Fino a un paio d'anni fa l'intelligenza artificiale in azienda era una conversazione: facevi una domanda, ricevevi una risposta. Nel 2026 è diventata un'azione. L'agente AI non si limita a rispondere: legge una mail, apre il gestionale, crea un ordine, manda una risposta al cliente, aggiorna un record nel CRM. Da solo, o quasi. È un salto di natura, non di grado — e cambia completamente il profilo di rischio.
Il problema è che l'adozione ha corso molto più veloce della governance. Secondo Forrester, circa il 75% dei leader enterprise ha già avviato progetti con agenti AI; ma — avverte la stessa ricerca — nella maggior parte dei casi ciò che viene chiamato "agente" è un chatbot con qualche tool collegato, e pochissimi sono usciti davvero dalla fase pilota in modo governato. La fotografia di McKinsey è coerente: circa il 31% delle organizzazioni ha almeno un agente in produzione, ma solo il 23% li ha portati a scala. In Italia, l'Osservatorio del Politecnico di Milano stima che un terzo delle grandi imprese (33%) stia già sperimentando soluzioni agentiche.
Mettendo insieme i numeri esce un quadro semplice: gli agenti sono entrati in produzione, ma in disordine. E il disordine, in sicurezza, ha un nome.
1. Agent sprawl: la proliferazione che nessuno governa
Agent sprawl è il termine con cui gli analisti descrivono la proliferazione incontrollata di agenti dentro un'organizzazione. Nasce in modo banale: un team collega un agente al ticketing, un altro ne mette uno sul CRM, marketing ne avvia uno per le campagne. Nessuno tiene un registro centrale. Dopo sei mesi, l'azienda ha decine di agenti attivi e nessuno con la lista completa in mano.
Si somma a un fenomeno già noto: la shadow AI, cioè gli strumenti AI introdotti dai dipendenti senza passare dall'IT. Con gli agenti il problema si moltiplica, perché un agente non solo legge dati: agisce sui sistemi. Più della metà delle aziende segnala di avere agent sprawl anche dopo aver adottato framework di gestione del rischio. Non è una questione di "se", ma di "quanto".
2. Identità non umane: il vero perimetro è cambiato
Ogni agente, per lavorare, ha un'identità: una chiave API, un account di servizio, un token. Sono le cosiddette identità non umane (NHI, non-human identities), e oggi superano largamente quelle umane. Le rilevazioni di settore parlano di rapporti dell'ordine di decine di identità macchina per ogni identità umana — CrowdStrike arriva a citare un rapporto fino a 85:1 negli ambienti enterprise.
Il problema non è il numero in sé, ma cosa possono fare. Una quota molto alta di queste identità ha accessi privilegiati o sensibili, perché l'agente "per comodità" viene creato con permessi larghi: così funziona subito, senza sbattere contro errori di autorizzazione. È la scorciatoia che si paga cara. Un agente con privilegi eccessivi è una porta spalancata: se viene dirottato — con un prompt injection, una credenziale rubata, un comportamento anomalo — agisce con tutto il potere che gli hai dato. E gli incidenti legati a queste identità sono in crescita rapida.
"Abbiamo trovato un account di servizio creato per una prova di sei mesi prima, ancora attivo, con permessi di scrittura sull'intero database clienti. Nessuno se lo ricordava. Lo usava un agente che nessuno stava più monitorando." — Responsabile sicurezza, retrospettiva su un assessment 2026.
3. Perché tante iniziative falliranno
Gartner prevede che entro la fine del 2027 oltre il 40% dei progetti di AI agentica verrà cancellato, per costi crescenti, valore di business poco chiaro e — soprattutto — controlli inadeguati. È una previsione che andrebbe letta al contrario: non "gli agenti non servono", ma "gli agenti senza governance non reggono". Le aziende che si fermano sono quelle che li hanno messi in produzione senza inventario, senza limiti, senza un modo per misurarne il valore e tenerli sotto controllo.
C'è anche la dimensione normativa. La nuova legge italiana 132/2025 richiede che l'uomo resti responsabile delle decisioni e che ci sia supervisione documentabile. Un agente che agisce in autonomia, senza traccia di chi lo controlla, è esattamente ciò che la legge ti chiede di non avere.
4. Come si governa un agente (senza spegnerlo)
La risposta non è vietare gli agenti — sarebbe rinunciare al loro valore reale. È trattarli come quello che sono: nuovi attori dentro il perimetro, con identità, permessi e comportamenti da gestire. Cinque mosse concrete.
- Inventario degli agenti. Un registro centrale: quali agenti esistono, cosa fanno, su quali sistemi agiscono, con quale identità, sotto la responsabilità di chi. È lo stesso registro che ti serve per la conformità. Senza, ogni altra misura è teorica.
- Privilegio minimo. Ogni agente deve avere i permessi strettamente necessari al suo compito, e non uno di più. Credenziali dedicate, scadenza breve, rotazione. Niente account di servizio "tuttofare".
- Audit trail di ogni azione. Ogni cosa che l'agente fa — quale dato ha letto, quale chiamata ha fatto, quale record ha modificato — va registrata in modo immutabile e conservata. Se non puoi ricostruire cosa ha fatto un agente la settimana scorsa, non hai controllo, hai fiducia cieca.
- Supervisione umana sui passi critici. Le azioni irreversibili o sensibili (pagamenti, comunicazioni esterne, modifiche di massa) richiedono un'approvazione umana. È il principio dell'antropocentrismo applicato all'operatività.
- Controllo di input e output. Un agente riceve istruzioni e produce azioni: entrambe vanno filtrate. Un filtro che intercetta prompt malevoli e blocca output fuori policy chiude la porta più sfruttata, il prompt injection.
Il nostro taglio: gli agenti si governano dove si controlla l'infrastruttura
Tutte e cinque queste mosse hanno un denominatore comune: presuppongono che tu possa vedere e fermare ciò che l'agente fa. Cosa quasi impossibile se l'agente vive dentro un servizio cloud esterno, con log opachi e permessi gestiti da un'API che non controlli.
È la ragione per cui abbiamo costruito i nostri prodotti pensando agli agenti come cittadini sorvegliati, non come scatole nere. Automata esegue processi agentici tenendo un registro di ogni decisione e di ogni passo, con i punti di approvazione umana dove servono. Vigil è il firewall AI che osserva input e output di sistemi e agenti e blocca in tempo reale ciò che viola una policy. E far girare tutto questo su infrastruttura che governi significa che le credenziali, i log e i permessi degli agenti sono cose tue, non concessioni di un fornitore.
Gli agenti AI sono probabilmente la cosa più utile che l'AI abbia portato in azienda dai tempi del primo assistente conversazionale. Ma utilità e rischio crescono insieme. La domanda che ogni imprenditore dovrebbe farsi nel 2026 non è "devo usare gli agenti?" — è già tardi per quella. È: "so esattamente quanti agenti ho, cosa possono toccare e come li fermo se sbagliano?". Se la risposta è no, il lavoro da fare inizia oggi, e inizia da un inventario.
