>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

AI agentica e cybersecurity: la governance non tiene il passo

Il 77% delle aziende ammette che l'adozione dell'AI supera la capacità di governare i rischi. In un anno si contano in media 54 incidenti legati ad agenti AI, il 17% di gravità elevata.

 AI agentica e cybersecurity: la governance non tiene il passo
Tecnologie/Scenari

Il 77% delle aziende ammette che l'adozione dell'AI sta superando la capacità di governo dei rischi; nell'ultimo anno le aziende hanno registrato in media 54 incidenti legati ad agenti AI, il 17% dei quali classificato come talmente grave da richiedere oltre quattro ore per il contenimento. Sono due dei dati più significativi dello studio 2026 Tech Leader Study dell'IBM Institute for Business Value, condotto in collaborazione con Oxford Economics tra gennaio e aprile 2026 su un campione di oltre duemila CIO, CTO e altri dirigenti tecnologici distribuiti in 33 paesi e 19 settori, Italia inclusa.

Il concetto chiave attorno a cui ruota lo studio è quello della velocità: gli agenti AI passano dalla fase sperimentale alla produzione su larga scala, con un salto di volume, autonomia e frequenza decisionale che va ben oltre i modelli di governance pensati per un ritmo umano. Per anni, infatti, il controllo si è basato su policy, approvazioni, comitati e cicli di revisione, ma nessun percorso di escalation costruito per l'intervento umano può realisticamente supervisionare i volumi di dati spostati dalle AI.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

E siamo solo all’inizio: la scala del fenomeno è destinata a crescere rapidamente. Gli esperti stimano che entro il 2027 le organizzazioni dovranno gestire in media 1.661 agenti AI (+38% rispetto ai livelli attuali). Significa che il management si troverà a gestire centinaia di migliaia di decisioni autonome ogni giorno. È per questo che quasi il 60% dei manager IT indica le preoccupazioni relative a sicurezza e compliance come principale barriera alla scalabilità degli agenti. Due terzi di essi si dichiara responsabile di risultati generati da sistemi che non controlla pienamente, e il 70% osserva che i team di business stanno adottando tecnologia più rapidamente di quanto l'IT riesca a monitorare. In questo contesto, la velocità aumenta ma visibilità e capacità di contenimento si deteriorano.

È in questo scenario che si generano gli incidenti: dei 54 registrati mediamente in un anno, il 37% ha comportato esposizione di dati o violazioni di sicurezza, il 33% ha causato guasti a cascata sui sistemi, il 17% ha innescato problemi di compliance e il 13% ha eroso la fiducia degli stakeholder. Sul fronte dei tempi di risposta, il 24% degli incidenti viene contenuto in meno di dieci minuti, il 59% entro quattro ore, mentre il restante 17% richiede più tempo, con conseguenze proporzionalmente più severe.

Solo l'11% dei CIO e CTO intervistati si dichiara pienamente pronto per la scala di deployment attesa nei prossimi dodici mesi, nonostante l'80% riferisca di ricevere mandati di trasformazione direttamente dal CEO.

Una possibile soluzione

Non porta benefici nemmeno l’approccio conservativo di irrigidire revisioni e approvazioni: l'esposizione immediata diminuisce, ma si indebolisce la posizione competitiva e la supervisione manuale resta comunque ingestibile, soprattutto quando le aziende devono orientarsi tra decine di framework normativi sovrapposti dedicati all'AI.

IBM indica come via d'uscita la progettazione, fin dall'inizio, di confini e visibilità a livello enterprise che permettano ai team federati di muoversi rapidamente dentro limiti sicuri. In pratica si parla di uno spostamento dall'approvazione degli input alla supervisione continua di output e risultati, dai gate ai guardrail.

Il modello di controllo orchestrato descritto nel report distribuisce la responsabilità tra team diversi, ciascuno proprietario di una parte del sistema di controllo. I team di piattaforma gestiscono i guardrail condivisi, tra cui telemetria, registro dei modelli, identità, logging, rollback e controlli runtime. I team di rischio e compliance definiscono soglie di policy, requisiti di evidenza, trigger di revisione e regole di escalation. I team di architettura stabiliscono pattern di riferimento, punti di controllo e standard di interoperabilità. I team di business restano proprietari dei risultati dei casi d'uso, dell'integrazione nei processi e della gestione delle eccezioni, sempre entro i guardrail stabiliti. Le funzioni di incident response mantengono procedure predefinite di shutdown, contenimento e recovery.

Lo studio descrive alcuni dei vantaggi che derivano da una gestione come quella proposta: le organizzazioni classificate come dotate di controllo orchestrato distribuiscono 16 volte più agenti rispetto a quelle che si affidano alla governance manuale, spendendo un quarto del budget AI e ottenendo margini operativi superiori del 18%. Inoltre, conferma che investire in standardizzazione e ingegnerizzazione del controllo fin dall'inizio riduce il rischio e l'attrito che si accumulano quando l'autonomia degli agenti cresce senza una struttura adeguata a sostenerla.

Il perno centrale dell’approccio è quindi la maturità della governance: dalle indagini risulta che gli incidenti aumentano nelle regioni e nei settori dove la crescita degli agenti non si accompagna a un rafforzamento della governance. All’opposto, dove la governance è matura, i tassi di incidente restano relativamente stabili anche quando il deployment accelera. Tra le aree geografiche, Medio Oriente e Africa guidano la crescita attesa degli agenti tra 2026 e 2027 con un +87%, seguiti da Europa e Asia Pacifico entrambe a +71%. Tra i settori, energia e petrolchimica segnano +83%, mentre trasporti e sanità si attestano a +71%. Nei settori a operatività complessa e regolamentata, come farmaceutico, energia, telecomunicazioni e banking retail, la maturità della governance riduce in modo significativo gli incidenti man mano che gli agenti si moltiplicano.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.7 - 4.6.4