Jay Chaudhry apre Zenith Live 2026 con la tesi che nell'era agentica il perimetro non esiste più: sicurezza significa governare identità dinamiche che non dormono mai.
Autore: Redazione SecurityOpenLab
Con la diffusione capillare dell'AI, i soggetti da proteggere non sono più soltanto gli esseri umani, per questo è necessaria una ricalibrazione sistematica di tutto ciò che la security ha proposto negli ultimi anni. Ed è esattamente quello che ha illustrato Jay Chaudhry, CEO e fondatore di Zscaler, nel suo keynote all’evento Zenith Live 2026. Nel 2025, lo stesso Chaudhry aveva sottolineato che Zero Trust e AI sono inseparabili e che la sovranità dei dati è una priorità irrinunciabile per le imprese europee. Quest'anno la premessa è la stessa, ma il problema si è spostato: non si tratta più di proteggere gli utenti che usano strumenti AI, ma di governare gli strumenti AI che lavorano in autonomia.
"Ieri l'utente era l'anello debole. Oggi la stessa debolezza caratterizza gli agenti AI, che però sono molto più pericolosi degli esseri umani perché si muovono a velocità macchina, non hanno bisogno di pause, di vacanze o di sonno" ha spiegato Chaudhry. È così che l'architettura Zero Trust, nata per rispondere alla dissoluzione del perimetro di rete tradizionale e all’avvento di cloud e mobilità, oggi si trova a dover gestire l'avvento dell'AI agentica.
La distinzione concettuale che Chaudhry ha proposto è utile per capire la portata del problema. Nell'era di Internet si proteggevano gli esseri umani che accedevano ai siti web. Nell'era del cloud si proteggevano gli esseri umani che accedevano alle applicazioni. Nell'era agentica si proteggono gli strumenti stessi, che operano in modo autonomo, prendono decisioni ed eseguono azioni su sistemi aziendali senza l’intervento umano.
In mancanza di questa protezione si verificano incidenti anche gravi. Chaudhry ha citato il caso di Microsoft Copilot che ha esportato dati senza un’azione dell’utente, di agenti che hanno eliminato database, o che hanno svuotato caselle di posta. Il motivo è che il modello di fiducia tradizionale, costruito sull'identità umana e sulla sessione, non regge più. Un agente può essere compromesso, dirottato, avvelenato. E una volta compromesso, a differenza di un utente stanco che smette di lavorare la sera, continua a operare causando danni senza sosta.
La risposta di Zscaler è quella che Chaudhry ha descritto come il quarto anello della piattaforma: dopo Zero Trust per utenti, per branch e per workload cloud, sono stati annunciati AI Broker, AI Access Graph e lo ZAgent Framework, con cui Zscaler estende le proprie funzioni anche all'AI agentica. La filosofia alla base della piattaforma è sempre la stessa: nessuna entità, umana o software, deve potersi connettere alla rete in modo indiscriminato. Ciascuna entità accede esclusivamente a ciò che le è esplicitamente consentito, attraverso uno switchboard che verifica identità e policy per ogni singola connessione.
Un altro tema di attualità riguarda la governance, e in particolare chi ne è responsabile, all’interno di ambienti in cui l'AI agentica sta generando tensioni organizzative non indifferenti. Gli agenti hanno due nature simultanee: sono codice (quindi ricadono nella sfera IT e di sicurezza), però allo stesso tempo operano come lavoratori digitali, il che li avvicina concettualmente alla gestione delle risorse umane. Nella visione di Chaudhry, "il CISO è il responsabile principale della governance, con il CIO al suo fianco. Ma la sfida è più grande di quella che affrontiamo con gli esseri umani" per banali motivi aritmetici. In un'azienda di diecimila dipendenti, i dipendenti sono diecimila. Gli agenti si moltiplicano rapidamente in base ai bisogni operativi e le loro identità sono dinamiche: vengono create con l'agente, cambiano con il codice, scompaiono con il task completato. I sistemi di Identity Management dovranno quindi essere progettati per scalare su volumi che, nelle parole di Chaudhry, potrebbero trasformare 750 miliardi di transazioni giornaliere gestite oggi da Zscaler in 7.500 miliardi o più.
Torna pertanto il tema dell'inerzia organizzativa, questa volta relazionata al fatto che le imprese stanno abbracciando l'AI agentica molto più rapidamente di quanto stiano costruendo i framework per governarla. "Serve un cambio di mentalità, e a volte bisogna ridisegnare le strutture organizzative per trarne vantaggio. Non pensate alla tecnologia soltanto come tecnologia: guardate la parte non tecnologica, la parte umana" esorta Chaudhry.
Di pari attualità è il tema della sovranità e della dipendenza delle imprese europee da infrastrutture di sicurezza extra europee. Zscaler la sta gestendo con un approccio simile a tutti i vendor statunitensi: partnership con operatori europei che implementano l'infrastruttura cloud Zscaler nel proprio paese e la gestiscono con il supporto di Zscaler, così da rispettare le normative comunitarie. "Se un domani venissimo banditi, quell’infrastruttura cloud continuerebbe a funzionare perché è gestito da personale tedesco in Germania, da francesi in Francia, e così via." I paesi più piccoli convergeranno su un cloud UE condiviso.