Gli agenti AI hanno lasciato il segno in molte organizzazioni italiane nel 2025. Una ricerca, condotta dai Rubrik Zero Labs su 1.625 responsabili della sicurezza IT in aziende con 500 o più dipendenti, mostra che il 94% delle organizzazioni italiane ha già integrato completamente o parzialmente gli agenti AI nella propria infrastruttura di identità; una percentuale superiore alla media EMEA (89%).
Questi agenti AI operano con un’autonomia crescente e acquisiscono un’influenza sempre più diretta sui processi fondamentali per il business, introducendo nuovi rischi per i CISO, infatti, un agente AI che prende decisioni autonome, può mettere a repentaglio dati, sistemi o business continuity.
Secondo Gartner, il 40% dei progetti di agenti AI verrà ritirato entro la fine del 2027 a causa di rischi troppo elevati o costi fuori controllo. Proprio perché agli agenti AI vengono concessi privilegi sempre più autonomi, è fondamentale garantire che sicurezza informatica e controlli siano implementati prima della loro distribuzione. E allora come rendere la propria strategia AI a prova di futuro? Filip Verloy, CTO EMEA & APJ Rx di Rubrik, azienda di cybersecurity e AI, condivide cinque raccomandazioni.
- Costruire sistemi AI basati su sicurezza e recuperabilità
Assicurarsi che sicurezza informatica e affidabilità siano integrate fin dall’inizio, seguendo il principio ‘Secure by Design’. Questo significa non correggere i problemi dopo che si sono verificati, ma garantire che tutto sia spiegabile e reversibile fin dal primo giorno. La resilienza deve essere un elemento centrale dell’approccio, non qualcosa da aggiungere in un secondo momento.
- Preparazione al ripristino
Inevitabilmente gli agenti AI commetteranno errori, bisogna pertanto essere pronti ad affrontarli. Quando questo avviene, è necessario sapere con precisione cosa è accaduto ed essere in grado di ripristinare rapidamente la situazione. Conservare solo i file di log non è sufficiente. Servono capacità efficaci di recupero dei dati per tornare al momento precedente all’errore e salvaguardare la continuità aziendale.
- Costruire per la tolleranza ai guasti multipli
Gli agenti AI spesso lavorano di concerto e gli errori possono propagarsi rapidamente. È fondamentale quindi progettare i sistemi in modo che un singolo errore non causi immediatamente interruzioni operative diffuse, isolare le azioni degli agenti dove possibile ed evitare che un piccolo sbaglio si trasformi in un problema grave.
- Classificare i permessi degli agenti come accesso privilegiato
Gli agenti AI non si fermano quando qualcosa va storto; possono compiere azioni incontrollate a velocità sovrumana. Incidenti recenti dimostrano che gli errori degli agenti AI possono avere conseguenze diverse: da malfunzionamenti tecnici e problemi legali fino all’eliminazione accidentale di interi database di produzione. Concedere quindi agli agenti solo l’accesso di cui hanno realmente bisogno, esattamente come si farebbe con i dipendenti. Un controllo degli accessi rigoroso è essenziale, soprattutto quando gli agenti interagiscono con dati dei clienti o processi aziendali mission-critical.
- Garantire piena visibilità e controllo
In Rubrik, attraverso conversazioni con i clienti, abbiamo rilevato che meno del 10% delle aziende dispone di capacità di analisi forense AI. Assicurarsi di poter osservare e verificare l’intero processo, dal prompt iniziale al risultato finale. In questo modo, è sempre possibile tracciare ciò che è accaduto e intervenire o invertire le azioni quando necessario. Implementare una robusta osservabilità e tracciabilità dei dati che vada oltre i log tradizionali, consentendo una vera reversibilità.
“Gli agenti AI falliscono in modi che non abbiamo mai visto prima, richiedendo un approccio completamente nuovo alla sicurezza informatica. Sono sistemi autonomi e dinamici: solo stabilendo proattivamente dei limiti, monitorando continuamente il loro comportamento e promuovendo la collaborazione tra discipline, le organizzazioni potranno sfruttare il potere degli agenti AI in modo sicuro ed efficace. Le aziende che sopravvivranno all’era degli agenti saranno quelle che abbracceranno l’innovazione e saranno preparate agli errori. È il momento di costruire resilienza, prima che gli agenti AI vadano nel panico e prendano decisioni sbagliate”, afferma Verloy.
