Verifiable compute: come l’AI on-chain dimostra i suoi calcoli
Gli agenti AI calcolano fuori dalla blockchain: come si prova che non hanno barato? Guida a zkML, TEE, opML e sicurezza crypto-economica, da EigenCloud a Boundless.
Gli agenti AI hanno imparato a firmare transazioni, gestire wallet e muovere capitali senza intervento umano. Quasi tutto il lavoro pesante, però, l’inferenza di un modello linguistico, l’addestramento di una rete, il calcolo di un prezzo, avviene fuori dalla blockchain, sulla GPU di qualcun altro. La domanda che vale miliardi è semplice: come faccio a sapere che quel server ha eseguito davvero il calcolo che dichiara, e non una scorciatoia più economica o un risultato manipolato ad arte? La risposta si chiama verifiable compute, e nel 2026 è passata dalla ricerca accademica ai primi prodotti su mainnet.
Che cos’è il verifiable compute
Con verifiable compute si intende un insieme di tecniche che permettono a chi esegue un calcolo di produrre, insieme al risultato, una prova che quel calcolo è avvenuto esattamente come dichiarato. Chi riceve il risultato non deve rifare i conti: gli basta controllare la prova, operazione molto più economica dell’esecuzione originale. Il modello di fiducia cambia in modo radicale. Invece di «fidati del server», si passa a «verifica la prova». Vitalik Buterin, nel saggio The promise and challenges of crypto + AI applications, colloca proprio in questa categoria le sinergie più solide tra le due tecnologie, distinguendo l’uso dell’AI dentro i meccanismi crypto dai casi in cui è la crittografia a rendere l’AI affidabile.
Attenzione a non confondere il verifiable compute con il semplice calcolo decentralizzato. Reti come Akash o Bittensor affittano potenza GPU distribuita, ma affittare capacità non equivale a dimostrarne l’onestà: un nodo pagato per un’inferenza può restituire un risultato plausibile senza aver mai eseguito il modello richiesto. È la differenza tra «qualcuno ha calcolato» e «posso provare che ha calcolato bene».
Perché la fiducia nel calcolo off-chain è un problema
Una blockchain è deterministica e costosa per definizione: ogni nodo riesegue ogni operazione per raggiungere il consenso. Far girare on-chain l’inferenza di un modello con miliardi di parametri è semplicemente impossibile, sia per costo sia per capacità. Ecco perché l’AI vive fuori catena. Il problema è che, spostando il calcolo all’esterno, si reintroduce l’incentivo a barare: usare hardware più economico del dovuto, servire una risposta salvata in cache, oppure alterare l’output per un tornaconto.
La posta in gioco cresce quando il risultato muove denaro. Un agente che gestisce una tesoreria DeFi, un oracolo che alimenta un prezzo, un prediction market che decide chi ha ragione: se l’output è sbagliato o manipolato, qualcuno perde fondi reali. C’è poi un ostacolo tecnico noto come paradosso del determinismo. L’inferenza di un LLM su GPU non è perfettamente riproducibile (aritmetica in virgola mobile, parallelismo, ottimizzazioni hardware), mentre le prove crittografiche classiche pretendono che lo stesso input produca sempre lo stesso identico output. Riconciliare le due cose è una delle sfide centrali del settore.
Le prove a conoscenza zero e lo zkML
Le prove a conoscenza zero (zero-knowledge proof, in sigla ZK) permettono di dimostrare che un’affermazione è vera senza rivelare i dati che la sostengono. Applicate al machine learning danno lo zkML: il produttore genera una prova crittografica del tipo «ho eseguito il modello M sull’input x e ho ottenuto y», e chiunque può verificarla in millisecondi. È la garanzia più forte in circolazione, perché è matematica e non richiede di fidarsi né dell’operatore né del produttore dell’hardware.
Il prezzo di tanta solidità è il costo. L’overhead di prova cresce in modo superlineare rispetto alla dimensione del modello, il che rende oggi lo zkML poco pratico per reti da miliardi di parametri. Il settore lavora su due fronti. Da un lato le zkVM, macchine virtuali che provano l’esecuzione di programmi generici: RISC Zero e la SP1 di Succinct compilano codice RISC-V e ne generano la prova. Dall’altro i marketplace di prove, che trasformano il proving in una commodity. Boundless, il mercato decentralizzato di RISC Zero attivo su mainnet da settembre 2025, ha già processato oltre 542 mila miliardi di cicli su circa 399.000 ordini, con i prover che competono in asta per generare le prove. Succinct gestisce una rete analoga, dove i prover mettono in staking il token PROVE e vengono penalizzati se mancano le scadenze.
TEE e confidential computing: la via dell’hardware
Un Trusted Execution Environment (TEE) è un’area protetta del processore che isola codice e dati dal resto del sistema, incluso chi gestisce fisicamente la macchina, e produce un’attestazione firmata dal chip a garanzia di ciò che ha eseguito. Intel TDX, AMD SEV e soprattutto il confidential computing delle GPU NVIDIA H100 hanno reso l’approccio praticabile per l’AI: la memoria viene isolata da un firewall hardware e l’overhead sull’inferenza resta sotto il 7%, quasi la velocità nativa.
Qui la fiducia non si sposta sulla matematica ma sul produttore del silicio. Phala Network ha costruito su questa base una rete di oltre 30.000 dispositivi TEE che combina Intel TDX e GPU TEE, con attestazione on-chain: a marzo 2026 processava più di un miliardo di token LLM al giorno su piattaforme come OpenRouter. Anche EigenCompute, il servizio di calcolo verificabile di EigenCloud, parte dai TEE. Il vantaggio è la velocità; il limite è che si deve confidare nell’integrità del chip e nell’assenza di attacchi side-channel, per cui la garanzia non è a fiducia zero.
L’approccio ottimistico: opML e prove di frode
Un terzo filone prende in prestito l’idea degli optimistic rollup. Con l’optimistic machine learning (opML) il risultato viene pubblicato subito e dato per buono, ma si apre una finestra di contestazione durante la quale chiunque può sfidarlo e forzare la riesecuzione: se il calcolo originale era sbagliato, una prova di frode lo smaschera e chi ha barato viene penalizzato. Il vantaggio è economico, perché nessuna prova pesante viene generata finché non arriva una contestazione. Il progetto Ora ha introdotto per primo l’opML, descritto in un paper del 2024.
Il compromesso è la latenza. La finestra di sfida ritarda la finalità e mal si concilia con l’interattività in tempo reale: un chatbot che deve attendere ore prima di considerare «definitiva» una risposta non è utilizzabile. Inoltre il modello regge solo se esiste almeno un osservatore onesto pronto a contestare, esattamente come negli optimistic rollup di Ethereum.
Sicurezza crypto-economica ed EigenCloud
La quarta strada rinuncia alla prova crittografica e punta sul capitale in gioco. Invece di dimostrare matematicamente il calcolo, lo si garantisce con denaro messo in staking che viene tagliato (slashing) se il risultato è scorretto. È il modello del restaking reso popolare da EigenLayer, oggi ridenominata EigenCloud. Operatori indipendenti gestiscono servizi verificabili (AVS), vincolano token EIGEN o ETH e li perdono in caso di comportamento disonesto.
La tesi del progetto, la cosiddetta verifiable cloud, è ambiziosa: diventare per il calcolo verificabile ciò che AWS è stato per il web. EigenCloud ha lanciato EigenAI per l’inferenza end-to-end ed EigenCompute per il calcolo generico, con una roadmap che parte dalla sicurezza crypto-economica e prevede di aggiungere prove ZK in un secondo momento. Va ricordato che qui la garanzia è economica, non crittografica: il sistema regge finché il costo per corrompere gli operatori resta superiore al profitto ottenibile. Il token EIGEN, secondo CoinGecko, vale circa 0,16 euro a inizio luglio 2026.
I quattro approcci a confronto
Nessuno dei quattro metodi domina gli altri su ogni fronte: ciascuno sceglie un punto diverso nel triangolo tra integrità del calcolo, latenza e costo, quello che la letteratura chiama ormai il «trilemma della verificabilità». La tabella riassume i termini principali.
| Approccio | Tipo di garanzia | Overhead | Fiducia richiesta | Progetti |
|---|---|---|---|---|
| zkML (prove ZK) | Crittografica, a fiducia zero | Molto alto, superlineare | Nessuna oltre la matematica | Boundless, Succinct, EZKL |
| TEE | Hardware, attestazione firmata | Basso (sotto il 7% su H100) | Produttore del chip | Phala, EigenCompute |
| opML (ottimistico) | Economica, prove di frode | Basso salvo contestazione | Almeno un osservatore onesto | Ora |
| Crypto-economico | Economica, stake e slashing | Basso | Costo di corruzione superiore al profitto | EigenCloud, AVS |
La tendenza del 2026 è ibridare. Diversi lavori di ricerca, tra cui una proposta di Optimistic TEE-Rollups, combinano l’attestazione hardware delle GPU per la finalità rapida, le prove di frode ottimistiche come rete di sicurezza economica e controlli ZK a campione per mitigare i rischi side-channel. L’idea è prendere il meglio di ogni scuola invece di scommettere su una sola.
Casi d’uso e limiti nell’AI-crypto
Gli scenari concreti sono già numerosi. Un agente autonomo che gestisce fondi vuole poter dimostrare, prima di firmare, che la decisione arriva dal modello concordato e non da uno manomesso. Gli oracoli verificabili portano dati e query di database on-chain con prova di correttezza. I prediction market usano il calcolo verificabile per risolvere gli esiti senza affidarsi a un arbitro fidato. E i marketplace di GPU decentralizzati (il cosiddetto DePIN) aggiungono uno strato di verifica per vendere non solo potenza, ma potenza dimostrabile.
I limiti restano seri. Come nota lo stesso Buterin, oggi l’utente è spesso costretto a scegliere tra calcolo economico ma non verificabile e calcolo verificabile ma caro. Lo zkML è ancora lento per i modelli grandi, i TEE dipendono dalla fiducia nel produttore e da possibili falle hardware, l’opML introduce ritardi. A questo si somma l’immaturità degli strumenti e la volatilità dei token del settore: PHA di Phala vale circa 0,031 euro secondo CoinGecko, mentre TAO di Bittensor viaggia intorno ai 200 euro, un divario che racconta quanto il mercato sia ancora in cerca di un prezzo per questa infrastruttura.
Inquadramento normativo: MiCA, Consob ed ESMA
Il verifiable compute è infrastruttura e in quanto tale non ha una disciplina dedicata, ma i token che lo pagano e i servizi che ci girano sopra rientrano nel perimetro europeo. Il periodo transitorio di MiCA si è chiuso definitivamente il 1 luglio 2026 (in Italia il termine per le domande era il 30 giugno). La vigilanza resta divisa tra due autorità: la Consob per l’autorizzazione e la condotta di mercato, la Banca d’Italia per custodia, regolamento e profili prudenziali, secondo l’impianto del D.lgs. 129/2024.
La classificazione dei token del settore non è scontata. Il 3 giugno 2025 la Consob ha recepito le linee guida ESMA sulla qualificazione dei crypto-asset, improntate alla sostanza sulla forma: un token come EIGEN o PHA va valutato per la sua funzione economica, e potrebbe ricadere sotto MiCA come crypto-asset oppure sotto la MiFID II se si comporta da strumento finanziario. Sul fronte AI, l’ESMA ha già chiarito che l’uso dell’intelligenza artificiale nei servizi di investimento non sospende gli obblighi di governance e responsabilità previsti dalla MiFID II. Intanto il sistema si struttura: Banca Sella è diventata il 27 maggio 2026 la prima banca italiana autorizzata a offrire servizi su crypto-asset.
Per chi segue il tema, i prossimi mesi diranno se l’approccio ibrido diventa lo standard e se i costi di proving scendono abbastanza da rendere lo zkML utilizzabile su modelli di grandi dimensioni. Le metriche da tenere d’occhio sono concrete: cicli processati dai marketplace di prove, dispositivi TEE attivi, valore messo in staking sugli AVS. È lì che si misura se il verifiable compute mantiene la promessa di rendere l’AI on-chain qualcosa di cui ci si può davvero fidare.
Lorenzo Bianchi, redazione AI-crypto di HOGE Wire.