Intelligenza Artificiale Tutto su AI e machine learning
Quando sei organizzazioni di cybersecurity di cinque paesi alleati pubblicano un documento congiunto con lo stesso oggetto, significa che il problema è arrivato al livello di priorità massima. È esattamente quello che è successo il 1° maggio 2026, quando CISA (l’agenzia statunitense per la cybersecurity), la NSA, il Canadian Centre for Cyber Security, l’Australian Cyber Security Centre, il New Zealand NCSC e il UK National Cyber Security Centre hanno rilasciato “Careful Adoption of Agentic AI Services”, le prime linee guida internazionali coordinate sull’adozione sicura degli agenti AI. Non è un documento teorico: è una risposta concreta a rischi concreti che stanno emergendo nelle infrastrutture di organizzazioni reali.
Perché il documento dei Five Eyes è diverso dai soliti avvisi di sicurezza
Il coordinamento tra i cinque paesi dell’alleanza Five Eyes su un singolo argomento tecnico è raro. In passato è successo per minacce specifiche come ransomware o attacchi di stato-nazione. Che avvenga ora per gli agenti AI, ovvero sistemi di intelligenza artificiale capaci di pianificare e eseguire azioni autonomamente su reti, applicazioni e infrastrutture reali, segnala un cambio di fase importante. Non siamo più nel territorio delle preoccupazioni ipotetiche: secondo i dati citati nel documento, uno su otto incidenti di sicurezza nelle aziende enterprise coinvolge oggi agenti AI, con un aumento del 340% rispetto all’anno precedente.
Il documento, di 30 pagine, non si limita a elencare rischi. Propone un framework operativo con raccomandazioni concrete per chi sviluppa, implementa o utilizza agenti AI in contesti professionali. Se nella tua organizzazione stai considerando di automatizzare processi aziendali con strumenti AI, o se già utilizzi assistenti AI con accesso a sistemi interni, questo documento ti riguarda direttamente. Puoi trovare la versione integrale sul sito ufficiale di CISA all’indirizzo cisa.gov.
Le cinque categorie di rischio identificate
Il cuore analitico del documento è la tassonomia dei rischi. Le agenzie identificano cinque categorie principali, ognuna con caratteristiche proprie e raccomandazioni specifiche.
La prima è l’escalation dei privilegi. Un agente AI che parte con permessi limitati può, nel corso di un’operazione complessa, richiedere o acquisire accessi più ampi per portare a termine il suo compito. In assenza di controlli granulari, questo processo può sfuggire di mano: l’agente ottiene permessi che non dovrebbe avere, e l’infrastruttura si trova esposta. La soluzione raccomandata è il principio del privilegio minimo applicato in modo dinamico, con credenziali a scadenza breve e revoca automatica al termine del task.
La seconda categoria riguarda i fallimenti di design e configurazione. Molti agenti AI vengono implementati senza un’architettura di sicurezza pensata fin dall’inizio. Si parte da prototipi veloci che diventano sistemi in produzione senza una revisione adeguata. Il risultato è agenti over-permissioned, con il 78% dei sistemi compromessi nelle analisi citate nel documento classificati esattamente in questa categoria.
Il terzo rischio è il disallineamento comportamentale. Un agente può comportarsi in modo imprevisto quando incontra situazioni per cui non è stato addestrato o quando riceve istruzioni ambigue. Questo è particolarmente critico negli agenti che operano su infrastrutture critiche o che gestiscono dati sensibili. Le agenzie raccomandano test approfonditi su scenari limite prima di qualsiasi deployment in produzione.
La quarta categoria è la fragilità strutturale. I sistemi agentici complessi, specialmente quelli che orchestrano più sotto-agenti in parallelo, tendono a fallire in modo non prevedibile quando anche solo un componente ha problemi. Il documento raccomanda architetture con ridondanza e meccanismi di fallback espliciti.
Infine, i gap di accountability. Quando un agente AI esegue una sequenza di azioni, chi è responsabile del risultato? Le agenzie sottolineano la necessità di logging completo e verificabile di ogni azione eseguita da un agente, con trail di audit che permettano di ricostruire esattamente cosa è successo e quando. Se ti interessa capire come funzionano questi sistemi in modo più approfondito, ti consiglio la nostra guida completa agli agenti AI.
Cosa raccomandano concretamente le agenzie
Le raccomandazioni operative del documento sono organizzate lungo l’intero ciclo di vita degli agenti AI, dalla progettazione al deployment fino al monitoraggio continuo.
Sul fronte dell’identità e dell’autenticazione, ogni agente deve avere una identità verificata e crittograficamente sicura. Le comunicazioni tra agenti e tra agenti e servizi esterni devono essere cifrate. Le credenziali devono avere scadenza breve e non devono mai essere condivise tra agenti diversi. Questo può sembrare ovvio, ma nella pratica molti sistemi agentici attuali funzionano con API key statiche e permessi ampi, esattamente l’opposto di quanto raccomandato.
Sul fronte architetturale, le agenzie spingono per l’adozione di un modello zero trust applicato specificamente agli agenti: nessun agente deve essere considerato affidabile per default, ogni azione deve essere verificata e autorizzata in base al contesto. Questo si integra con il principio di defense-in-depth: più livelli di controllo sovrapposti, in modo che il fallimento di uno non comprometta l’intero sistema.
Un aspetto particolarmente interessante riguarda la supervisione umana. Il documento non raccomanda di limitare l’autonomia degli agenti in modo generico, ma di definire con precisione per ogni sistema quali decisioni possono essere prese autonomamente e quali richiedono approvazione umana. La soglia deve essere proporzionale alla reversibilità dell’azione: un agente che modifica configurazioni di rete in produzione deve avere soglie di intervento umano molto più basse rispetto a uno che genera report interni.
Il contesto: incidenti reali stanno già accadendo
Una delle parti più significative del documento è il riferimento a incidenti concreti. Il rapporto Dragos dell’aprile 2026 viene citato come esempio del primo attacco confermato ai sistemi di controllo industriale facilitato da un agente AI autonomo, avvenuto contro un impianto idrico municipale in Messico. L’agente era stato usato dall’attaccante per navigare autonomamente le barriere di segmentazione tra sistemi SCADA, trovando percorsi di accesso che una ricognizione manuale avrebbe faticato a identificare in tempi brevi.
Questo caso illustra un rischio che spesso viene sottovalutato: gli agenti AI non sono solo strumenti che le aziende usano internamente, ma possono essere usati anche dagli attaccanti per automatizzare e accelerare le fasi di ricognizione e sfruttamento delle vulnerabilità. La stessa tecnologia che rende un agente utile per automatizzare processi aziendali può essere usata per esplorare reti in modo sistematico e veloce.
Il contesto italiano non è immune da questo trend. Capire come funziona l’intelligenza artificiale e quali rischi porta con sé non è più un esercizio accademico: è una competenza di base per chiunque gestisca sistemi informatici in organizzazioni di qualsiasi dimensione.
Implicazioni per le aziende e i professionisti IT
Se sei un responsabile IT, un professionista della cybersecurity o semplicemente qualcuno che sta valutando l’adozione di strumenti AI aziendali, questo documento offre un framework pratico su cui basare le tue scelte. Le raccomandazioni non sono pensate solo per le grandi organizzazioni: molte si applicano anche a realtà più piccole che stanno iniziando a integrare agenti AI nei loro flussi di lavoro.
Il punto di partenza suggerito è un inventario delle capacità degli agenti che già usi o che stai valutando: cosa può fare ciascuno, a quali sistemi ha accesso, quali credenziali utilizza, e chi è responsabile di monitorarne il comportamento. Da lì si può costruire un piano di riduzione del rischio che segua i principi del documento senza necessariamente stravolgere l’architettura esistente.
Il documento raccomanda anche di trattare gli agenti AI come qualsiasi altro componente critico dell’infrastruttura IT: soggetti a patch management, a revisioni periodiche dei permessi, a test di sicurezza e a piani di risposta agli incidenti specifici. Questo cambiamento di prospettiva, dall’agente AI come strumento magico all’agente AI come componente di sistema governato, è forse il messaggio più importante dell’intero documento.
Conclusioni
Le prime linee guida internazionali sull’adozione sicura degli agenti AI sono un segnale chiaro: la tecnologia è matura abbastanza da essere pericolosa se mal gestita, e abbastanza diffusa da richiedere attenzione regolatoria coordinata a livello internazionale. I Five Eyes non pubblicano documenti congiunti per situazioni ipotetiche. Se lo hanno fatto per gli agenti AI, è perché i rischi sono già concreti e i casi di sfruttamento già documentati.
La buona notizia è che le stesse aziende che sviluppano i modelli più avanzati, come Anthropic con Claude, stanno investendo in meccanismi di trasparenza e controllo. La cattiva notizia è che adottare questi strumenti in modo responsabile richiede uno sforzo consapevole da parte delle organizzazioni, non si ottiene automaticamente scegliendo il modello più avanzato. Il documento dei Five Eyes è un buon punto di partenza per affrontare questa sfida in modo strutturato.
