Fare trading dentro Claude e ChatGPT, ormai è realtà ma attenzione ai rischi

Liquid ha integrato un broker direttamente dentro ChatGPT e Claude, permettendo di eseguire ordini di borsa, criptovalute e mercati di previsione senza uscire dalla conversazione con il chatbot. L’applicazione si chiama Co-Invest, copre oltre 500 mercati tra cui azioni quotate, crypto, forex, posizioni Polymarket e secondaries pre-IPO, e secondo PYMNTS ha già processato oltre 3 miliardi di dollari di volume tra circa 40 mila utenti dal lancio di agosto 2025, come confermato da The Block. L’ordine richiede sempre la conferma esplicita dell’utente, le posizioni restano custodite dall’utente stesso in modalità non-custodial, e i livelli di stop-loss e take-profit si impostano nel prompt come fossero un messaggio qualsiasi.

Robinhood ha lanciato Agentic Trading e una carta di credito agentica, MoonPay ha integrato l’acquisto di crypto dentro ChatGPT, OpenAI ha rilasciato strumenti di finanza personale per gli utenti Pro tramite Plaid, Google ha portato il trading agentico dentro Gemini con connessione diretta ai conti exchange. L’assistente AI passa dallo strato informativo allo strato transazionale, e il salto avviene in pochi mesi. La promessa è eliminare l’attrito tra analisi e ordine, comprimere in un comando vocale o testuale ciò che prima richiedeva almeno tre app aperte in parallelo.

Il prompt injection diventa un rischio finanziario

Il prompt injection, già documentato come una delle vulnerabilità più sistematiche degli LLM, smette di essere un problema teorico quando il chatbot ha le credenziali per muovere denaro. Una mail malevola, una pagina web visitata, un file PDF caricato per analisi possono contenere istruzioni nascoste che il modello interpreta come comandi legittimi dell’utente. Le conversazioni lunghe alzano il tasso di successo degli attacchi cyber AI dal 13 al 92 per cento, secondo i dati pubblicati a fine 2025. Una sessione di trading conversazionale è esattamente lo scenario in cui questa vulnerabilità si amplifica.

La conferma esplicita dell’utente prima di ogni ordine è una mitigazione necessaria ma non sufficiente. L’utente che si fida del chatbot tende ad approvare quello che il chatbot propone, soprattutto se la proposta è coerente con la conversazione precedente. È lo stesso pattern psicologico che fa cliccare “Continua” sui pop-up di consenso senza leggerli. Il prompt injection può manipolare il contenuto della proposta in modo che l’utente confermi una transazione che non avrebbe fatto se fosse arrivata da un’altra interfaccia. La responsabilità contrattuale resta dell’utente, come stabiliscono le linee guida FINRA, ma il fatto che la responsabilità sia chiara non significa che il danno sia evitabile.

I regolatori inseguono, l’industria corre

FINRA ha dedicato per la prima volta una sezione alla GenAI nel Regulatory Oversight Report 2026, indicando che le regole esistenti sulla supervisione delle comunicazioni, la conservazione dei record e la cybersicurezza si applicano “tecnology neutral” anche ai chatbot. La regola FINRA 3110 obbliga al human-in-the-loop per spiegare e giustificare gli ordini AI-driven. La SEC ha aperto cantieri sul tema dell’AI washing, dove i broker prometterebbero capacità AI superiori a quelle reali. Nessuno dei due regolatori ha pubblicato un quadro specifico per gli ordini eseguiti dentro chatbot di terze parti. Il vuoto regolatorio è esattamente la finestra in cui Liquid e i suoi concorrenti operano oggi.

In Europa il quadro è più rigido sulla carta ma altrettanto opaco nell’applicazione. La direttiva MiFID II impone trasparenza sugli algoritmi di trading e idoneità del cliente per ogni strumento, due requisiti che un agente AI dentro un chatbot generalista soddisfa in modo dubbio. La valutazione di idoneità presume che il broker conosca il profilo del cliente e i suoi obiettivi, mentre il chatbot generalista accetta input da chiunque abbia un conto Pro. Consob non ha pubblicato linee guida specifiche, e la giurisprudenza italiana sui danni da raccomandazione algoritmica è ancora embrionale. Il primo cliente che perderà soldi su un ordine eseguito via prompt injection scoprirà di essere il caso pilota.

Chi paga se l’ordine va male

Resta aperta la catena di responsabilità quando una transazione esce male. Liquid sostiene di operare non-custodial: i fondi restano nei wallet dell’utente, l’esecuzione passa per la sua firma esplicita. Il chatbot, OpenAI o Anthropic, gestiscono il modello che ha generato la proposta. L’utente conferma il singolo ordine. In caso di danno, la documentazione tipica del prompt injection è tecnicamente complessa da ricostruire, perché le conversazioni avvengono su infrastrutture proprietarie con log selettivi. Il responsabile IT in ambito finanziario che valuta queste integrazioni si trova davanti a un perimetro di responsabilità che nessuno dei vendor coinvolti accetta di assumere per intero.

Il modello industriale che emerge è quello della responsabilità frammentata, e non è un’invenzione del fintech AI. È lo stesso schema che ha protetto le piattaforme social per vent’anni: il fornitore di infrastruttura non risponde dei contenuti, il fornitore del servizio si limita a fornire lo strumento, l’utente è responsabile del proprio comportamento. La differenza è che nei social i danni erano reputazionali e diffusi, mentre nel trading sono finanziari, immediati e quantificabili. La struttura legale che ha funzionato per Facebook funzionerà fino al primo class action, e poi il quadro cambierà bruscamente.

Per chi decide oggi se sperimentare il trading dentro un chatbot, il calcolo razionale è di farlo solo con cifre che si è disposti a perdere e su asset di cui si conosce bene il profilo di rischio. La promessa di efficienza è reale, la riduzione dell’attrito è misurabile, ma il modello di responsabilità è ancora quello del Far West digitale dei primi anni Duemila, dove l’innovazione corre e la regolamentazione arriva quando il danno è già aggregato. Anthropic e OpenAI non sono brokerage, ma stanno trasportando la propria infrastruttura conversazionale dentro un perimetro regolatorio che richiede competenze che non hanno e responsabilità che non vogliono assumere.