Imprese e AI, la nuova sfida è il controllo: gli agenti autonomi riscrivono sicurezza e governance

Non più le giuste domande per risposte efficace. Ma reale gestione a 360° dell’AI. Questa la vera sfida delle aziende che si affidano all’intelligenza artificiale. Generare testi, codice o risposte è oggi superato. E’ il modello di gestione che fa battere la concorrenza. L’AI è entrata nei processi operativi come un’infrastruttura capace di agire: consulta database, usa strumenti, prende decisioni, attiva workflow e modifica il proprio comportamento in base al contesto. Ma oggi non è più soltanto un software interrogato da un utente, ma un sistema a cui l’organizzazione delega pezzi di esecuzione.

È qui che si apre la questione decisiva per le imprese: quanto controllo resta davvero nelle mani dell’azienda quando un agente AI opera dentro confini definiti, ma sceglie autonomamente strumenti, sequenze e percorsi d’azione? La ricerca “Autonomia Delegata” di Zenita Group ben descrive la prima generazione di sistemi digitali in cui l’organizzazione non sa più, momento per momento, cosa il sistema stia facendo. Non significa che le aziende siano prive di dashboard, log o strumenti di monitoraggio. Il punto è che questi strumenti non bastano sempre a ricostruire la logica dell’esecuzione. Nei sistemi agentici, il comportamento non è interamente predefinito: si costruisce mentre l’agente lavora, combinando modelli, dati, memoria, strumenti esterni, API e fornitori diversi. Il controllo quindi non scompare, ma cambia natura. Deve inseguire una catena d’azione più fluida, meno lineare e più difficile da attribuire. Per questo la gestione dell’AI in azienda non può più limitarsi alla scelta del modello migliore o del fornitore più performante. Servono regole operative, perimetri d’azione, soglie di intervento umano, sistemi di audit e una chiara definizione delle responsabilità.

L’impresa deve sapere non solo quali dati usa l’AI, ma quali azioni può compiere, quando deve fermarsi, chi può autorizzarla e chi risponde in caso di errore. La ricerca di Zenita legge il mercato dell’intelligenza artificiale come una competizione ormai organizzata attorno a due modelli. Da una parte c’è l’AI di scala, rappresentata da OpenAI, orientata alla costruzione di un ecosistema integrato che tiene insieme modello, prodotto, infrastruttura, developer tools, agenti software, sicurezza e rapporti con il settore pubblico. Secondo il report, a maggio 2026 Zenita ha rilevato circa 670 posizioni aperte sui portali ufficiali dell’azienda, distribuite lungo tutta la filiera. Dall’altra parte c’è l’AI di controllo, rappresentata da Anthropic.

Le 410 posizioni aperte indicate dalla ricerca mostrano una traiettoria diversa: vendita a grandi organizzazioni, ricerca, applicazioni AI, sicurezza, funzioni legali e relazioni istituzionali. È un’offerta pensata per contesti in cui l’intelligenza artificiale non può essere una scatola nera: banche, ospedali, pubbliche amministrazioni, consulenza, settori regolamentati. Qui non basta ottenere una risposta utile. Bisogna poter dimostrare quali dati sono stati usati, quali limiti sono stati rispettati e come ricostruire una decisione. La partita non si gioca più solo sui modelli.

Il valore si sposta sull’intera catena che porta l’AI dentro l’organizzazione: prestazioni, costi, agenti, accesso ai dati, qualità delle informazioni, orchestrazione, sicurezza, integrazione con i workflow e distribuzione tra cloud, on-premise e prodotti aziendali. Avere più modelli tra cui scegliere può sembrare un vantaggio, ma aumenta anche la complessità. Ogni fornitore aggiunge dipendenze, integrazioni, controlli e potenziali vincoli futuri. È il tema che Pierguido Iezzi, Cybersecurity Director di Zenita Group, ha definito “sovranità operativa”. Non basta parlare di sovranità sui dati, sul compute o sui modelli. Con gli agenti autonomi la domanda diventa più concreta: chi comanda davvero la catena d’azione? Chi decide, a runtime, cosa un agente può fare, cosa non può fare, quando deve fermarsi e chi ne risponde? Il rischio è adottare sistemi che formalmente operano per conto dell’organizzazione, ma che nella pratica rispondono a logiche, regole e dipendenze non pienamente controllate. Questa trasformazione ridisegna anche i modelli d’impresa. Zenita ne individua tre.

Il primo è la Supervisor-of-Agents Enterprise, in cui gruppi di agenti AI svolgono attività complesse e le persone assumono soprattutto un ruolo di supervisione. Il secondo è la Constitutionally-Bounded Enterprise, adatta ai settori regolamentati, dove gli agenti possono agire solo dentro regole esplicite, verificabili e documentate. Il terzo è la Dual-Stack Enterprise, che combina processi rapidi e automatizzati con controlli più rigidi su dati, decisioni e responsabilità. È il modello più vicino alle grandi organizzazioni che devono accelerare senza perdere governance. Il report introduce anche il concetto di “AI poverty”. Non significa non usare l’intelligenza artificiale, ma usarla male, tardi o in modo superficiale. È la condizione delle imprese che adottano strumenti generativi per attività isolate, senza ripensare processi, competenze, responsabilità e controlli. Secondo Zenita, gli early adopter AI-native possono ridurre i costi operativi tra il 50% e l’80%.

Per chi resta ancorato ai modelli tradizionali, il ritardo diventa quindi economico, organizzativo e competitivo. La conseguenza più critica riguarda la cybersecurity. Non basta più proteggere reti, endpoint, credenziali e applicazioni se dentro l’azienda operano sistemi a cui è stata delegata la capacità di agire. La sicurezza deve imparare a monitorare agenti AI che prendono decisioni operative e possono deviare progressivamente dal comportamento atteso. La ricerca individua 9 nuovi rischi cyber legati all’AI, organizzati attorno a 3 aree: comportamento del modello, catena delle dipendenze, identità e attribuzione. Tra i rischi più insidiosi c’è la Belief Injection. Non è una semplice prompt injection, orientata a manipolare una singola risposta, ma un attacco più lento e persistente. Mira a modificare nel tempo il modo in cui un agente legge il contesto, assegna priorità e prende decisioni. Può passare da basi documentali contaminate, dati di fine-tuning compromessi, feedback alterati o dalla tendenza dei modelli ad assecondare l’utente.

Gli altri rischi riguardano prompt che diventano codice operativo senza controlli adeguati, indebolimento delle competenze umane per effetto della delega continua, dipendenze da modelli e knowledge base esterne, interruzioni legate ai fornitori e difficoltà di attribuzione nei workflow multi-agente. Il dato più rilevante è che, secondo la ricerca, 6 rischi su 9 non hanno una copertura diretta nei controlli attuali. Gli strumenti tradizionali vedono eventi, accessi, account e sistemi, ma faticano a leggere comportamenti, catene decisionali e dipendenze cognitive. Per 30 anni la cybersicurezza è stata costruita intorno a eventi osservabili: accessi anomali, malware, log, indicatori di compromissione. Con gli agenti AI il rischio può manifestarsi come deviazione progressiva del comportamento. Non basta più chiedersi cosa sia successo. Bisogna capire cosa un sistema autonomo è più probabile che faccia nel tempo. Nei prossimi 24 mesi, l’autonomia delegata spingerà l’AI fuori dal ruolo di semplice strumento. Diventerà una componente diffusa dei processi aziendali, fatta di più modelli, più agenti, più fornitori e nuovi livelli di orchestrazione. Le imprese potranno limitarsi ad adottarla, guadagnando efficienza ma perdendo visibilità. Oppure potranno governarla, costruendo regole, limiti, responsabilità e soglie di intervento umano. Il vantaggio competitivo non nascerà dall’AI in sé, ma dalla capacità di controllarne integrazione, dipendenze e autonomia.