Una Corte Stabilisce che gli Agenti AI Possono Violare le Leggi Statali e Federali Accedendo agli Account Amazon Senza Autorizzazione
Una corte nel Distretto Settentrionale della California ha stabilito, in fase di ingiunzione preliminare, che quando un sito web vieta agli agenti di intelligenza artificiale (AI) di accedere agli account utente, l’accesso continuato da parte di tali agenti può violare le leggi statali e federali, anche se l’utente ha concesso il permesso. La decisione è attualmente in appello presso la Corte d’Appello degli Stati Uniti per il Nono Circuito e solleva importanti interrogativi sia per le piattaforme che cercano di stabilire regole per gli agenti AI, sia per i produttori di agenti AI i cui prodotti interagiscono con siti web di terze parti.
Il Caso
In un contenzioso, una nota azienda ha accusato un’altra di aver configurato il proprio agente AI in modo tale da accedere, su indicazione degli utenti, agli account Amazon protetti da password. Gli utenti potevano istruire l’agente a sfogliare prodotti e persino effettuare acquisti per conto loro. I termini di servizio richiedono che gli agenti AI si identifichino e limitino l’accesso solo alle porzioni pubbliche del sito. L’azienda ha sostenuto che l’agente in questione ha violato questi termini accedendo al sito in uno stato di accesso autenticato senza identificarsi come agente AI.
La Decisione
Il 9 marzo 2026, il giudice ha accolto la richiesta di ingiunzione preliminare, ritenendo che l’azienda fosse probabile che prevalesse sulle sue rivendicazioni ai sensi della legge federale sul Computer Fraud and Abuse Act (CFAA) e della legge californiana sulla violazione dei dati. Una questione centrale era se il consenso dell’utente all’accesso dell’agente AI fosse sufficiente o se i termini di servizio del sito controllassero l’autorizzazione. La corte ha stabilito che l’accesso dell’agente non era autorizzato, nonostante il permesso concesso dall’utente.
La corte ha notato che l’azienda aveva inviato comunicazioni di cessazione e desistenza, rafforzando la sua posizione che l’accesso continuato da parte dell’agente fosse non autorizzato. L’ingiunzione ha vietato l’accesso agli “sistemi informatici protetti” e ha richiesto la cancellazione di qualsiasi dato cliente raccolto tramite l’agente AI.
Implicazioni per i Siti Web
I siti web che desiderano prevenire l’accesso degli agenti AI ai dati degli account potrebbero voler redigere termini espliciti per vietare questo comportamento. Potrebbero anche richiedere che gli agenti AI si identifichino come tali durante l’interazione con il sito, in modo che il traffico degli agenti possa essere trattato diversamente da quello umano. Se gli agenti AI violano questi termini, i siti potrebbero inviare comunicazioni di cessazione e desistenza per rafforzare ulteriormente l’argomento che l’accesso è non autorizzato.
Implicazioni per gli Agenti AI
I produttori di agenti AI che accedono a account protetti da password dovrebbero essere consapevoli di questa decisione e delle sue potenziali implicazioni. La sentenza suggerisce che la condotta che viola i termini di servizio di un sito possa dare luogo a rivendicazioni ai sensi della CFAA e CDAFA. Tuttavia, questa era una decisione preliminare e ci sono argomenti significativi contro, tra cui se i termini di servizio debbano prevalere sulla decisione affermativa dell’utente di autorizzare un agente ad agire per conto dell’utente stesso.
La revisione da parte del Nono Circuito potrebbe fornire ulteriore chiarezza. Nel frattempo, i produttori di agenti AI dovrebbero tenere presente che entrambe le leggi non solo creano diritti di azione privati, ma comportano anche potenziali responsabilità penali.
