AI agentica: rischi, vulnerabilità e governance dell’AI autonoma nell’era post-generativa

I sistemi di intelligenza artificiale agentica, capaci di pianificare, agire e delegare in modo autonomo, stanno ridisegnando la superficie d’attacco delle organizzazioni a una velocità che i modelli di sicurezza tradizionali non riescono a seguire. Due ricerche peer-reviewed pubblicate all’inizio del 2026, rispettivamente sull’International Journal of Information Security di Springer e come preprint IEEE su arXiv, forniscono per la prima volta un framework sistematico per la valutazione di questi rischi.

I dati di mercato confermano l’urgenza: l’88% delle organizzazioni ha già subito incidenti legati ad agenti AI, mentre la quota di deployment approvati dai team di sicurezza non supera il 15%. L’articolo analizza i vettori d’attacco emergenti, le lacune strutturali nella governance e le implicazioni operative per CISO, security architect e compliance officer.

Oltre la generazione: quando l’AI comincia ad agire

Per anni il dibattito sulla sicurezza dell’intelligenza artificiale si è concentrato sui modelli linguistici nel loro senso più semplice: sistemi che ricevono un input e producono un output, sotto supervisione umana, in un ciclo chiuso. Quella stagione è finita.

I sistemi di AI agentica, detti anche AI agents, rappresentano una discontinuità qualitativa rispetto ai chatbot e ai modelli generativi di prima generazione. Non si limitano a rispondere: pianificano sequenze di azioni, utilizzano strumenti esterni, interrogano database, scrivono ed eseguono codice, coordinano altri agenti subordinati, aggiornano i propri piani in base ai risultati intermedi. Operano su orizzonti temporali estesi, spesso senza che un essere umano intervenga tra un’azione e la successiva. Sono, a tutti gli effetti, partecipanti attivi nell’infrastruttura aziendale.

Questa autonomia è esattamente ciò che li rende preziosi per le imprese e pericolosamente esposti agli attaccanti.

La ricerca scientifica inquadra il problema

Due contributi pubblicati nei primi mesi del 2026 hanno il merito di portare rigore scientifico in un campo che, fino ad oggi, era dominato principalmente da report di vendor e analisi di mercato.

Il primo, firmato da Leo, Tan, Miao e Anand, è apparso sull’International Journal of Information Security di Springer il 4 gennaio 2026 (vol. 25, art. 23).

Il lavoro costruisce il primo framework sistematico per la valutazione del rischio specifico dei sistemi agentici. I ricercatori identificano vettori d’attacco che non trovano corrispondenza nella tassonomia tradizionale della cybersecurity: la prompt injection indiretta, in cui istruzioni malevole vengono iniettate nei dati che l’agente consuma durante l’esecuzione; il memory poisoning, che altera la memoria a lungo termine del sistema compromettendone le decisioni future; la privilege escalation non autorizzata tra agenti, che sfrutta la fiducia implicita nei protocolli di comunicazione multi-agente. Il paper si concentra in particolare sui settori ad alto rischio, finanza e infrastrutture critiche, dove l’autonomia degli agenti si combina con l’accesso a sistemi di importanza sistemica.

Il secondo contributo, di Jiang, Yang, Yang e colleghi, è disponibile come preprint arXiv con copyright IEEE (arXiv:2602.19555, sottomesso il 23 febbraio 2026). I ricercatori analizzano come i sistemi agentici basati su LLM estendano la superficie d’attacco al runtime, il momento vivo dell’esecuzione, attraverso le dipendenze da strumenti e protocolli esterni.

Tra i dati più rilevanti del paper vi è la situazione dei registri MCP (Model Context Protocol), lo standard emergente per connettere i modelli a tool e sorgenti dati: i registri non ufficiali indicizzano, secondo le analisi disponibili a inizio 2026, una quantità di server circa otto volte superiore a quella del registro ufficiale, e la distinzione tra server verificati e non è spesso tutt’altro che immediata. La supply chain degli agenti è, per larga parte, opaca.

I due paper convergono su una diagnosi comune: la sicurezza agentica richiede framework dinamici, orientati al comportamento in esecuzione, che i modelli attuali, progettati per software statico, non sono in grado di fornire.

I numeri di un’adozione senza governance

I dati di mercato del primo semestre 2026 restituiscono un quadro che, nelle sue proporzioni, non ha precedenti in nessun altro ciclo tecnologico.

Il 48% dei professionisti della sicurezza identifica l’AI agentica e i sistemi autonomi come il principale vettore d’attacco emergente del 2026, superando deepfake, identità non-human e adozione del passwordless: è quanto emerge da un sondaggio condotto da Dark Reading. L’80,9% dei team tecnici ha già superato la fase di pianificazione, passando al testing attivo o al deployment in produzione; tuttavia, solo il 14,4% di questi agenti è andato live con la piena approvazione dei team di sicurezza e IT (fonte: State of AI Agent Security 2026, Gravitee).

Il gap tra fiducia manageriale e controllo operativo è uno dei dati più rilevanti. L’82% dei dirigenti dichiara di ritenere che le policy esistenti proteggano adeguatamente l’organizzazione da azioni non autorizzate degli agenti. I dati sul campo raccontano una storia diversa: oltre la metà degli agenti in produzione opera senza supervisione di sicurezza né logging (AGAT Software, 2026). Il 48,9% delle organizzazioni non è in grado di monitorare il traffico machine-to-machine generato dai propri agenti; il 48,3% non riesce a distinguere agenti AI legittimi da bot malevoli (fonte: 1H 2026 State of AI and API Security Report, Salt Security).

L’88% delle organizzazioni ha registrato incidenti di sicurezza confermati o sospetti legati ad agenti AI nell’ultimo anno; nel settore sanitario, la percentuale sale al 92,7% (Gravitee, State of AI Agent Security 2026). Non sono scenari ipotetici che vivono nei paper accademici: sono violazioni già avvenute.

I vettori d’attacco che ridisegnano il threat model

Comprendere perché l’AI agentica sia strutturalmente più esposta rispetto alle applicazioni tradizionali richiede un cambio di prospettiva sul threat modeling.

Prompt injection indiretta e tool poisoning. Un agente non consuma solo l’input dell’utente: legge documenti, naviga pagine web, interroga API, processa output di altri sistemi. Qualunque di questi canali può veicolare istruzioni malevole. Come approfondito nella nostra analisi sulla prompt injection negli agenti AI, Invariant Labs ha documentato nel maggio 2025 un caso esemplare: il server MCP ufficiale di GitHub ha permesso a una issue malevola, inserita in un repository pubblico, di iniettare istruzioni nascoste che hanno dirottato un agente attivando l’esfiltrazione di dati da repository privati. Il punto critico è che l’agente ha eseguito l’azione attraverso un tool legittimo: nessun firewall tradizionale avrebbe potuto intercettarla.

Memory poisoning e persistenza dell’attacco. I sistemi agentici mantengono memoria a lungo termine per supportare ragionamenti complessi su sessioni estese. La corruzione di questa memoria non produce effetti immediati visibili: altera silenziosamente le premesse su cui l’agente fonda le decisioni future. È un vettore particolarmente insidioso perché i suoi effetti emergono gradualmente e sono difficili da attribuire a una singola causa.

Escalation tra agenti e cascading failure. In architetture multi-agente, un agente orchestratore può detenere le credenziali di più agenti subordinati: se viene compromesso, l’attaccante ottiene accesso a tutti i sistemi downstream. Il paper di Jiang et al. illustra come un agente ricercatore compromesso possa inserire istruzioni nascoste nell’output consumato da un agente finanziario, che quindi esegue operazioni non autorizzate. La propagazione dei fallimenti è sistemica: simulazioni condotte da Galileo AI nel dicembre 2025 hanno documentato che un singolo agente compromesso può avvelenare l’87% del processo decisionale downstream entro quattro ore.

Shadow AI e identità non-human. Studi recenti indicano che circa tre quarti delle organizzazioni devono fare i conti con utilizzo non governato di strumenti AI da parte dei propri team. Sviluppatori e product manager deployano agenti autonomamente, connettendoli a tool, server MCP e API esterne che il team di sicurezza non ha mai mappato né approvato. Ogni agente introdotto è anche una nuova identità non-human che richiede credenziali, token OAuth, accesso API: sfide che i sistemi di identity management legacy non sono stati progettati per gestire.

Il problema strutturale: sicurezza progettata per artefatti statici

La diagnosi più profonda che emerge dalla letteratura recente è di natura architettonica.

La sicurezza informatica si è sviluppata, nei suoi decenni di storia, intorno a un presupposto implicito: i sistemi da proteggere sono sostanzialmente stabili. Un’applicazione ha una configurazione, un perimetro, un insieme definito di comportamenti possibili. Le policy di sicurezza si applicano a questi confini noti.

I sistemi agentici violano questo presupposto alla radice. Non hanno comportamenti fissi: apprendono dal contesto, si adattano agli ambienti che cambiano, prendono decisioni che non erano state anticipate dai loro sviluppatori. Il perimetro da difendere non è statico: si ridisegna ad ogni ciclo di inferenza, ad ogni interazione con un tool esterno, ad ogni messaggio scambiato con un agente coordinato.

Un firewall non ferma una prompt injection. Un API gateway non impedisce a un agente sovra-privilegiato di esfiltrare dati attraverso una chiamata a tool legittima. Le categorie della sicurezza tradizionale (perimetro, accesso, autenticazione) rimangono necessarie ma non sufficienti. Richiedono un complemento: visibilità comportamentale in tempo reale sull’esecuzione degli agenti. Su questo tema si innesta anche la lettura del cybercrime 2026, che documenta come gli attaccanti stiano già sfruttando sistematicamente questa lacuna.

Le implicazioni per il quadro regolatorio europeo

L’AI agentica non è un fenomeno che si sviluppa in un vuoto normativo. Il quadro europeo in costruzione, EU AI Act, NIS2 e DORA, pone requisiti che intersecano direttamente le caratteristiche di questi sistemi, anche se nessuno di questi strumenti è stato progettato specificamente per l’agenticità.

L’EU AI Act classifica come ad alto rischio i sistemi AI che operano in settori critici (infrastrutture, finanza, salute), con obblighi di trasparenza, supervisione umana e tracciabilità delle decisioni. Un agente che opera autonomamente su sistemi finanziari o sanitari rientra in questa classificazione, con tutto ciò che ne consegue in termini di documentazione e governance del ciclo di vita. Come abbiamo già analizzato nel nostro approfondimento sull’EU AI Act e il GPAI, la scadenza del 2 agosto 2026 per i sistemi ad alto rischio è ormai prossima.

La NIS2 impone la gestione del rischio della supply chain: e la supply chain degli agenti (modelli, plugin, server MCP, dataset di training) è esattamente il vettore che la ricerca identifica come più esposto. DORA richiede test di resilienza operativa per le entità finanziarie: requisito che include, implicitamente, i sistemi AI agentici integrati nelle operazioni core.

Una singola violazione su un agente AI dispiegato in un’istituzione finanziaria potrebbe attivare simultaneamente obblighi di notifica sotto tutti e tre i regimi, con tempistiche, soglie di materialità e autorità competenti differenti. È la sfida che i compliance officer stanno iniziando ad affrontare, spesso senza gli strumenti adeguati, come mostra la convergenza normativa NIS2, DORA e CER.

Verso una security posture agentica: principi operativi

La letteratura scientifica e i dati operativi convergono su un insieme di principi che, pur non esaustivi, possono orientare l’approccio delle organizzazioni.

Il primo è il least privilege per gli agenti: ogni sistema agentico dovrebbe operare con le autorizzazioni minime necessarie per completare il proprio task. Agenti sovra-privilegiati trasformano una singola prompt injection in una compromissione dell’intero ambiente. Il secondo è la visibilità sul runtime: il monitoraggio degli agenti non può limitarsi al momento del deployment, ma deve essere continuo, comportamentale, capace di rilevare derive rispetto al comportamento atteso.

Il terzo è la governance della supply chain agentica: ogni tool, server MCP, plugin o modello esterno integrato nell’ecosistema degli agenti è un potenziale vettore e richiede lo stesso processo di vetting applicato ai vendor software tradizionali. Il quarto è la tracciabilità delle decisioni: in un contesto regolatorio che richiede audit trail, ogni azione significativa di un agente deve essere loggata con sufficiente granularità da permetterne la ricostruzione post-incidente.

Questi principi non risolvono il problema, che ha radici strutturali profonde, ma definiscono il perimetro minimo di una postura difensiva consapevole.

Conclusione

C’è una tentazione, davanti a tecnologie che si diffondono così rapidamente, di considerare i rischi come un costo accettabile dell’innovazione, come un problema che si risolverà da solo con la maturazione del mercato. La storia della cybersecurity insegna che questa scommessa raramente paga.

I sistemi agentici stanno entrando nelle infrastrutture critiche, nelle operazioni finanziarie, nelle catene di fornitura software con una velocità che non ha precedenti. La ricerca scientifica, per sua natura più lenta del mercato, sta iniziando solo ora a produrre i framework concettuali necessari per comprenderne i rischi in modo sistematico. Il divario tra adozione e governo è reale, misurabile e si sta allargando.

La domanda rilevante non è se fermare questa transizione. È se le organizzazioni, e il sistema normativo che le inquadra, saranno in grado di colmare quel divario prima che diventi la prossima grande crisi della sicurezza digitale.