>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

Agenti AI, la sicurezza parte dall'infrastruttura

Disaccoppiamento dei dati sensibili, disponibilità on-premise e controllo delle identità degli agenti ridisegnano l'adozione dell'AI in molti settori aziendali, dal legal alla sanità.

Agenti AI, la sicurezza parte dall'infrastruttura
Tecnologie/Scenari

"L'errore che molti fanno è mirare all'ultimo modello linguistico, invece bisogna immergerlo in un’infrastruttura". La convinzione è di Nunzio Fiore, CEO e founder di Memori, azienda italiana nata nel 2017 con l’obiettivo di permettere a chiunque di creare agenti AI quando ancora non si chiamavano così. Il risultato è una piattaforma proprietaria, AIsuru, che consente a imprese e professionisti di realizzare agenti conversazionali senza scrivere codice, collegandoli ai processi aziendali.

Due sono i tratti che fin dall’inizio hanno contraddistinto la piattaforma di Memori: la possibilità di creare un gemello digitale di sé stessi, e il forte disaccoppiamento tra i dati sensibili e i dati che si vogliono davvero far usare al modello generativo. Nella logica di Fiore, infatti, "sicurezza e privacy by design sono state elementi portanti”, e quanto accaduto successivamente ha confermato che l’intuizione era corretta. Basti pensare alle normative europee, quali per esempio dall'AI Act alla legge italiana sull'AI (l'ex DDL AI, oggi Legge 132/2025), che secondo il CEO hanno reso centrali sicurezza, trasparenza e diritto dell'utente di sapere da quali dati nasce una risposta. Tutti questi temi sono già presenti nella piattaforma, così come le procedure ISO e i quadri normativi.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Nunzio Fiore, CEO e founder di Memori

La crescita verso la governance nasce anche dall'osservazione del mercato. Fiore descrive il passaggio da un 2023 in cui l'AI veniva raccontata come una sorta di magia, a un 2026 in cui le aziende attuano competenze AI che spesso non sanno di avere, e che restano fuori dal controllo, come nel caso dello Shadow AI. La risposta di Memori è calare AIsuru nella gestione dei ruoli, nell’identificazione di chi possiede il dato, di chi può accedervi e di chi può chiedere cosa.

Una delle peculiarità di Memori è la disponibilità on-premise della piattaforma di AI, frutto di un percorso che ha portato all'offerta hardware con Lenovo e NVIDIA. Fiore lo racconta come "un percorso di riconoscimento del valore di quello che stavamo facendo sul campo, perché per via dell'hype abbiamo assistito alla nascita di tante aziende che raccontavano l'AI ma non facevano nulla nello specifico, mentre noi lavoravamo già con aziende e progetti reali". La collaborazione parte da Lenovo, con il referente "che ci ha chiesto di far evolvere il test che avevamo fatto insieme, facendolo girare su dei modelli locali".

Era l'inizio del 2025, quando i modelli linguistici on-premise cominciavano a reggere il confronto con quelli online di OpenAI o Claude. Da qui la scommessa dell'azienda, che Fiore riassume in un percorso preciso: "una formazione per capire bene come funziona l'intelligenza artificiale e come passargli dati organizzati in modo da generare risultati di alto livello, per arrivare a un proof of concept di un’AI che funziona anche nel cloud, ma che le aziende vogliono far lavorare in locale". Grazie al distributore TD SYNNEX, "abbiamo intercettato NVIDIA e siamo diventati loro partner". La buona risposta in locale, sottolinea Fiore, si distribuisce su più fattori: "una buona macchina Lenovo, una buona scheda NVIDIA e un buon orchestratore del contesto e del modo di interfacciarti al modello locale, e quello è AIsuru".

Un tema importante è quello dei costi. La soluzione on-premise comporta una spesa iniziale superiore che si riconduce alla spesa per l'hardware, che Fiore inquadra come "un modo diverso di spostare la spesa da una logica di servizio a una di server, con ammortamenti diversi, ma soprattutto una spesa che si può controllare e mettere a budget". All’opposto dei modelli online, che sono meno controllabili: "l'abbiamo visto succedere tante volte, modelli che escono e ritornano, come accaduto per Fable 5", osserva, citando anche GPT-4, "che nel maggio del 2024 era un modello di punta, appena distribuito, e poi penalizzato per incentivare gli utenti a passare ad altri modelli più costosi". Con il paradigma online, sottolinea Fiore, c’è l’effetto collaterale di "una dipendenza economica, con il fornitore che può cambiare il costo del modello dall'oggi al domani, impedendo di budgetizzare la spesa in termini di token", tanto più oggi che, ricorda, "siamo passati da semplici assistenti ad agenti incorporati nei processi aziendali, che analizzano migliaia di dati".

Per far comprendere questo concetto, Fiore porta l'esempio di un agente costruito in locale su una workstation Lenovo con scheda NVIDIA, lasciato lavorare in autonomia per un intero fine settimana a un configuratore di camere da letto in 3D, con l'istruzione di verificare il proprio codice a ogni ciclo e di riscriverlo a intervalli finché non avesse rispettato le regole fissate. "Sono partito il venerdì e tornato il lunedì, e mi son trovato un configuratore che funzionava, senza aver speso cifre folli di bolletta variabile", racconta. Da lì il ragionamento sul ritorno dell'investimento: "anche se la spesa iniziale [per una soluzione on-premise, N.d.R.] è più importante, c’è un ritorno che si può calcolare, che permette di prevedere con precisione il breakeven entro sei mesi o un anno, ed elimina la dipendenza da un modello che domani potrebbe rispondere in maniera diversa perché gli hanno messo un meta prompt". La chiusura è netta: con Memori si sottoscrive "un programma, come siamo sempre stati abituati a fare, che funziona al momento dell’acquisto e continua a funzionare anche dopo", al contrario della logica SaaS.

L'occorrente per creare agenti

Sul fronte della scalabilità, il CEO distingue software e hardware, con la possibilità di installare piattaforma e modello linguistico su più macchine, ma indica anche il confine, "la scalabilità è tutta legata al massimo che può fare il modello linguistico, che è un collo di bottiglia al momento non superabile; fino a quel punto, però, le architetture costruite attorno al modello sono completamente scalabili". Per esempio, per un grande ospedale servirebbe un modello distribuito su molte macchine, finanche un mini data center, che è la direzione in cui si stanno già muovendo alcuni clienti più grandi, la cui esigenza è “replicare in locale quello che fanno i grossi modelli online".

Il caso di TreCuori aggiunge un elemento poco comune, che è quello di un investitore che è anche cliente. Fiore descrive un interlocutore lungimirante e illuminato, “con una bella visione su quello che possono essere le tecnologie", partito "senza nessun know-how di intelligenza artificiale" e conquistato da un metodo che muove dalla formazione. La risposta di Memori alla loro esigenza, infatti, non è stata consegnare un agente preconfezionato, ma insegnare a costruirlo, partendo dal presupposto che nessuno conosce il proprio lavoro meglio del cliente stesso. Fiore sottolinea infatti che "tantissimi forniscono un agente che risponde agli obiettivi del cliente, noi forniamo una piattaforma con cui il cliente può creare gli agenti che vuole, e gli insegniamo a crearli".

Scalabilità, agenti e security

Un altro vantaggio della soluzione on-prem è che in locale "ci si può permettere di sperimentare e c’è un controllo sicuramente maggiore", che vale anche per chi deve leggere ordini e bolle e riversarli nei gestionali, per esempio. Il salto di valore, precisa Fiore, arriva con “la squadra di agenti che collaborano tra di loro".

Gli MCP proprietari permettono di definire le policy per gli agenti

Proprio quando gli agenti si moltiplicano e iniziano a dialogare tra loro e con i sistemi aziendali, il nodo diventa la sicurezza dei dati. Il principio su cui insiste Fiore è tenere separati i dati sensibili e le credenziali di accesso ai vari sistemi da ciò che il modello arriva effettivamente a vedere. In sostanza, il modello deve avere accesso solo a quello che gli serve per rispondere. A gestire questo confine è un gateway proprietario che controlla i connettori degli agenti, gli MCP, "mediante svariate procedure di sicurezza". La novità sono gli MCP aziendali, che l'IT predispone senza cedere le credenziali a nessuno, "rendendo disponibili solo gli strumenti". Vengono stabilite policy che vanno dal rinnovo periodico delle password alla revoca degli accessi, con la logica di un prodotto che "si evolve sulla base di quello che le aziende realmente stanno facendo".

In particolare, sono tre gli MCP proprietari. Il primo è l'MCP AIsuru, che "permette di far parlare tra loro gli agenti", con la possibilità di stabilire chi può contattare chi. Il secondo è lo scheduler, che determina l’autonomia degli agenti definendo che cosa devono fare quando (per esempio, ogni ora svolgi questo compito). Il terzo è la persistence, che consiste nel dare all'agente i poteri per crearsi un suo database, condivisibile – per esempio un database dei tentativi di attacco da condividere tra tutti gli agenti.

Un altro tema vicino alla cybersecurity riguarda la possibilità di capire se un agente legittimo, autorizzato a operare nell'ambiente, stia facendo qualcosa di illegittimo perché vittima di un attacco di prompt injection o di altro tipo. Fiore assicura che la piattaforma lo prevede già, perché consente di vedere le conversazioni in corso, controllare chi le sta tenendo e che cosa sta provando a fare. Il meccanismo fa perno sul contesto, con il sistema che genera per ogni messaggio, tramite l'AI generativa, delle variabili in grado di scatenare eventi. Da lì la reazione automatica: "nel momento in cui l'agente rileva che per tre volte un utente ha provato a fare prompt injection, lo blocca e scatena un alert che indica l’utenza, l’IP e quello che sta accadendo". Queste informazioni sono note grazie agli MCP proprietari di cui si parlava sopra, con le policy configurate ad hoc per ciascun agente e utente e possono includere policy aggiuntive, come per esempio l’autenticazione a più fattori. A quel punto è l’operatore umano a decidere se bloccare l'utente, fermare l'azione oppure valutare se si trattava davvero di un attacco o soltanto di un guardrail troppo stretto. Il filo conduttore torna alla tesi di fondo, secondo cui "l'errore che molti fanno è mirare all'ultimo modello linguistico, invece di calarlo in una infrastruttura" esistente, con le sue policy.

L’unico limite che Fiore ravvisa è l’impossibilità di attuare come Memori una threat intelligence condivisa tra gli agenti, capace di riconoscere le tecniche di attacco note, perché "non abbiamo nessun controllo su quello che viene fatto all’interno della piattaforma, che resta chiusa per privacy. Spetta all’azienda implementare una soluzione di questo tipo" con tecniche simili a quelle già descritte sopra.

Sulla natura aperta della piattaforma, Fiore specifica che non è open, ma sono aperti "alcuni MCP rilasciati parzialmente" e i materiali dei corsi per system integrator, che consistono in "una serie di repository su GitHub che insegnano a programmare la piattaforma". Tutto il resto è codice proprietario, anche perché molte soluzioni sono protette.

L'aspetto a cui Fiore tiene di più chiude il ragionamento sull'innovazione: "inseguire una moda porta a inseguire l'ultimo modello, l'ultimo trend, quando in realtà è "un'infrastruttura insieme a un'AI, insieme a una macchina, insieme a una scheda, che porta a creare un sistema sicuro".

Chi usa la soluzione Memori

Fiore parte dall'ambito legale e notarile, e allarga a " settori dove ancora non c'è la sensibilità del fatto che si stanno mandando dei dati fuori", come “banche, il settore sanitario” e in generale tutti i piccoli centri che possono godere di una macchina che serve una decina di persone contemporaneamente". Il manifatturiero rientra tra gli ambiti che ne traggono vantaggio quando un agente deve svolgere controlli ricorrenti, come per esempio una nota spese che viene auto creata da un agente che "legge le mail, controlla se c'è una mail di nota spese, scarica lo scontrino allegato, lo legge, prende i dati e li inserisce nell'ERP, tutto in autonomia".

Il modello di business poggia sul canale: "più che andare sui clienti diretti, il nostro cliente è il rivenditore, abbiamo costruito una catena di distributori e rivenditori", spiega Fiore, una rete che porta "circa 200 persone tra commerciali, account e system integrator" accanto ai "circa 20 professionisti" dell'organico interno. Grazie a questa struttura, ricorda, "i rivenditori ci hanno aiutati a rivendere il prodotto alle maggiori università italiane, in diversi comuni", oltre che a "grosse aziende italiane nel mondo della chimica o dell'ingegneria edile". Grazie all'on-premise, “già ora stiamo iniziando le prime grosse installazioni", con una crescita che "ci porterà a dover quasi raddoppiare il team, per essere più adatti a livello di customer care, presale e gestione dei progetti".

La compliance ha un ruolo crescente: "abbiamo ottenuto diverse certificazioni ISO, fra cui la ISO 42.001 collegata direttamente al mondo delle AI, e la NIS2".

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.0 - 4.6.4