Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
A cura di Giovanni Scudellari di Tinexta Cyber
Per alcuni anni la sicurezza dell’intelligenza artificiale in ambito aziendale è stata affrontata come un’estensione della sicurezza dei dati: proteggere i dataset, limitare l’accesso alle informazioni sensibili, controllare prompt e output. Questo approccio era coerente con una fase in cui l’AI, per quanto potente, rimaneva sostanzialmente passiva. Rispondeva a una richiesta, produceva un risultato, si fermava lì.
L’emergere dell’Agentic AI rompe definitivamente questo schema. Non si limita a generare contenuti o suggerimenti a fronte di un input, ma osserva un contesto, prende decisioni ed esegue azioni spesso in autonomia, imparando dai risultati.
Immagina un assistente che non aspetta il tuo comando “scrivi email”, ma vede che hai 10 ticket aperti, analizza priorità, redige risposte, le invia e aggiorna il CRM. Tutto da solo. È importante distinguere questo comportamento dall’architettura sottostante: Agentic AI e
sistemi multi-agent non sono sinonimi. Con multi-agent ci si riferisce alla presenza di più agenti che cooperano o interagiscono; un sistema può essere agentic anche con un singolo agente.
In definitiva l’Agentic AI:
In questo senso, diventa a tutti gli effetti un nuovo soggetto operativo, né umano né puramente deterministico. Il passaggio da ragionamento ad azione è critico: un errore non resta un output sbagliato, ma modifica dati/processi reali.
La protezione dei dati, in questo nuovo scenario, non può più essere considerata solo come una misura preventiva. Quando l’AI agisce, diventa essenziale poter osservare, governare e, se necessario, correggere le sue azioni.
I modelli tradizionali di protezione dei dati, DLP/IAM/backup, sono stati progettati per ambienti in cui le applicazioni sono deterministiche, gli utenti identificabili e le azioni relativamente prevedibili, nascono per rispondere a una domanda precisa: chi accede ai dati e in che modo.
I sistemi agentic operano spesso attraverso identità tecniche condivise, concatenano azioni su più sistemi e prendono decisioni che non sono facilmente riconducibili a una singola regola o a un singolo evento. Il risultato è una perdita di visibilità end-to-end sul comportamento reale del sistema.
Questo gap si amplifica ulteriormente quando gli agenti operano in modo continuo e distribuito, attraversando confini applicativi e organizzativi. Un’azione apparentemente legittima in un
sistema può generare effetti inattesi in un altro, senza che esista un punto centrale di osservazione o di controllo. In assenza di un livello di governo dedicato, l’azienda rischia di accorgersi dei problemi solo a valle, quando l’impatto è già visibile sui dati o sui processi.
L’Agentic AI mette quindi in crisi l’idea stessa di prevenzione assoluta. Errori di ragionamento, allucinazioni o compromissioni non possono essere eliminati del tutto, ma solo mitigati, anche perché sistemi autonomi possono eseguire decisioni e azioni in tempi estremamente ridotti. Per questo la protezione dei dati deve evolvere verso un modello che includa visibilità, controllo continuo e capacità di intervento rapido, adeguati alla velocità di esecuzione.
La diffusione dell’Agentic AI non avviene in un vuoto normativo o concettuale. Negli ultimi anni sono stati definiti framework e standard che mirano a guidare lo sviluppo e l’adozione responsabile dell’intelligenza artificiale in ambito aziendale. Tuttavia, questi riferimenti
nascono in gran parte prima della diffusione su larga scala di sistemi realmente autonomi e agentici.
Framework come il NIST AI Risk Management Framework forniscono una struttura utile per affrontare il rischio legato all’AI, ponendo l’accento su governance, valutazione del contesto, misurazione del rischio e gestione degli impatti. Allo stesso modo, standard come ISO/IEC
42001 introducono il concetto di AI Management System, spingendo le organizzazioni a trattare l’AI come un sistema da governare in modo continuo e dimostrabile, analogamente a quanto avviene per la sicurezza delle informazioni.
Questi approcci sono fondamentali, ma restano in larga parte framework di indirizzo.
L’introduzione di un control layer, che si colloca tra gli agenti e l’ambiente aziendale in cui operano, ha l’obiettivo di rendere osservabili, governabili e correggibili le loro azioni. In altre parole, serve a far funzionare l’AI tenendola sotto controllo quando è in funzione.
Questo livello introduce una distinzione fondamentale: da un lato c’è l’AI che decide e agisce, dall’altro un sistema che osserva il comportamento, applica regole di governance e mantiene la capacità di intervenire quando qualcosa devia dal previsto.
Il valore del control layer sta proprio nella sua indipendenza. Non dipende dalle intenzioni dell’agente, né dalla correttezza del suo ragionamento. Si concentra sugli effetti: quali azioni vengono eseguite, su quali dati, con quale impatto e in quale contesto temporale (usando traces per analisi).
In ambito enterprise, un control layer diventa quindi un elemento funzionale ed abilitante. Permette di introdurre l’Agentic AI nei processi critici senza dover accettare una perdita di controllo proporzionale al grado di autonomia.
Se l’Agentic AI introduce autonomia e complessità operativa, un control layer efficace deve
rispondere a queste caratteristiche con un modello altrettanto strutturato. In questo contesto, lo schema Monitor – Govern – Remediate rappresenta un approccio operativo già adottato in alcune soluzioni di mercato per il controllo delle azioni degli AI agent in ambienti aziendali.
Il primo elemento è il monitoraggio. Monitorare un AI agent non significa semplicemente registrare log tecnici, ma costruire una visibilità continua sulle sue attività: quali agenti sono
attivi, quali identità assumono, quali dati utilizzano, quali azioni eseguono e in quale sequenza. Senza questa osservabilità, l’autonomia degli agenti rimane opaca e il controllo si riduce a un’analisi spesso troppo tardiva degli effetti.
Il monitoraggio diventa quindi la base per qualsiasi forma di governance e responsabilità.
Il secondo elemento è la governance. Governare un AI agent significa definire e applicare regole sul suo comportamento, non solo sui suoi accessi. Questo include limiti su ciò che può
fare, su quando può agire, su quali operazioni richiedono supervisione umana e su quali condizioni devono essere rispettate prima di eseguire un’azione.
La governance dell’Agentic AI deve essere dinamica e contestuale, perché le decisioni degli agenti dipendono spesso da informazioni che cambiano nel tempo.
Il terzo elemento, spesso assente nei modelli tradizionali, è la remediation. Nell’Agentic AI l’errore non è inevitabile. Per questo il controllo non può fermarsi alla prevenzione o al blocco. È necessario poter intervenire dopo l’azione, correggere effetti indesiderati e ripristinare uno stato coerente e affidabile.
La remediation non riguarda solo il dato in sé, ma l’insieme delle conseguenze generate dall’azione autonoma dell’agente.
Considerati insieme, questi tre elementi spostano il focus della sicurezza da una logica puramente difensiva a una logica di resilienza operativa. L’obiettivo è di permetter all’Agentic AI di agire in modo controllato, sapendo che ogni azione è osservabile, governata e, se necessario, reversibile.
Il concetto di control layer per l’Agentic AI non nasce come una categoria di prodotto già consolidata. Al contrario, si colloca all’interno di un mercato ancora in formazione, che gli analisti descrivono come una convergenza tra sicurezza, governance e gestione del rischio applicate all’intelligenza artificiale.
Gartner inquadra questo spazio attraverso AI TRiSM (Trust, Risk & Security Management), evoluto in “Agentic AI Governance”. Non esiste ancora un Magic Quadrant dedicato, segno di un mercato in evoluzione.
Le piattaforme oggi presenti sul mercato tendono infatti a coprire solo porzioni del problema.
Alcune si concentrano sull’inventario dei sistemi AI e sulla governance documentale, altre sulla sicurezza dei modelli o sul controllo degli accessi, altre ancora sull’osservabilità e sull’analisi dei comportamenti. Raramente queste capacità sono integrate in un’unica visione orientata alle azioni autonome degli agenti.
Inoltre, le soluzioni oggi disponibili affrontano problemi reali, ma non esauriscono l’intero spettro di rischi introdotti da sistemi autonomi sempre più distribuiti e interconnessi.
Un primo limite riguarda gli agent esterni e i servizi AI SaaS. Molti AI agent operano al di fuori del perimetro diretto dell’organizzazione, utilizzando piattaforme cloud di terze parti o modelli gestiti da vendor esterni. In questi casi, la capacità di monitorare e controllare le azioni è parziale e dipende fortemente dal livello di integrazione e trasparenza offerto dal fornitore. Il
rischio è una governance asimmetrica, in cui alcune azioni restano opache.
Un secondo tema critico è rappresentato dalle catene multi-agent. Sempre più spesso, un agente non agisce da solo, ma collabora con altri agenti, ciascuno con ruoli e responsabilità diverse. In questi scenari, attribuire la responsabilità di un’azione o ricostruire la sequenza
causale diventa complesso. I modelli di controllo attuali faticano a rappresentare queste interazioni come un unico processo coerente.
Esiste poi una questione di confine tra controllo tecnico e governance organizzativa. Un control layer può monitorare e limitare azioni, ma non può sostituire decisioni strategiche su obiettivi, priorità e accettazione del rischio. Senza una chiara definizione di ruoli e responsabilità, il rischio è di affidare alla tecnologia problemi che restano, in ultima analisi, di natura organizzativa e culturale.
Infine, vi è il pericolo dell’over-confidence. La presenza di meccanismi di controllo e remediation può indurre una falsa sensazione di sicurezza, spingendo a delegare eccessivamente agli agenti attività critiche. La resilienza operativa non elimina il rischio, ma lo rende gestibile. Confondere questi due piani può portare a un uso improprio dell’Agentic AI, soprattutto in contesti ad alta criticità.
Il mercato è quindi destinato a evolvere rapidamente. Con l’aumento dell’adozione di Agentic AI in contesti produttivi, è plausibile che le organizzazioni inizino a richiedere soluzioni non solo in grado di “valutare” il rischio dell’AI, ma di gestirlo operativamente, soprattutto quando le azioni degli agenti hanno effetti diretti su dati critici e processi aziendali. I control layer per l’Agentic AI rappresentano oggi una risposta emergente a questa esigenza, e
probabilmente una delle direttrici principali lungo cui si strutturerà il mercato nei prossimi anni.
In conclusione: l’adozione dell’Agentic AI segna un passaggio strutturale nell’evoluzione dei sistemi informativi aziendali. Quando l’intelligenza artificiale smette di essere un semplice strumento di supporto e diventa un soggetto capace di agire, la questione della sicurezza non può più essere affrontata solo in termini di protezione dei dati o di affidabilità del modello.
Per questo, la protezione dell’Agentic AI non può essere ridotta a un esercizio di prevenzione assoluta. I framework di governance e gli standard emergenti forniscono una cornice indispensabile, ma mostrano i loro limiti quando non sono supportati da capacità operative concrete. Senza visibilità sulle azioni, senza meccanismi di governo dinamico e senza
possibilità di intervento a posteriori, la governance dell’AI rischia di restare un costrutto teorico.
L’emergere dei control layer per l’Agentic AI va letto proprio in questa chiave: non come una promessa di infallibilità, ma come un tentativo di rendere l’autonomia gestibile. Monitorare, governare e rimediare significa accettare che l’errore sia parte del sistema e progettare per ridurlo senza perdere il controllo.
