Allo stato attuale potremmo quasi dire: c’era una volta lo shadow IT. Applicazioni non autorizzate, account personali usati per documenti aziendali, Dropbox al posto dei server interni, sono fenomeni che i reparti IT conoscono bene e stanno ancora cercando di contenere. Oggi, però, il problema si è evoluto nella shadow AI, ovvero nell’utilizzo non governato di strumenti di intelligenza artificiale generativa da parte dei dipendenti per finalità lavorative.
Con la shadow AI la dinamica resta la stessa, ma il rischio cresce. Dipendenti e manager utilizzano strumenti AI non autorizzati per accelerare attività operative, dalla sintesi di documenti all’analisi dei dati fino alla generazione di codici. Sono azioni spesso compiute in buona fede, ma che sfuggono ai sistemi di governance e controllo aziendali.
Le conseguenze possono essere rilevanti. Informazioni riservate rischiano di essere trasferite su piattaforme esterne senza piena consapevolezza di dove vengano archiviate, elaborate o riutilizzate, mentre dati strategici possono contribuire involontariamente all’addestramento di modelli terzi. Parallelamente, processi decisionali e attività operative iniziano a dipendere da strumenti non verificati, introducendo errori, bias o vulnerabilità di sicurezza difficili da individuare. Il rischio maggiore, però, è culturale, perché quando l’uso non autorizzato dell’AI diventa pratica quotidiana, innovazione e rischio crescono insieme e si radicano privi di adeguati meccanismi di supervisione.
In Italia, dove la cultura della compliance è storicamente più reattiva che proattiva, il fenomeno è diffuso, come emerge dagli ultimi dati dell’Osservatorio AI del Politecnico di Milano dello scorso febbraio che rilevano che l’84% delle grandi imprese ha licenze di Generative AI ma solo il 9% ha una governance AI strutturata. Nel frattempo, 8 lavoratori italiani su 10 dichiarano di utilizzare strumenti AI non aziendali.
Anche in questo caso, le organizzazioni stanno cercando di correre ai ripari. Ma mentre si discute di policy sull’uso dei modelli e di rischi legati al data leakage, un altro rischio si sta già manifestando, più profondo, più difficile da monitorare e, potenzialmente, molto più destabilizzante.
Il problema non è più quello che l’AI impara e dice, ma ciò che fa
Siamo entrati nell’era degli agenti autonomi, in cui gli LLM non vengono più usati soltanto per rispondere a domande o generare testi o codici ma anche per gestire e orchestrare flussi di lavoro anche complessi, integrati con API aziendali, dotati di credenziali con cui possono eseguire azioni concrete utilizzando i sistemi aziendali. Un agente può aprire ticket, modificare configurazioni cloud, avviare pipeline di dati, interagire con repository di codice. Lo fa in modo non deterministico e spesso senza che alcun presidio di sicurezza lo veda.
Questo è quel fenomeno denominato shadow operation, a indicare il deployment incontrollato di agenti AI che eseguono logica, chiamano API e modificano stati operativi senza supervisione formale.
Non è un rischio ipotetico: secondo il report 2’25 “The NHI & Secrets Risk” di Entro Labs, all’interno di un’azienda media le identità non umane come workload automatizzati e agenti AI, superano quelle umane con un rapporto di 144 a 1, registrando una crescita del 44% in un solo anno. Nelle organizzazioni che hanno già distribuito l’AI su più business unit, quando si chiede ai responsabili di elencare dove sono i loro agenti, quali permessi hanno e a quali sistemi accedono, la risposta è in molti casi incerta.
Gli strumenti ci sono, ma…
Sarebbe scorretto affermare che il mercato della cybersecurity sia impreparato. Sono disponibili piattaforme di rilevamento per workload non umani e sistemi di gestione delle credenziali effimere (agenti AI ovviamente inclusi) con accesso just-in-time. Esistono inoltre soluzioni di identità per workload capaci di assegnare identità verificabili a processi automatizzati, con accesso condizionale e monitoraggio continuo, e anche strumenti per analizzare in tempo reale i flussi prompt-risposta degli stack agentici e per rilevare eventuali minacce.
Il problema non sono gli strumenti, è piuttosto legato a tre gap che le organizzazioni faticano ancora a colmare. Il primo è l’adozione: queste soluzioni non vengono ancora applicate sistematicamente agli agenti AI, troppo spesso soggetti agli stessi controlli inadeguati di un’applicazione tradizionale. Il secondo è la frammentazione: nessuna piattaforma copre in modo integrato l’intero stack agentico. Il terzo è la velocità: i framework agentici evolvono più rapidamente delle policy che dovrebbero governarli, aprendo superfici d’attacco prima che qualcuno le abbia mappate.
Inoltre, il problema non nasce quando il software è già in produzione o in esecuzione (“runtime”), ma molto prima, quando qualcuno propone una modifica al codice tramite una pull request. È lì che uno sviluppatore può assegnare all’agente privilegi eccessivi, credenziali statiche, scope troppo ampi. Se i team di sicurezza iniziano a monitorare solo quando il codice è già in produzione, arrivano tardi.
Infine, un singolo agente difficilmente opera in isolamento, è piuttosto un nodo in una rete di dipendenze che, nella maggior parte dei casi, nessuno ha ancora mappato, al contrario operazione nevralgica quanto urgente. A ciò si aggiunge la necessità di rivedere i test funzionali delle piattaforme, visto che la logica agentica introduce un’intrinseca “indeterminatezza” dei processi che rende difficile progettare casi di test sufficientemente flessibili e affidabili.
Una sfida prima organizzativa (e umana) che tecnologica
La risposta non è bloccare gli agenti AI né attendere strumenti più maturi, ma cambiare l’approccio alla loro adozione. Gli agenti vanno trattati come componenti critici dell’infrastruttura, quindi con identità verificabili, permessi rigorosi e un inventario strutturato di modelli, orchestratori e dipendenze, così da sapere quale agente opera su un processo, con quali credenziali e a quali repository accede.
Serve inoltre da un lato spostare i controlli a livello di codice, prima del deployment per non rincorrere i problemi a posteriori. Dall’altro costruire una governance coerente, con responsabilità chiare, audit trail leggibili e soglie di comportamento definite prima del go-live.
Su tutto, due messaggi emergono chiari: ciò che è invisibile, non si governa, ma soprattutto, più autonomia degli agenti non significa meno responsabilità umana, piuttosto il contrario. I sistemi agentici non sostituiscono il giudizio contestuale, la visione d’insieme e l’esperienza di dominio di un esperto umano. Supervisione, presidio dei punti critici e capacità di verificare decisioni e comportamenti degli agenti restano centrali: il vero rischio non è l’autonomia degli agenti AI, ma l’autonomia senza identità, inventario e controllo.
