiducia, senza creare attrito.
Negli scenari più autonomi, Verifiable Intent garantisce trasparenza e capacità decisionale, permettendo ai commercianti di valutare se sia necessaria un’ulteriore conferma prima di completare una transazione gestita dall’agente.
Queste sfide vanno ben oltre le tradizionali transazioni dei consumatori. Nel commercio machine-to-machine e nelle applicazioni di denaro programmabile, consumatori o aziende delegano sempre l’autorità di spesa a un sistema. Che un agente AI stia pagando risorse critiche, gestendo approvvigionamenti o effettuando pagamenti transfrontalieri per conto di un’organizzazione, la posta in gioco resta la stessa: questi sistemi devono prendere decisioni rapide e su larga scala, rimanendo fedeli all’intento dell’utente.
La tutela della privacy e del controllo dei dati con Verifiable Intent
Fiducia e privacy non si escludono a vicenda. Verifiable Intent sfrutta la Selective Disclosure, una tecnica di protezione della privacy, per garantire che vengano condivise tra le parti solo le informazioni strettamente necessarie sulla transazione e solo quando serve. I dettagli della transazione possono essere verificati per prevenire frodi o risolvere controversie, senza esporre dati sensibili al di fuori di questi contesti. Questo approccio rispecchia i principi di Mastercard in materia di dati e tecnologia, mantenendo il controllo sia ai consumatori sia ai commercianti.
Verifiable Credentials: come funziona la delega crittografica nel commercio agentico
Le Verifiable Credentials sono credenziali digitali progettate per dimostrare identità, attributi o autorizzazioni attraverso prove crittografiche verificabili. Lo standard, definito dal W3C Verifiable Credentials Data Model, consente di scambiare attestazioni affidabili tra sistemi diversi senza dipendere da database centralizzati o da verifiche manuali.
Il funzionamento può essere descritto come una sequenza di fasi operative.
- Emissione della credenziale
Un’entità fidata (issuer), come una banca, un wallet di pagamento o un provider di identità digitale, genera una credenziale contenente uno o più attributi certificati. Nel contesto dei pagamenti, questi attributi possono includere l’identità del titolare, il possesso di un metodo di pagamento o l’autorizzazione a effettuare operazioni entro determinati limiti.
La credenziale viene firmata digitalmente dall’emittente tramite crittografia a chiave pubblica. La firma garantisce l’integrità dei dati e permette a qualsiasi sistema compatibile di verificarne l’origine.
- Custodia nel wallet dell’utente
La credenziale viene salvata nel wallet digitale dell’utente (holder). A differenza dei sistemi tradizionali basati su account centralizzati, il titolare conserva localmente le proprie credenziali e mantiene il controllo su quando e come utilizzarle.
- Creazione della prova crittografica
Quando un sistema – per esempio un agente AI che effettua un acquisto – deve dimostrare un’autorizzazione, il wallet genera una verifiable presentation.
Si tratta di una prova crittografica derivata dalla credenziale originale che può essere inviata al soggetto che deve verificare l’informazione (verifier), come il merchant o l’infrastruttura di pagamento.
- Verifica della credenziale
Il verificatore controlla automaticamente tre elementi:
- la firma digitale dell’emittente, utilizzando la chiave pubblica pubblicata nei registri di fiducia;
- l’integrità dei dati, per assicurarsi che la credenziale non sia stata modificata;
- lo stato della credenziale, verificando che non sia stata revocata o scaduta.
Se questi controlli sono superati, l’attributo attestato viene considerato valido.
- Selective Disclosure dei dati
Uno dei meccanismi chiave delle Verifiable Credentials è la Selective Disclosure.
Grazie a schemi di firma avanzati – come BBS+ signatures o tecniche di prova a conoscenza zero – il wallet può rivelare soltanto una parte degli attributi contenuti nella credenziale.
Per esempio, un sistema può dimostrare che l’utente è maggiorenne, possiede un metodo di pagamento valido o ha autorizzato una spesa entro un certo limite.
Queste condizioni possono essere verificate senza trasmettere dati sensibili come il numero completo della carta o l’identità completa del titolare.
- Delegare azioni a un agente AI
Nel commercio agentico, le Verifiable Credentials permettono di delegare capacità operative a un agente software.
L’utente può emettere o ricevere una credenziale che autorizza l’agente ad agire entro parametri specifici: un budget massimo, un tipo di prodotto, un elenco di merchant o una finestra temporale.
Quando l’agente avvia una transazione, presenta la prova crittografica dell’autorizzazione. Il sistema di pagamento e il merchant possono verificare automaticamente che l’operazione rientri nei limiti stabiliti.
In questo modo, identità, autorizzazione e azione possono essere collegate in modo verificabile anche quando la transazione viene eseguita da sistemi autonomi.
Un livello di fiducia “a prova di futuro” per i sistemi agentici
Verifiable Intent si basa su specifiche ampiamente adottate da FIDO Alliance, EMVCo, Internet Engineering Task Force e World Wide Web Consortium. È progettato per funzionare attraverso protocolli agentici, dispositivi, wallet, piattaforme e persino altre reti di pagamento, sia oggi sia con l’evolversi dell’ecosistema.
Col tempo, sarà ulteriormente potenziato grazie all’integrazione con le Verifiable Credentials, rendendo l’autorizzazione e la delega dei consumatori ancora più chiare, portabili e verificabili crittograficamente.
Oggi Mastercard rende open source la specifica di Verifiable Intent e una prima implementazione di riferimento su GitHub e su verifiableintent.dev. Piattaforme di agenti, fornitori di soluzioni di pagamento e checkout, commercianti e sviluppatori sono invitati a esplorare, contribuire e costruire. Le specifiche delle API e gli strumenti per sviluppatori per utilizzare Verifiable Intent con Mastercard Agent Pay saranno presto disponibili su Mastercard Developers.
Con l’aumentare delle responsabilità degli agenti AI, i pagamenti diventano una vera rappresentazione della fiducia. In questo nuovo paradigma, i consumatori cercano più della semplice efficienza: vogliono fiducia, responsabilità e la sicurezza che qualcuno li tuteli quando l’AI agisce per loro conto.
Verifiable Intent è progettato per mantenere questa promessa. Integrato in Mastercard Agent Pay, ne costituisce il cuore, offrendo prove chiare di autorizzazione, responsabilità e possibilità di ricorso.
Con l’evolversi del commercio verso maggiore autonomia, la fiducia non passerà in secondo piano: diventerà ancora più cruciale.
“Man mano che gli agenti AI iniziano ad agire in modo più indipendente, è essenziale che l’intento dell’utente resti chiaro, verificabile e protetto”, ha dichiarato Stavan Parikh, Vice President e General Manager dei Payments di Google. “Un’infrastruttura di fiducia solida e interoperabile come Verifiable Intent, compatibile con l’Agent Payments Protocol, rappresenta un naturale acceleratore per la scalabilità del commercio agentico, e siamo orgogliosi di aver collaborato con Mastercard a questa iniziativa”.
