Agenti autonomi, rischi sistemici: la nuova frontiera della cybersicurezza in Italia
Negli ultimi anni l’Italia ha rafforzato in modo significativo il proprio assetto di cybersicurezza, allineandolo al quadro normativo europeo e dotandosi di una strategia nazionale e di un’Autorità dedicata. Nonostante ciò, i dati dell’Agenzia per la Cybersicurezza Nazionale evidenziano un sistema Paese ancora esposto, in cui gli incidenti cyber sfruttano prevalentemente fragilità organizzative, tecnologiche e di governance. In questo contesto, l’adozione crescente di sistemi di Agentic AI – agenti software capaci di prendere decisioni ed eseguire azioni in autonomia – introduce una nuova dimensione di rischio.
A differenza dell’automazione tradizionale, gli agenti autonomi operano su obiettivi e deleghe, interagendo direttamente con sistemi e infrastrutture critiche. Nel contesto italiano, caratterizzato da infrastrutture eterogenee e legacy, responsabilità frammentate e forte interdipendenza tra pubblico e privato, tali sistemi possono trasformare vulnerabilità logiche preesistenti in effetti sistemici. I rischi emergono con particolare evidenza nella pubblica amministrazione locale, nel settore sanitario e nel tessuto delle PMI manifatturiere, dove l’assenza di controlli granulari, la dipendenza da dati esterni non verificati e la scarsa separazione tra decisione e azione amplificano l’impatto di errori o manipolazioni.
Questo articolo evidenzia come la minaccia non risieda nella singola decisione automatizzata, ma nella capacità degli agenti autonomi di propagare comportamenti errati a velocità macchina lungo processi e filiere interconnesse. In coerenza con l’approccio risk-based della direttiva NIS2, l’Agentic AI deve quindi essere trattata anche come un fattore di rischio sistemico, richiedendo nuovi modelli di governance, responsabilità e controllo integrati nelle strategie nazionali di cybersicurezza e resilienza digitale.
Contesto nazionale e introduzione dell’Agentic AI
Negli ultimi anni l’Italia ha rafforzato in modo significativo il proprio assetto di cybersicurezza, dotandosi di una strategia nazionale, di un’Autorità dedicata come l’Agenzia per la Cybersicurezza Nazionale (ACN), e di un quadro normativo sempre più allineato alle direttive europee. Allo stesso tempo, le analisi e i dati pubblicati dall’ACN mostrano con continuità un sistema Paese ancora esposto: gli incidenti cyber crescono in numero e impatto, colpiscono pubbliche amministrazioni, sanità, enti locali e imprese, e sfruttano spesso debolezze organizzative, frammentazione tecnologica e carenza di competenze degli operatori prima ancora che vulnerabilità puramente tecniche.
L’Operational Summary di ACN relativo al primo semestre del 2025 registra infatti per l’Italia 1.549 eventi cyber, con un incremento del 53% rispetto al primo semestre del 2024. Tra questi, si contano 346 incidenti con impatto confermato, un dato quasi raddoppiato (+98%) rispetto all’anno precedente. In questo scenario, il fattore umano continua a rappresentare uno dei principali vettori di rischio.
È anche per rispondere a queste fragilità che molte organizzazioni italiane stanno accelerando l’adozione di soluzioni di Intelligenza Artificiale. In particolare, i sistemi di Agentic AI – agenti software capaci di pianificare, prendere decisioni ed eseguire azioni in autonomia – stanno iniziando a entrare nei processi quotidiani di enti pubblici, aziende sanitarie e imprese. La figura 1 illustra alcuni esempi di utilizzi. A differenza dell’automazione tradizionale, questi sistemi non si limitano a eseguire regole predefinite, ma operano su obiettivi, interpretano contesti e interagiscono direttamente con strumenti e infrastrutture critiche. In un Paese caratterizzato da forte pressione operativa, carenza di personale specializzato e crescente esternalizzazione dei servizi digitali, la promessa è quella di maggiore efficienza e continuità operativa.
Tuttavia, proprio le specificità del contesto italiano rendono l’adozione di Agentic AI particolarmente delicata dal punto di vista della sicurezza. In molte realtà, i sistemi informativi sono il risultato di stratificazioni successive; le responsabilità sono distribuite tra enti, fornitori e consulenti; i meccanismi di controllo si basano ancora in larga parte su verifiche ex post e sulla supervisione umana. In questo quadro, delegare autonomia decisionale e potere operativo a un agente software significa introdurre un nuovo attore con privilegi elevati, ma privo dei tradizionali segnali di allerta che accompagnano l’errore umano.
Rischi settoriali dell’Agentic AI
nel contesto Italiano L’impatto dell’Agentic AI non è uniforme, ma varia in modo significativo a seconda del settore, della maturità digitale e delle modalità con cui i sistemi informativi sono stati storicamente costruiti e integrati. Nel contesto italiano, caratterizzato da forte eterogeneità tecnologica, da un ampio utilizzo di sistemi legacy e da reti organizzative fortemente interconnesse, l’introduzione di agenti autonomi tende ad amplificare fragilità preesistenti. Le sezioni che seguono analizzano tre ambiti emblematici nei quali l’adozione di Agentic AI pone rischi specifici, con potenziali effetti sistemici che vanno oltre la singola organizzazione.
Pubblica amministrazione locale
Nella pubblica amministrazione locale, ad esempio, stanno emergendo sperimentazioni di agenti intelligenti per la gestione automatizzata di pratiche, controlli documentali, pagamenti e interazioni con fornitori esterni. In molti comuni ed enti territoriali, questi agenti operano su sistemi eterogenei, spesso legacy, e interagiscono con piattaforme condivise a livello regionale o nazionale. In uno scenario di questo tipo, un agente dotato di autonomia e accesso diretto ai sistemi contabili o di protocollo può diventare un punto critico: un input manipolato, un documento alterato o una fonte informativa compromessa possono indurre l’agente ad autorizzare pagamenti errati, a bloccare servizi essenziali o a propagare decisioni scorrette su più uffici, senza che vi sia un immediato controllo umano.
Settore sanitario
Un rischio analogo emerge nel settore sanitario, particolarmente sensibile nel contesto italiano. Aziende sanitarie e ospedali stanno iniziando a utilizzare agenti intelligenti per supportare la gestione delle liste d’attesa, l’allocazione delle risorse, il monitoraggio dei costi e l’analisi di dati clinici e amministrativi. In un ecosistema già fortemente interconnesso, dove sistemi clinici, amministrativi e di fornitura dialogano continuamente, un agente compromesso o mal configurato può innescare effetti a catena: dalla modifica impropria di priorità assistenziali, all’interruzione di servizi digitali, fino alla diffusione di decisioni errate su più strutture della stessa rete sanitaria. In questi casi, il danno non è solo economico o reputazionale, ma può incidere direttamente sulla continuità delle cure.
PMI manifatturiere
Un terzo scenario, centrale per il sistema Paese, riguarda il tessuto delle piccole e medie imprese (PMI) manifatturiere, che costituisce l’ossatura dell’economia italiana. Secondo il report ISTAT “Imprese e ICT” del 2025, l’adozione dell’Intelligenza Artificiale tra le imprese con almeno 10 addetti è raddoppiata in un solo anno, passando dall’8,2% del 2024 al 16,4% del 2025’. Questa crescita repentina porta tuttavia con se vulnerabilità strutturali.
Qui il rischio associato all’adozione di Agentic AI non deriva solo dal livello medio di digitalizzazione, ma soprattutto da come questa digitalizzazione è stata storicamente realizzata. Come evidenziato dal rapporto Imprese e ICT di ISTAT, le PMI italiane utilizzano strumenti digitali in modo funzionale e frammentato: ERP, sistemi di fatturazione, piattaforme di e-procurement, CRM e servizi cloud sono spesso introdotti per rispondere a esigenze operative immediate, senza una progettazione complessiva dei flussi, delle responsabilità e dei controlli di sicurezza.
In questo contesto, l’introduzione di un agente autonomo deve fare i conti con ulteriori tre fragilità ricorrenti. La prima riguarda account e privilegi eccessivi: è comune l’uso di credenziali condivise, ruoli amministrativi troppo ampi e token di accesso non temporizzati, che possono portare l’agente a ereditare più potere di quanto strettamente necessario. La seconda è l’assenza di una reale separazione tra decisione e azione: molti processi non prevedono un vero human-in-the-loop, ma solo verifiche a posteriori, consentendo all’agente di eseguire operazioni economicamente rilevanti senza un checkpoint umano esplicito.
La terza è la forte dipendenza da dati e feed esterni assunti come affidabili per default: listini fornitori, dati logistici, previsioni di domanda e comunicazioni digitali possono essere manipolati o semplicemente errati, inducendo l’agente a prendere decisioni logicamente coerenti ma operativamente disastrose. In un sistema industriale basato su reti di PMI interconnesse, questi effetti non restano confinati alla singola azienda, ma possono propagarsi lungo l’intera filiera.
Infrastrutture tecnologiche e rischio sistemico
Queste dinamiche sono ulteriormente amplificate dalle caratteristiche delle infrastrutture tecnologiche italiane. Reti moderne ad alta capacità, piattaforme cloud e data center avanzati convivono con sistemi legacy, applicazioni monolitiche e infrastrutture progettate in un’epoca in cui l’automazione decisionale non era prevista. Questa eterogeneità crea punti di attrito critici quando vengono introdotti agenti autonomi.
Molti sistemi legacy non implementano controlli granulari sugli accessi, rendendo difficile limitare le azioni di un agente a un perimetro ristretto; i sistemi di monitoraggio e logging sono spesso orientati all’evento tecnico (errore, crash, intrusione), ma non alla coerenza decisionale, rendendo invisibili comportamenti agentic anomali ma formalmente corretti; infine, l’uso crescente di piattaforme condivise e fornitori comuni riduce l’isolamento tra domini e aumenta il rischio di propagazione.
In questo scenario, un agente AI che opera legittimamente su più sistemi – ad esempio per ottimizzare flussi, bilanciare carichi o coordinare servizi – può diventare un vettore di amplificazione di errori o manipolazioni. Un singolo comportamento errato, se replicato automaticamente su più nodi o più enti, può produrre interruzioni difficili da attribuire e da contenere.
Il rischio non è quindi la semplice automazione di un errore, ma la trasformazione di una vulnerabilità logica in un effetto sistemico. Un agente autonomo, a differenza di uno umano, opera infatti senza fatica, senza esitazione e a velocità macchina: un singolo punto di compromissione può propagarsi rapidamente lungo processi interconnessi, coinvolgendo più uffici, più strutture o intere filiere produttive. Nel contesto italiano, caratterizzato da infrastrutture distribuite, responsabilità frammentate e forte integrazione pubblico-privato, questo rende gli agenti autonomi non solo nuovi utilizzatori dei sistemi, ma nuovi punti critici della sicurezza nazionale, che richiedono modelli di governance diversi da quelli tradizionali.
Implicazioni strategiche e governance dell’Agentic AI
È in questo passaggio che le minacce tradizionali, ben documentate nei report dell’ACN, rischiano di evolvere in una forma nuova e meno visibile: attacchi che non mirano più a ingannare le persone, ma a manipolare la logica decisionale, le deleghe e il potere operativo degli agenti autonomi.
L’autonomia decisionale introdotta dall’Agentic AI non può più essere considerata una semplice evoluzione tecnologica, ma deve essere trattata come un fattore di rischio sistemico, in linea con l’approccio risk-based della direttiva NIS2. Questo implica che deleghe, obiettivi e limiti operativi degli agenti debbano essere espliciti, documentati e verificabili, e che la responsabilità delle decisioni automatizzate sia chiaramente attribuibile lungo l’intera catena del valore.
La resilienza non può essere valutata solo a livello del singolo soggetto, ma deve essere considerata a livello di ecosistema, riconoscendo che il comportamento di un agente autonomo in un nodo della rete può incidere sulla sicurezza e sulla continuità operativa di organizzazioni interdipendenti. Diventa quindi necessario adeguare infrastrutture e piattaforme critiche affinché siano in grado di osservare, limitare e interrompere comportamenti automatici eseguiti a velocità macchina, garantendo meccanismi di revoca tempestiva delle deleghe e di monitoraggio continuo.
Conclusioni
In questa prospettiva, la gestione del rischio associato all’Agentic AI deve essere pienamente integrata nelle strategie nazionali di cybersicurezza e competitività industriale. Così facendo, l’innovazione potrà procedere in modo proporzionato, responsabile e coerente con gli obiettivi di sicurezza, resilienza e fiducia digitale previsti dal quadro normativo europeo, evitando che gli agenti autonomi si trasformino, nel contesto italiano, da leva di efficienza a moltiplicatori di fragilità sistemica.
Bibliografia
Relazione annuale al Parlamento 2024 – Agenzia per la Cybersicurezza Nazionale (ACN)
Sezione ufficiale “Relazione annuale 2024” sul sito ACN
Operational Summary – ACN (report mensile con dati sulla minaccia, versione dicembre 2024)
Operational Summary – ACN (report mensile novembre 2024)
Operational Summary – ACN (report maggio 2025)
Operational Summary (incluso 2025)
ISTAT Imprese e ICT | Anno 2025
Agenda Digitale Italia 2030: infrastrutture critiche più smart per crescere e difendersi
Ultimo accesso ai link in data 21/01/2025
Marco Bombieri ha conseguito il dottorato di ricerca in informatica presso l’Università di Verona, Italia, svolgendo la propria attività di ricerca nell’ambito del progetto ERC ARS (Autonomous Robotic Surgery). Attualmente è ricercatore presso il Dipartimento di Ingegneria e Scienza dell’Informazione dell’Università di Trento, Italia. I suoi interessi di ricerca includono l’intelligenza artificiale agentica, l’elaborazione del linguaggio naturale e i grandi modelli linguistici, con applicazioni nel dominio medico.
Sandeep Gupta ha conseguito il dottorato di ricerca in tecnologie dell’informazione e della comunicazione presso l’Università di Trento, Italia. Attualmente è Principal Engineer presso la Queen’s University Belfast, Regno Unito. Dal 1999 al 2016 ha lavorato presso Samsung, Accenture e Mentor Graphics (ora Siemens) in ambito informatico, guidando numerosi progetti di ricerca e prodotti dalla fase di incubazione fino alle iterazioni di nuova generazione. Dal 2016 ha lavorato su progetti UKRI ed EU H2020, tra cui CyberSec4Europe, Collabs, E-Corridor e NeCS. Ha inoltre fondato Apache Technologies e co-fondato FadFudge. È stato beneficiario della prestigiosa Marie Skłodowska-Curie Research Fellowship. Ha pubblicato più di 30 articoli su riviste con revisione paritaria e conferenze di primo livello. I suoi interessi di ricerca includono l’IA per la sicurezza, la sicurezza dei sistemi di IA, meccanismi di identità e accesso basati su dati biometrici e soluzioni di sicurezza e privacy usabili per sistemi ciber-fisici e l’IoT.
Bruno Crispo ha conseguito il dottorato di ricerca in informatica presso l’Università di Cambridge, Regno Unito, nel 1999, dopo aver ottenuto la laurea magistrale in informatica presso l’Università di Torino, Italia, nel 1993. È professore presso l’Università di Trento dal settembre 2005. In precedenza è stato professore associato alla Vrije Universiteit di Amsterdam e professore ordinario presso la KU Leuven in Belgio. I suoi principali interessi di ricerca riguardano il campo della sicurezza e della privacy. In particolare, i suoi lavori più recenti si concentrano sulla sicurezza dell’IoT, sulla sicurezza dei sistemi e delle reti, sulla sicurezza web, sulla biometria comportamentale e sul controllo degli accessi. Ha pubblicato più di 220 articoli su riviste e conferenze internazionali su temi legati alla sicurezza.
Paolo Giorgini è Professore Ordinario presso il Dipartimento di Ingegneria e Scienza dell’Informazione dell’Università di Trento, Italia, dove in precedenza ha ricoperto il ruolo di Direttore di Dipartimento. I suoi interessi di ricerca si collocano all’intersezione tra Intelligenza Artificiale e Ingegneria del Software, con particolare attenzione agli agenti software autonomi ed evolutivi, all’ingegneria del software orientata agli obiettivi e agli agenti e alla modellazione dei requisiti di sicurezza. Ha fornito contributi significativi allo sviluppo di linguaggi per la modellazione dei requisiti, nonché di metodologie e strumenti per l’ingegneria del software e della sicurezza. Nel 2015 ha ricevuto il premio 10-Year Most Influential Paper Award alla International Conference on Requirements Engineering. La sua produzione scientifica comprende oltre 300 articoli sottoposti a revisione paritaria pubblicati su riviste e conferenze.
