Gli agenti di intelligenza artificiale stanno entrando a pieno titolo nelle aziende, svolgendo in autonomia compiti sempre più delicati.
Ma a differenza dei dipendenti in carne e ossa, questi agenti non dormono, non si distraggono e soprattutto non dimenticano nulla: operano 24 ore su 24 a velocità vertiginosa, prendono decisioni e accedono a dati sensibili.
Un potenziale straordinario, ma anche un rischio crescente per la sicurezza informatica.
RSA Conference: la sicurezza degli agenti al centro del dibattito
Il settore della cybersecurity sta iniziando a trattare questi strumenti non più come semplici algoritmi, ma come veri e propri “utenti” con un’identità digitale che va protetta, autenticata, revocata in caso di pericolo.
In mancanza di questi presìdi, gli agenti IA potrebbero infatti causare violazioni di dati, esposizione di credenziali o perdite di controllo sull’infrastruttura aziendale.
Non è un caso che uno dei temi dominanti all’ultima RSA Conference di San Francisco sia stato proprio la protezione delle identità digitali degli agenti IA.
Aziende come 1Password, Okta e OwnID hanno presentato nuovi strumenti pensati per aiutare sviluppatori e responsabili IT a mettere in sicurezza questi sistemi autonomi, definendo policy di accesso, monitoraggio e revoca che ne regolino il comportamento.
Come ha spiegato David Bradbury, chief security officer di Okta, “non si può trattare questi agenti come identità umane e pensare che l’autenticazione a più fattori funzioni allo stesso modo, perché gli umani cliccano, digitano cose, inseriscono codici”.
Per Bradbury, serve un nuovo approccio, in cui alle IA venga assegnato un livello di fiducia simile a quello dei dipendenti umani, ma con strumenti pensati per un’interazione completamente automatizzata.
Identità non umane in crescita
Secondo Deloitte, il 25% delle aziende che utilizzano IA generativa lancerà già nel 2025 un progetto pilota basato su agenti autonomi. Entro il 2027, questa percentuale salirà al 50%. Si tratta di una crescita rapida che però rischia di precedere la messa in sicurezza delle infrastrutture in operano.
Il paradosso è che molte aziende hanno già esperienza nella gestione di “identità non umane”, come bot, file server o gateway VPN.
Ma gli agenti IA sono un’altra storia: non eseguono semplicemente comandi, li generano, li adattano, li razionalizzano. “Agiscono e ragionano, e proprio per questo bisogna capire cosa stanno facendo”, ha sottolineato Jeff Shiner, CEO di 1Password.
Kevin Bocek, vicepresidente di CyberArk, ha suggerito una soluzione tanto semplice quanto cruciale: un “interruttore d’emergenza” per disattivare immediatamente tutti gli agenti IA in caso di comportamenti anomali.
“Se un agente ha una brutta giornata – o se molte sue copie la hanno – allora posso dire: sapete cosa? Non sono più autorizzati”, ha spiegato Bocek ad Axios.
L’era in cui l’IA gestirà l’IA
E se un giorno gli agenti IA gestissero direttamente altri agenti IA?
Secondo Jason Clinton, CISO di Anthropic, non è uno scenario di fantascienza ma una prospettiva concreta da qui a pochi anni.
Intervenendo a un panel sulla sicurezza dell’intelligenza artificiale, Clinton ha lanciato un avvertimento alle aziende: preparate i vostri dipendenti più giovani alla gestione… non di persone ma di agenti virtuali.
La trasformazione organizzativa sarà profonda e repentina.
Per non farsi cogliere impreparati, le aziende devono includere fin da subito i team di sicurezza nei piani di adozione degli agenti IA.
Troppo spesso, ha ricordato Bocek, queste decisioni vengono prese “senza che i responsabili della sicurezza abbiano nemmeno un posto al tavolo”.
