Con l’agentic AI che si sta facendo rapidamente spazio nelle aziende, i team di sicurezza stanno affrontando qualcosa di già vissuto.
Solo pochi anni fa, sono stati colti di sorpresa dalla rapida diffusione dei bot di Robotic Process Automation (RPA), trovandosi inizialmente incapaci di autenticarli e monitorarli correttamente. Da un lato il business procedeva a passo spedito con le implementazioni, dall’altro i team di sicurezza faticavano a mantenerne visibilità e controllo.
Indice degli argomenti
RPA ieri, agenti AI oggi: perché l’identità è il nodo
Se osserviamo le implementazioni RPA odierne, praticamente tutti i bot utilizzano credenziali condivise o sono configurati per impersonare dipendenti specifici al fine di operare per loro conto.
Questo approccio crea un grave problema di sicurezza per numerose ragioni. Quando più bot condividono la stessa identità, diventa quasi impossibile attribuire azioni o contenere violazioni. Inoltre, la creazione di credenziali duplicate offre ai cybercriminali che trattano quelle rubate ulteriori opportunità di ottenere accesso a sistemi aziendali sensibili.
Accelerazione dell’adozione e rischio di ripetere gli stessi errori
Dal costante confronto con security architect e analisti, percepisco una preoccupazione costante: con gli agenti AI stiamo per assistere allo stesso schema – ma più velocemente e con conseguenze potenzialmente peggiori. La spinta aziendale per l’implementazione dell’AI è ancora più forte di quella per l’RPA, e molti team di sicurezza non sono ancora preparati.
La differenza fondamentale è che gli agenti AI non sono semplicemente bot deterministici, ma possiedono una certa autonomia. Prendono decisioni, possono accedere a dati sensibili ed eseguire transazioni con una supervisione umana minima. In sostanza, rappresentano un vero e proprio terzo tipo di identità, accanto a individui e macchine tradizionali, e per questo richiedono un proprio framework di identità.
Una terza categoria di identità: agenti autonomi tra umano e macchina
Gli agenti stanno già dimostrando come identità macchina e umane si fondono e debbano essere protette. Sono carichi di lavoro che possono scalare su richiesta, comunicare e lavorare alla velocità della macchina utilizzando protocolli come MCP (Model Context Protocol), ed essere riutilizzati immediatamente dopo aver completato il lavoro. Saranno delegati dalla forza lavoro per svolgere compiti e intraprendere azioni autonome: così facendo, potrebbero aver bisogno di agire utilizzando una o più identità della forza lavoro o dei partner, e includeranno sia identità di macchina che umane. Questo è il motivo per cui ogni agente richiederà un’identità di carico di lavoro unica e universale e svolgerà azioni delegate.
Perché servono identità uniche, kill switch e standard aperti
A differenza dei bot di RPA, gli agenti AI non interagiranno solo con le applicazioni ma, anche con altri agenti AI. Ognuno di essi necessita di autenticazione, autorizzazione e supervisione adeguate durante il proprio intero ciclo di vita – che si tratti di minuti o anni. Senza un’architettura di sicurezza e di identità adeguata, non possiamo implementare controlli essenziali – inclusi i “kill switch” per gli agenti AI, possibili solo con un’identità forte e unica.
MCP non è sicuro by default: integrare con SPIFFE e secret management
Il Model Context Protocol, protocollo emergente introdotto alla fine del 2024, fornisce un framework standard per le comunicazioni degli agenti che offre una base su cui costruire reti e comunicazioni tra loro, ma non è sicuro per impostazione predefinita. Le aziende devono sviluppare approcci di protezione completi per gli agenti AI, proprio come hanno fatto per le tecnologie dedicate alla forza lavoro e i sistemi rivolti ai clienti. E alla base della cybersecurity c’è la protezione delle identità.
Standard di sicurezza emergenti come SPIFFE (Secure Production Identity Framework for Everyone), che si sono dimostrati efficaci per le identità dei carichi di lavoro, possono essere adattati agli agenti AI per stabilire protocolli di autenticazione e autorizzazione adeguati. Questo può fornire un’identità universale da utilizzare in ambienti, applicazioni e cloud, includendo, se necessario, metodi di autenticazione odierni come chiavi API e token di accesso protetti da un gestore di secret. Con questi standard in atto, ogni agente può operare con controlli di accesso appropriati, prevenendo la condivisione di credenziali e i problemi di impersonificazione che hanno afflitto le implementazioni RPA.
I cinque controlli essenziali per agenti autonomi
All’interno di questo framework, dovrebbero essere implementati cinque controlli essenziali:
• Discovery e contesto per fornire osservabilità degli agenti noti e shadow nelle applicazioni SaaS, di quelli personalizzati e non e dell’infrastruttura agentic.
• Controllo dei privilegi: gestione sicura degli accessi, applicazione del minimo privilegio e gestione delle credenziali, come secret e certificati, per gli agenti con accesso privilegiato.
• Controllo dei privilegi: threat detection and response per il monitoraggio comportamentale in tempo reale al fine di rilevare le derive e prevenire gli abusi.
• Gestione automatizzata del ciclo di vita per contribuire a rimuovere gli accessi obsoleti o eccessivi, con onboarding e offboarding sicuri dell’intera gamma di agenti, in base alle necessità.
• Governance per garantire che gli agenti AI operino in conformità con i requisiti aziendali e normativi.
Coinvolgere i security architect fin dall’inizio
Inoltre, i security architect devono partecipare da subito alle iniziative sugli agenti AI, proprio come fanno per i progetti di infrastrutture critiche, per garantire che saranno protetti, al riparo da compromissioni, e controllati regolarmente se diventano non sicuri. Troppo spesso, i team di sicurezza vengono coinvolti solo dopo che le decisioni di progettazione sono state prese. Affrontare questi temi prima dell’implementazione determina se gli agenti AI diventeranno risorse aziendali affidabili o rischi ingestibili.
Regolazione, certificazioni e impatti fiscali futuri
Normative specifiche sugli agenti AI sono ancora in fase di definizione, ma l’AI Act dell’Unione Europea fornisce una prima guida con il suo approccio ai sistemi di AI basato sul rischio. Poiché gli agenti AI svolgono sempre più attività tradizionalmente realizzate da professionisti certificati, dovremmo aspettarci lo sviluppo di regimi di certificazione e test. In prospettiva, potremmo addirittura arrivare a una tassazione del lavoro di AI.
Estendere i framework di conformità agli agenti
Framework di conformità come Sarbanes-Oxley si estenderanno inevitabilmente agli agenti AI che accedono a dati finanziari sensibili o apportano modifiche significative ai sistemi. Senza controlli di sicurezza e monitoraggio adeguati, la verifica sarà impossibile.
Dati, gap di controllo e priorità operative
Il divario tra adozione dell’AI e implementazioni di sicurezza è già allarmante. Secondo il recente report di CyberArk “2025 Identity Security Landscape”, per l’82% delle organizzazioni i modelli AI creano rischi informatici a causa del loro accesso a dati sensibili, eppure il 68% non ha controlli di sicurezza in atto per l’AI e i modelli linguistici di grandi dimensioni. Non solo: quasi la metà (47%) non è in grado di proteggere l’utilizzo di “shadow AI” nel proprio ambiente.
A differenza di quanto avvenuto con la RPA, oggi abbiamo l’opportunità di affrontare la sicurezza degli agenti AI in modo proattivo, anziché reattivo. La domanda non è se gli agenti AI prolifereranno all’interno di un’azienda – ma quando – e come ci si può preparare a quando succederà.
