Gli agenti AI trasformano la cybersecurity da sistema reattivo a infrastruttura autonoma e adattiva. In cambio, aziende e governi devono accettare nuovi rischi sistemici. Più cresce l’automazione, più diventano centrali governance, auditabilità e controllo operativo

All’inizio sembra semplicemente una chat più intelligente delle altre, una finestra di dialogo, una richiesta, una risposta automatica. Poi però accade qualcosa di diverso. Non risponde subito. “Pensa”. Anzi, agisce. Gli chiedi di organizzare un viaggio, analizzare un contratto, verificare una vulnerabilità informatica o prenotare una riunione. E l’agente AI non si limita a produrre parole. Apre strumenti, consulta database, naviga siti web, confronta informazioni, scrive codice, corregge errori, riprova da solo. Lo vedi muoversi come una specie di impiegato invisibile dentro il computer. Solo infinitamente più veloce.

La sensazione più straniante è che sembra avere un’intenzione. Non nel senso umano del termine, naturalmente. Ma osservandolo dall’esterno, si ha l’impressione di assistere a qualcosa che persegue un obiettivo. Divide il problema in sotto-problemi. Decide una sequenza di azioni. Valuta i risultati intermedi. Cambia strategia se qualcosa fallisce. Talvolta si autocorregge.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Un chatbot tradizionale è una macchina che risponde. Un agente AI è una macchina che opera. E mentre lo osservi lavorare, emerge una seconda sensazione, ancora più destabilizzante: non stai più interagendo con un singolo software, ma con un sistema capace di usare altri software. L’agente AI diventa una sorta di “direttore d’orchestra” digitale: apre applicazioni, interroga API, richiama modelli specializzati, coordina strumenti differenti come farebbe un analista umano davanti a più schermi. Non serve nemmeno impartire istruzioni dettagliate. Basta indicare l’obiettivo finale. Il resto viene delegato alla macchina.

Dal punto di vista tecnico, l’AI agentica identifica un’evoluzione architetturale dell’intelligenza artificiale in cui il modello non si limita a produrre output reattivi in risposta a un prompt, ma viene inserito in un ciclo decisionale chiuso capace di perseguire autonomamente un obiettivo attraverso pianificazione, esecuzione, osservazione dei risultati e adattamento iterativo. Non si tratta semplicemente di un modello linguistico più sofisticato, ma di una nuova architettura computazionale, capace non soltanto di generare linguaggio, ma di trasformarlo in azione organizzata. I tradizionali sistemi conversazionali basati su Large Language Models (LLM) ricevono un input, generano una risposta probabilisticamente plausibile e terminano il processo.

I sistemi agentici, invece, hanno la capacità di scomporre un obiettivo astratto in sotto-task, selezionare strumenti esterni, eseguire azioni su ambienti reali e correggere il proprio comportamento sulla base del feedback ottenuto. La novità non risiede soltanto nella qualità del modello linguistico ma nell’integrazione tra capacità cognitive differenti: reasoning, memoria persistente, pianificazione multi-step, accesso a tool esterni, retrieval dinamico di informazioni e cicli continui di feedback.

Quando l’agente apre un browser, scrive codice, consulta documenti, esegue verifiche, modifica il proprio piano dopo un errore o coordina altri agenti specializzati: non sta “imitando” un essere umano, sta implementando un processo di ottimizzazione orientato al raggiungimento di un obiettivo operativo all’interno di un ambiente digitale. Fino a ieri, il linguaggio era considerato principalmente uno strumento per rappresentare il mondo. Oggi, in rapporto all’AI, diventa l’interfaccia operativa universale. Una frase in linguaggio naturale può orchestrare catene di azioni software estremamente complesse. In questo modo, l’AI smette di essere un semplice strumento passivo di supporto cognitivo e inizia a comportarsi come un sistema semi-autonomo capace di intervenire direttamente in qualunque processo.

TRADE-OFF CYBER

Per estensione con il concetto di AI agentica applicata alla cybersecurity, non ci si riferisce a un semplice software di supporto analitico, ma a sistemi capaci di esercitare una forma di autonomia operativa all’interno dell’infrastruttura digitale. Il National Institute of Standards and Technology (NIST) statunitense descrive sostanzialmente gli agenti AI come sistemi in grado di pianificare e intraprendere azioni autonome che impattano sistemi o ambienti reali. In ambito cyber, questo significa superare il paradigma tradizionale del rilevamento passivo – basato su SIEM, motori di correlazione e analisi umana degli alert – per approdare a modelli di difesa adattiva nei quali l’intelligenza artificiale osserva, interpreta, decide e interviene.

Dal punto di vista tecnico, un agente combina capacità di reasoning basate su LLM, memoria contestuale, orchestrazione di workflow, accesso a strumenti esterni e meccanismi iterativi di feedback. In pratica raccoglie telemetria da endpoint, log e feed di threat intelligence; correla eventi apparentemente scollegati; formula ipotesi di compromissione; seleziona una risposta e può eseguirla direttamente, per esempio, isolando una macchina, revocando credenziali o generando nuove regole di detection.

La capacità di “agency” – intesa non come coscienza o intenzionalità ma come iniziativa operativa entro vincoli assegnati – si traduce nella possibilità di automatizzare intere pipeline decisionali. Un agente inserito in un Security Operations Center (SOC) può monitorare milioni di eventi, distinguere falsi positivi da anomalie rilevanti, correlare indicatori di compromissione distribuiti, isolare endpoint sospetti, aprire ticket e suggerire remediation in tempi incomparabilmente più brevi rispetto alla latenza cognitiva umana.

Operativamente, un agente AI “comprende” un obiettivo non come semplice comando sintattico, ma come stato da raggiungere. L’istruzione “riduci il rischio di phishing in azienda” non implica un’azione univoca: il sistema deve inferire una strategia, scomporla in sotto-problemi, identificare metriche di successo e costruire una sequenza di interventi. Una volta pianificata la strategia, l’agente interagisce con strumenti esterni – API, database, SIEM, piattaforme cloud, orchestratori SOAR attraverso meccanismi di function calling o tool invocation. La promessa è quella tipica delle grandi svolte tecnologiche: moltiplicare le capacità senza moltiplicare le persone. L’AI agentica sposta gli analisti junior da un mondo di help desk e ticket ripetitivi a un ambiente dove la macchina assorbe la parte più meccanica del lavoro.

Leggi anche:  Generazioni che dialogano, talenti che crescono. L’innovazione sostenibile di Italtel

Dal punto di vista operativo, l’agente AI agisce come un moltiplicatore delle capacità dell’analista SOC. Non è poco. Ma nemmeno neutro. Perché ogni volta che una tecnologia “colma un gap”, ridefinisce anche cosa significa essere competenti. Intanto per le aziende tutto questo rappresenta una risposta concreta alla carenza strutturale di competenze nel campo della cybersecurity. L’agente AI non sostituisce integralmente le competenze umane, ma interviene sul deficit operativo. Da tutto questo si capisce bene il potenziale enorme (la promessa industriale) dell’AI agentica che ha tutte le carte in regola per imporsi come una delle evoluzioni più radicali della sicurezza informatica contemporanea.

Ovviamente, anche i cattivi impiegano l’AI agentica. Non solo come strumento di generazione automatica di contenuti malevoli, ma come infrastruttura semi-autonoma capace di pianificare, orchestrare ed eseguire attacchi multi-step. A differenza della Generative AI impiegata per creare phishing, codice o social engineering, gli AI agenti possono interagire con API, browser, shell e ambienti cloud, per cercare vulnerabilità, automatizzare tentativi di intrusione, e in futuro muoversi lateralmente nelle reti aziendali.

Le ricerche più recenti evidenziano la crescita di attacchi basati su prompt injection, tool hijacking, memory poisoning e agentic command-and-control, tecniche in grado di alterare il comportamento operativo degli agenti AI, esfiltrare dati sensibili o attivare azioni non autorizzate. Alcuni lavori accademici parlano esplicitamente di “promptware”, cioè malware multi-stage costruiti attorno a workflow agentici e capacità di reasoning autonome. Esistono dimostrazioni sperimentali e proof-of-concept di prototipi di malware AI-powered capaci di generare codice dinamico per eludere rilevazioni euristiche, oltre a casi parzialmente documentati di utilizzo di agenti LLM per attività offensive automatizzate in ambienti reali. Il rischio strategico risiede nel livellamento verso il basso delle barriere d’ingresso.

In questo modo l’equilibrio, se mai è esistito, rischia di rompersi. Anzi, per qualcuno si è già rotto e la difesa è costretta a inseguire. Una tesi mainstream ampiamente diffusa, pur con una sfumatura importante: si tratta di un vantaggio solo attuale, legato alla velocità di adozione, all’asimmetria economica e ai vincoli difensivi. Nessuno dubita più che l’AI venga usata per attaccare. La domanda, semmai, è quanto velocemente possa essere usata per difendere. Perché la cybersecurity ha una caratteristica che la distingue: non può permettersi di arrivare seconda, senza aspettare standard maturi. Questo spiega la corsa all’adozione di questi sistemi: fattori strutturali, volumi informativi ingestibili per l’analisi umana, velocità crescente degli attacchi, scarsità cronica di competenze specialistiche. È questo il cuore del trade-off. Senza AI agentica, non si regge la scala operativa della minaccia contemporanea. Al tempo stesso, con l’AI agentica si accetta una riduzione inevitabile della trasparenza e della prevedibilità. La cybersecurity entra così in una nuova fase nella quale si sacrifica il controllo completo dei sistemi, per avventurarsi nel ginepraio della governance di agenti parzialmente autonomi, dove resilienza, auditabilità e limitazione dei privilegi diventano più importanti della pretesa – oggi irrealistica – di comprensione totale del loro funzionamento.

«Dobbiamo stare molto attenti a non fare automazione troppo spinta se non abbiamo la certezza di poterne controllare le conseguenze operative, soprattutto se queste possono comportare effetti irreversibili sul mondo reale» – mette in guardia Corrado Giustozzi, che fa parte del Consiglio direttivo di CLUSIT. «L’AI agentica è una grande opportunità, ma può rivelarsi anche un rischio laddove non si introducano adeguate salvaguardie in grado di prevenire derive pericolose, subordinandola a rigorosi processi di controllo per indirizzarne l’uso sicuro. Credo che sia opportuno impiegarla con un minimo di prudenza, almeno fino a che non avremo maturato più esperienza sul campo».

SICUREZZA AGENTICA

L’introduzione dell’AI agentica modifica in profondità il perimetro della sicurezza informatica, perché amplia l’area da proteggere ben oltre i tradizionali asset aziendali – infrastrutture, endpoint, reti e dati – fino a ricomprendere i modelli stessi, le pipeline di addestramento, i sistemi di orchestrazione degli agenti e, soprattutto, i processi decisionali automatizzati che questi sistemi governano.

Gli agenti autonomi scardinano un presupposto vecchio quanto la cybersecurity, ovvero la netta separazione tra componente decisionale ed esecutiva. Se nei sistemi tradizionali, l’analista umano validava il passaggio dall’alert all’azione, negli ambienti agentici questo filtro può essere automatizzato, aprendo la strada a nuovi vettori di attacco. Cresce inoltre il consenso sulla necessità di un auditing continuo, in grado di stabilire quali dati possano essere considerati affidabili, quali strumenti gli agenti AI siano autorizzati a utilizzare, entro quali limiti possano operare autonomamente e come prevenire manipolazioni attraverso input malevoli. Centrale anche il tema del controllo granulare delle autorizzazioni.

Leggi anche:  La geografia dell’AI e del rischio informatico: come la scarsità di talenti può diventare un rischio per le imprese

Sul piano tecnico significa confrontarsi con una nuova classe di vulnerabilità. «Gli attacchi non sono solo quelli cibernetici rivolti verso i server che ospitano i sistemi di AI, ma sono specialmente attacchi semantici che utilizzano come vettori di attacco gli stessi dati forniti come input ai sistemi, opportunamente modificati» – conferma Giustozzi di CLUSIT. «Per esempio è possibile alterare ad arte un segnale stradale per far sì che un’automobile a guida autonoma non lo riconosca o lo interpreti in modo errato; oppure, mediante ripetuti input anomali, è possibile “inquinare” più o meno permanentemente il database della conoscenza di un sistema di AI per far sì che fornisca risposte sistematicamente errate».

L’emergere dell’AI agentica in ambito cybersecurity segna il trasferimento di parte del processo decisionale da sistemi deterministici a sistemi probabilistici, adattivi e parzialmente autonomi. Nei software tradizionali, il comportamento è definito ex ante attraverso regole esplicite, workflow verificabili e logiche tracciabili. L’errore, quando si verifica, può essere ricondotto a una specifica istruzione o condizione. Gli agenti AI, al contrario, operano attraverso modelli statistici che inferiscono azioni a partire dal contesto, selezionando dinamicamente tra molteplici opzioni operative sulla base di pattern appresi, segnali ambientali e obiettivi assegnati. Questa differenza espone il sistema a classi di vulnerabilità che non sfruttano necessariamente difetti implementativi, bensì debolezze interpretative.

L’architettura stessa degli agenti AI spiega tanto la loro potenza quanto il loro rischio. Maggiore è il livello di autonomia concesso, maggiore è la possibilità che errori inferenziali, ambiguità contestuali o interazioni inattese producano effetti sistemici. Detto altrimenti, se l’errore in un chatbot resta confinato al dominio informativo, quello in un agente con privilegi operativi può cancellare dati, alterare configurazioni o amplificare decisioni errate su larga scala. La ricerca insiste sul concetto di “governable autonomy”, nella capacità di costruire sistemi, in cui autonomia, auditabilità e revocabilità restino rigorosamente bilanciate.

In questo senso, l’AI agentica rappresenta davvero un passaggio epocale. La trasformazione dell’AI da strumento consultivo a soggetto operativo è una transizione che modifica radicalmente il rapporto tra esseri umani, software e potere decisionale, imponendo una ridefinizione dei modelli di controllo che governano l’automazione. Secondo il NIST, opacità e difficoltà di spiegabilità rappresentano rischi strutturali dei sistemi AI avanzati, soprattutto se inseriti in contesti ad alta criticità operativa come sicurezza e difesa. Analoga preoccupazione emerge dall’analisi dell’European Union Agency for Cybersecurity, che segnala come l’autonomia decisionale degli agenti aumenti la superficie di rischio introducendo scenari in cui il controllo umano diventa prevalentemente ex post, ossia limitato alla revisione delle decisioni dopo la loro esecuzione.

«Nei modelli LLM è possibile formulare prompt che sfruttano vulnerabilità o ambiguità nei meccanismi di allineamento e sicurezza, tali da aggirare le salvaguardie implementate, inducendo il modello a generare comportamenti o risposte difformi rispetto alle intenzioni progettuali o ai vincoli di utilizzo previsti» – spiega Giustozzi di CLUSIT. «La situazione è inoltre aggravata dal fatto che l’opacità intrinseca dei modelli e la limitata interpretabilità dei loro processi inferenziali rendono difficile rilevare tempestivamente eventuali comportamenti anomali del sistema AI, nonché distinguere se tali deviazioni siano imputabili a errori non intenzionali, a limiti del modello o a possibili manipolazioni avverse».

OPACITÀ DELL’AUTONOMIA

Il problema, in realtà, si sviluppa su più piani e non riguarda solo la potenza degli agenti AI, quanto il rapporto sempre più fragile tra automazione, controllo umano e prevedibilità del sistema. Il primo nodo è quello dell’opacità decisionale. I modelli attuali sono in grado di correlare enormi quantità di segnali e produrre decisioni spesso corrette sul piano statistico, ma non necessariamente spiegabili in termini causali comprensibili agli operatori umani. Un aspetto particolarmente delicato quando si parla di cybersecurity. Perché se un sistema rileva una minaccia ma non è in grado di spiegare con chiarezza perché l’abbia classificata come tale, risulta difficile identificare le condizioni in cui il processo decisionale può degradare, generando falsi positivi o comportamenti inattesi.

A questo si aggiunge il tema dell’autonomia operativa. Gli agenti AI integrati nelle piattaforme XDR, NDR e SOAR non si limitano più a supportare attività di analisi. Possono intervenire direttamente sui sistemi, isolando endpoint, modificando policy di accesso, revocando credenziali o bloccando flussi di rete in tempo reale. In tal senso, è già disponibile documentazione tecnica che descrive una nuova generazione di agenti specializzati in threat hunting e investigation capaci di processare milioni di alert e comprimere sensibilmente i tempi di analisi. Il punto critico è che, man mano che aumenta la velocità di risposta, il controllo umano tende a spostarsi da preventivo a correttivo: l’operatore non decide più ogni singola azione prima dell’esecuzione, ma interviene successivamente per validare, correggere o limitare ciò che il sistema ha già fatto autonomamente.

Infine, emergono gli effetti sistemici più difficili da prevedere. Quando più agenti interagiscono all’interno di ecosistemi distribuiti – per esempio in architetture multi-agent dedicate a detection, correlazione, risposta e remediation – possono manifestarsi comportamenti con conseguenze impreviste su larga scala. Sono in corso ricerche per documentare proprio questo rischio, mostrando come interazioni tra memoria persistente, tool invocation, pianificazione autonoma e feedback loop possano generare dinamiche difficili da controllare o persino da ricostruire ex post.

Leggi anche:  Cybersecurity nella sanità: una priorità europea, ma in Italia c’è già chi agisce

Dire che questi sistemi sfuggono alla piena comprensione operativa significa riconoscere che non è più possibile modellare con precisione tutte le traiettorie decisionali né testare ogni combinazione di stato. A queste condizioni, però la sicurezza smette di essere garanzia di controllo totale e diventa gestione probabilistica del comportamento autonomo. Sul tema della accountability dell’AI, il rischio più insidioso, come evidenzia il recente framework dell’OCSE, è il consolidamento di una fiducia implicita. Poiché l’agente produce risultati rapidi e accurati, l’organizzazione tende progressivamente a delegare e a ridurre la supervisione, creando una sorta di accondiscendenza automatizzata.

Proteggere l’AI agentica significa garantire la capacità di limitare o interrompere l’azione dell’agente, l’auditabilità ovvero la ricostruzione verificabile delle decisioni prese dal sistema agentico e la possibilità di sospendere privilegi e autonomia in tempo reale. Regole che in estrema sintesi servono a stabilire che l’AI agentica può essere autonoma solo entro confini rigidamente governati. In questo senso, la sfida della cybersecurity consiste nel progettare architetture in cui l’autonomia sia tecnicamente subordinata a meccanismi di supervisione, segmentazione dei privilegi e fail-safe decisionali.

Nel momento in cui l’AI smette di suggerire e comincia a eseguire, la sicurezza non riguarda più soltanto ciò che il sistema osserva, ma ciò che può legittimamente decidere di fare. Da qui, l’adozione crescente di contromisure specifiche nei progetti di agentic security engineering: minimizzazione rigorosa dei privilegi; test preventivi in sandbox, ambienti isolati nei quali l’AI agentica può operare senza avere accesso libero a tutto il sistema; distinzione chiara tra informazioni da leggere e comandi da eseguire; registrazione in dettaglio di tutto ciò che fa l’agente; verifica continua di ogni azione importante svolta dall’agente AI.

Le evidenze documentate mostrano che compromissioni, hijacking e disruption operativa riconducibili ad agenti AI non sono più scenari ipotetici, ma rischi concreti. Non si tratta ancora di malware agentico diffuso, né di capacità offensive mature. Il fenomeno rimane in una fase embrionale e non rappresenta ancora una minaccia sistemica industrializzata. Tuttavia i pattern osservati indicano chiaramente la direzione evolutiva. Questi episodi sono interpretati come segnali di early warning”. «In questa fase occorre porsi qualche domanda e darsi qualche regola, prima che si finisca per fare danni concreti» – auspica Giustozzi di CLUSIT. «L’adozione di un sistema di gestione dell’AI conforme alla ISO/IEC 42001, per garantirne un uso trasparente, etico e responsabile, non costituisce la soluzione esaustiva, ma rappresenta il prerequisito minimo per un approccio credibile al problema».

NUOVO EQUILIBRIO

Per decenni la cybersecurity ha ragionato come un buon amministratore di condominio che controlla gli accessi, cambia le serrature, verifica chi entra e chi esce. L’AI agentica cambia completamente il paesaggio. Non si tratta più di distribuire chiavi a nuovi utenti. In futuro lavoreremo sempre di più fianco a fianco con collaboratori digitali – gli agenti AI – affidando loro compiti delicati e, in molti casi, consegnando badge che aprono porte molto sensibili. Per la prima volta, non siamo chiamati soltanto a difendere infrastrutture, ma a governare comportamenti autonomi. Non più soltanto macchine da proteggere, ma entità software che osservano, decidono, agiscono.

Così dopo anni passati a preoccuparci che le macchine diventassero troppo “intelligenti”, rischiamo di scoprire che il problema è la nostra eccessiva disinvoltura nel metterle al nostro servizio. Sistemi capaci di difenderci da minacce sempre più veloci e sofisticate, ma al tempo stesso sufficientemente autonomi da trasformarsi – se compromessi – in moltiplicatori di rischio. «Forse stiamo minimizzando il rischio di comportamenti erratici o non consoni, dando troppa fiducia e troppa autonomia operativa a questi sistemi, nella troppo ottimistica convinzione che non possano sbagliare o che comunque non siano in grado di provocare danni troppo gravi». La raccomandazione di Giustozzi di CLUSIT è un invito alla prudenza, specie in ambienti cyber-fisici.

È in questa cesura che la tecnologia deborda su un altro terreno. Non più soltanto la sicurezza, ma la governance di macchine e sistemi. Dobbiamo imparare a proteggere questi agenti con lo stesso rigore con cui proteggiamo utenti privilegiati, infrastrutture critiche e processi strategici. Forse la cybersecurity del futuro assomiglierà meno agli attuali conflitti sotterranei di rete e molto di più a una specie di “pedagogia” digitale, capace di insegnare alle macchine, soprattutto, cosa non devono fare. A condizione che la loro idea di efficienza non coincida con la nostra idea di disastro.

Inciampiamo, inevitabilmente, in una delle consuete torsioni dell’evoluzione tecnologica: ricorrere ad altre soluzioni più avanzate per gestire la complessità che essa stessa genera. È il paradosso perfetto del nostro tempo. Costruire macchine per difenderci da macchine, affidare agli algoritmi il compito di sorvegliare altri algoritmi, scommettendo nel frattempo sulle nostre capacità di scrivere abbastanza bene le regole del gioco.