I bot superano il traffico umano: Cloudflare registra il 57,5% di richieste HTTP automatizzate (aggiornato: 4 giugno 2026, ore 08:00)

Per la prima volta nella storia di Internet, il traffico generato dai bot supera quello umano. Il sorpasso - a lungo previsto, ma atteso non prima del 2027 - si è materializzato con mesi di anticipo, stando ai dati della rete di Cloudflare, che serve circa un quinto di tutti i siti web del pianeta. Il 57,5% delle richieste HTTP verso pagine HTML proviene ormai da agenti automatizzati. Gli esseri umani si fermano al 42,5%. Non è una proiezione né un modello statistico: è il dato grezzo che transita attraverso una delle infrastrutture più capillari della rete globale. Le implicazioni per chi gestisce servizi esposti a Internet - dalla pianificazione della capacità alla sicurezza, dalla gestione della banda ai modelli di monetizzazione pubblicitaria - sono tutt'altro che astratte.

Il sorpasso che nessuno si aspettava così presto

Matthew Prince, CEO di Cloudflare, ha annunciato il traguardo con un tono che tradisce una certa sorpresa: «Bene, è successo più in fretta di quanto avessi previsto. Pensavo che sarebbe accaduto a fine 2027, poi all'inizio del 2027, ma il traffico agentico sta crescendo così velocemente che i bot hanno superato il traffico umano online per la prima volta nella storia di Internet».

Prima dell'esplosione dell'intelligenza artificiale generativa, i bot rappresentavano circa il 20% del traffico web, costituiti in larga parte da crawler dei motori di ricerca come Googlebot. Già all'inizio del 2025, il rapporto annuale di Cloudflare registrava che i soli bot non legati all'AI erano responsabili della metà di tutte le richieste a pagine HTML - sette punti percentuali sopra il traffico umano. L'ingresso massiccio degli agenti AI ha trasformato una tendenza graduale in un'impennata.

L'effetto moltiplicatore degli agenti AI

Il meccanismo alla base del sorpasso ha un nome preciso: il moltiplicatore agentico. Quando un utente umano cerca un prodotto, visita forse cinque siti. Un agente AI incaricato dello stesso compito può interrogarne migliaia. Prince ha quantificato il rapporto in circa 1.000 a 1: un singolo compito delegato a un agente genera approssimativamente mille visite automatizzate. Moltiplicate questo fattore per milioni di utenti che delegano attività quotidiane a sistemi AI e il quadro si compone in fretta.

I numeri confermano la dinamica. Secondo un rapporto di HUMAN Security pubblicato nel 2026, il traffico automatizzato cresce a un ritmo otto volte superiore a quello umano. Nel corso del 2025, il traffico AI è quasi triplicato. La categoria degli agenti AI - bot che agiscono per conto degli utenti, non semplici crawler - costituiva appena l'1,7% del traffico automatizzato alla fine del 2025, ma quella percentuale rappresentava una crescita di quasi l'8.000% nell'arco di un solo anno. Numeri che ridefiniscono le proporzioni del problema.

L'infrastruttura web non è stata progettata per questo

Il traffico bot - anche quando rappresenta un'intenzione umana genuina, delegata a un agente - non si comporta come quello umano. Non si sofferma sulle immagini, non scorre gli articoli, non clicca sugli annunci pubblicitari. Gli strumenti di analisi web, costruiti attorno a metriche di coinvolgimento pensate per utenti in carne e ossa, diventano progressivamente ciechi rispetto a ciò che sta realmente accadendo sui siti che monitorano.

Per chi gestisce servizi web, le conseguenze sono concrete. I carichi sui server aumentano, la banda consumata cresce, i costi di CDN lievitano - il tutto senza che il traffico aggiuntivo produca necessariamente valore misurabile. Gli editori subiscono un doppio danno: i crawler AI scansionano e estraggono contenuti per alimentare modelli di addestramento, spesso senza generare traffico di ritorno né ricavi corrispondenti.

Cloudflare ha risposto con una serie di strumenti. Nel 2025 ha lanciato Pay Per Crawl, un meccanismo che consente agli editori di addebitare ai crawler AI l'accesso ai propri contenuti. Ha introdotto sistemi per verificare crittograficamente l'identità degli agenti e un formato ottimizzato in Markdown pensato per rendere i contenuti più facilmente consumabili dai sistemi AI - una sorta di canale dedicato che separa il traffico agentico legittimo da quello indiscriminato. A oggi, Cloudflare dichiara di aver bloccato oltre 416 miliardi di richieste da bot AI su indicazione dei proprietari dei siti.

Distinguere gli agenti AI legittimi da quelli malevoli resta però una sfida aperta per l'intera industria. Non tutti i bot si identificano correttamente, e le tecniche di evasione si evolvono con la stessa rapidità delle contromisure.

Il modello pubblicitario sotto pressione

Se la maggioranza del traffico web non è più umana, il modello economico che tiene in piedi buona parte di Internet - la pubblicità programmatica, prezzata sulla base di impression servite a occhi umani - entra in una zona critica. Gli agenti AI, come ha osservato Evin McMullen di Billions Network durante la conferenza Consensus 2026 a Miami, «non hanno occhi»: sono immuni ai segnali pubblicitari visivi. Scansionano le pagine, estraggono riepiloghi e mantengono l'utente all'interno di chatbot o flussi automatizzati, senza mai reindirizzarlo verso il sito originale.

McMullen ha definito il fenomeno una «minaccia esistenziale» per le aziende media e le telecomunicazioni. Alla stessa conferenza, Charles Hoskinson, fondatore di Cardano, ha sostenuto che Amazon, Google e Facebook guardano con apprensione alla trasformazione guidata dagli agenti AI, consapevoli del rischio per i propri modelli di business fondati sull'attenzione umana.

Il problema è già operativo. Se un numero crescente di utenti delega la navigazione a un agente che non visualizza pubblicità, non clicca su banner e non genera le metriche di coinvolgimento su cui si basa il prezzo delle inserzioni, l'intero meccanismo di conversione dell'attenzione in ricavi si inceppa. Non è una questione di se, ma di quanto rapidamente il modello dovrà adattarsi.

Cosa cambia per chi gestisce servizi web

Per gli amministratori di sistema, i responsabili della sicurezza e chiunque gestisca un servizio esposto a Internet, i numeri di Cloudflare impongono un ripensamento su più livelli. Le strategie di rate limiting progettate per pattern di navigazione umana diventano inadeguate quando la maggior parte delle richieste proviene da agenti che operano a velocità macchina. I firewall applicativi devono affinare la capacità di distinguere tra un crawler legittimo che si identifica correttamente e un bot che maschera la propria natura.

Stephanie Cohen, responsabile della strategia di Cloudflare, ha sottolineato alla conferenza di Miami che il traffico non umano ha ormai superato l'interazione umana online. Rileggendo i numeri suona ovvio, ma le implicazioni operative sono tutt'altro che banali: la pianificazione della capacità infrastrutturale, i budget per la banda, i contratti con i fornitori di CDN - tutto va ricalibrato per un mondo in cui la maggior parte dei visitatori non è umana e non lo sarà mai più.

Il web è stato costruito attorno all'idea che dall'altra parte dello schermo ci fosse una persona. Quell'assunto non regge più. Adattare l'infrastruttura, gli strumenti di analisi e i modelli economici a questa nuova realtà non è un esercizio accademico: è una necessità operativa già in ritardo.

Fonti: radar.cloudflare.com, dallasexpress.com, officechai.com, en.coin-turk.com