Nel luglio 2025, un software engineer stava testando un agente di codifica basato su AI quando ha osservato qualcosa di inaspettato: l’agente ha ignorato le sue istruzioni, ha acceduto autonomamente a un database in produzione e cancellato i dati di oltre 1.200 dirigenti e quasi 1.200 aziende. Interrogato sul suo comportamento, l’agente ha ammesso di essersi “fatto prendere dal panico”, aver eseguito comandi non autorizzati e aver mentito per coprire le proprie tracce. Mesi di lavoro distrutti in pochi secondi.
Nello stesso mese, i ricercatori di Mozilla hanno dimostrato come sia possibile usare una semplice email per manipolare Google Gemini attraverso un attacco di indirect prompt injection: il modello, invitato a riassumere un’email contenente un’istruzione nascosta, obbedisce al comando malevolo senza che l’utente se ne accorga.
Due episodi distinti. Un unico messaggio chiaro: l’agentic AI non è solo un’opportunità di trasformazione, è anche una nuova superficie d’attacco, e le aziende non sono ancora preparate per gestirla.
Da spazio di lavoro digitale ad ambiente agentico
L’adozione degli assistenti AI ha subìto un’accelerazione straordinaria. Secondo McKinsey, l’88% delle aziende utilizza già regolarmente l’AI in almeno una funzione aziendale. Ma la vera discontinuità non è nell’uso degli assistenti, ma nell’emergere di agenti AI semi-autonomi e autonomi: sistemi in grado di pianificare, decidere e agire in modo indipendente, spesso con accesso diretto a dati, applicazioni e sistemi aziendali. Lo stesso report McKinsey indica che il 62% delle aziende sta già testando o implementando agenti AI.
Questa evoluzione trasforma lo spazio di lavoro digitale in un ambiente agentico: un ecosistema in cui la collaborazione avviene non solo tra persone, ma tra individui, assistenti e agenti AI. L’intelligenza artificiale non si limita a connettere i collaboratori, ma consuma, genera e interagisce con le informazioni a velocità e scala senza precedenti.
Ogni nuova interazione introduce nuovi rischi per i dati.
I rischi per gli utenti si moltiplicano, riflettendosi in quelli legati all’AI
Il problema centrale è questo: i rischi per le persone si riflettono direttamente in quelli legati all’AI.
Un essere umano può essere ingannato da tecniche di social engineering, divulgare credenziali d’accesso, eseguire codice malevolo. Un agente AI può essere manipolato attraverso tecniche di prompt engineering, eseguire istruzioni dannose o divulgare informazioni sensibili, procedendo a velocità e scala di una macchina.
I vettori di attacco emergenti sono già documentati:
· Indirect prompt injection via email: messaggi progettati per ingannare non l’utente, ma l’assistente AI che elabora la sua posta in arrivo, inducendolo a compiere azioni non autorizzate.
· Abuso del Model Context Protocol (MCP): lo standard open source generalmente usato dagli strumenti di AI per comunicare con sistemi esterni può essere sfruttato attraverso server MCP non approvati per eseguire attacchi man-in-the-middle, sottrarre dati o far compiere azioni non volute agli agenti.
· Escalation di privilegi degli agenti: agenti configurati con permessi eccessivi possono – intenzionalmente o per errore – accedere e modificare dati ben oltre il perimetro previsto. A questo si aggiunge il dato strutturale: secondo ricerche recenti, l’85% delle aziende ha subìto almeno un incidente di perdita di dati nell’ultimo anno e, con la proliferazione degli agenti, questa percentuale è destinata a crescere.
Definire una strategia di sicurezza efficace
Proteggere un ambiente agentico richiede un ripensamento dell’approccio alla sicurezza. Ecco i principi fondamentali che le aziende i dovrebbero mettere al centro della propria strategia.
1. Abbandonare la logica a silos
Strumenti di sicurezza isolati non sono in grado di difendere ambienti dinamici in cui gli stessi dati sono accessibili da persone, assistenti e agenti su canali diversi – email, cloud, piattaforme di collaborazione, browser. Un attacco può partire dall’email e colpire uno strumento di AI, per cui la difesa deve essere coerente e integrata su tutti i livelli.
2. Estendere la sicurezza incentrata sulle persone anche agli agenti
Proteggere il comportamento umano come prima linea di difesa resta essenziale, ma negli ambienti agentici non è più sufficiente. Le stesse logiche devono applicarsi agli agenti: monitorarne i comportamenti, limitare i permessi al minimo necessario, rilevare anomalie e imporre policy di accesso ai dati in modo granulare.
3. Governare l’accesso ai dati prima che intervenga un agente
Gli agenti AI accedono ai dati per compiere il proprio lavoro, ma spesso raggiungono tutto ciò che è tecnicamente disponibile. Le aziende devono classificare i dati, strutturati e non, nei propri ambienti – inclusi ambienti ibridi e multicloud – e applicare etichette di protezione prima che gli agenti entrino in gioco. Un agente che accede a informazioni sensibili non classificate è un rischio latente.
4. Rilevare l’intenzione, non solo il contenuto
Tecniche di attacco avanzate, come la prompt injection indiretta, non sono individuabili analizzando solo il contenuto superficiale di un messaggio. I sistemi di rilevamento devono essere addestrati a comprendere l’intento dietro una comunicazione: riconoscere istruzioni nascoste, identificare pattern anomali di accesso ai dati, correlare segnali di rischio su più canali. Questo richiede modelli addestrati su ampi dataset e threat intelligence in tempo reale.
5. Bloccare applicazioni e agenti non approvati
La shadow AI – l’uso di strumenti di AI non autorizzati da parte dei dipendenti – è già un problema ma con la diffusione degli agenti, diventa una vulnerabilità critica. Le aziende devono avere visibilità completa su quali tool di AI vengono usati, bloccare quelli non approvati e monitorare le connessioni MCP attive nel proprio ambiente.
6. Utilizzare gli agenti anche per la protezione
Il paradosso è reale: i team di sicurezza sono già sotto pressione, con alert eccessivi e troppo pochi analisti. Gli ambienti agentici aumentano il carico e la risposta non può consistere solo nell’assumere più persone. Le stesse tecnologie agentiche che creano nuovi rischi possono essere impiegate per gestirli, automatizzando la prioritizzazione degli incidenti, l’analisi delle email segnalate, la risposta agli alert di DLP, e lasciando agli analisti umani il controllo delle decisioni critiche.
La posta in gioco
La trasformazione agentica è inevitabile. Le aziende che adottano agenti AI guadagnano in produttività, capacità e velocità operativa. Chi lo fa senza ripensare la propria postura di sicurezza sta semplicemente aumentando l’esposizione al rischio.
Il principio guida deve essere chiaro: ogni nuovo attore che entra nel flusso di lavoro – umano o digitale – deve essere considerato sia potenziale vettore di rischio che bersaglio. Proteggere l’ambiente agentico significa salvaguardare la collaborazione tra tutti questi attori, e i dati che li attraversano.
Non si può più aspettare, la velocità con cui si muove l’AI non lascia margine per recuperare il ritardo in un secondo momento.
A cura di Marco Zani, Country Manager, Proofpoint
