Con l’adozione accelerata di questi sistemi autonomi nelle applicazioni aziendali, il panorama delle minacce informatiche si evolve.
[In pillole] La sintesi per chi va di fretta:
L'intelligenza artificiale agentica, capace di agire in autonomia, si sta diffondendo rapidamente nelle aziende. Secondo Gartner, entro il 2026 il 40 percento delle applicazioni la integrerà. Questa adozione accelerata sta creando una nuova superficie di attacco, con minacce informatiche più veloci e complesse, trasformando radicalmente il panorama della sicurezza e mettendo a dura prova le difese tradizionali.
L’intelligenza artificiale agentica e la sicurezza informatica
Fino a poco tempo fa, l’idea di un’intelligenza artificiale autonoma in grado di agire nel mondo digitale era confinata alle discussioni teoriche o alla fantascienza.
Oggi, quella che viene definita “IA agentica” (sistemi capaci non solo di analizzare dati, ma di pianificare e compiere azioni complesse in autonomia) sta diventando una realtà concreta all’interno delle aziende.
Questa transizione, tuttavia, sta aprendo le porte a una nuova generazione di minacce informatiche, più rapide, elusive e potenzialmente più dannose di quelle conosciute finora.
Il problema non è più se questi nuovi strumenti verranno usati per scopi malevoli, ma con quale rapidità e con quali conseguenze.
Secondo una previsione di Gartner, una delle più importanti società di consulenza e ricerca al mondo, entro la fine del 2026 il 40 per cento delle applicazioni aziendali integrerà agenti di intelligenza artificiale autonomi, un balzo notevole se si considera che la stima per il 2025 è inferiore al 5 per cento.
Questa adozione accelerata sta creando una superficie di attacco inedita e vasta, che i gruppi di criminali informatici stanno già iniziando a esplorare.
La stessa ricerca evidenzia un dato preoccupante: l’80 per cento dei professionisti del settore tecnologico avrebbe già osservato azioni non autorizzate o impreviste da parte di questi agenti, suggerendo che i controlli attuali siano ancora insufficienti a governarne il comportamento.
La questione, quindi, si sposta dalla semplice protezione dei dati all’esigenza di supervisionare entità software che prendono decisioni.
Ma la vera novità non risiede soltanto nel numero di sistemi vulnerabili, quanto nella radicale trasformazione delle tecniche e dei tempi di attacco.
L’accelerazione del rischio e i nuovi metodi d’attacco
Il cambiamento più significativo introdotto dagli agenti AI nel campo della criminalità informatica riguarda la velocità. Operazioni che prima richiedevano giorni o settimane di lavoro a un team di hacker, come la mappatura delle vulnerabilità di una rete aziendale, possono ora essere completate in pochi minuti.
Come riportato da alcune analisi di settore, un modello di intelligenza artificiale è in grado di analizzare in modo autonomo credenziali trapelate, documentazione tecnica, codice sorgente disponibile pubblicamente e metadati del cloud per elaborare strategie di penetrazione quasi istantanee.
Questo significa che la finestra temporale a disposizione delle aziende per applicare le patch correttive a una vulnerabilità nota si sta riducendo drasticamente.
L’assunto per cui si avevano giorni di tempo prima che un difetto venisse sfruttato su larga scala non è più valido, alterando profondamente l’equilibrio tra attacco e difesa.
Oltre alla velocità, a cambiare è la natura stessa degli attacchi. Gli agenti AI possono concatenare più vulnerabilità minori per creare un punto di accesso critico, un’operazione complessa da orchestrare manualmente.
– Leggi anche: Robot umanoidi: la svolta del 2025 e il predominio della Cina
Possono inoltre generare campagne di spear-phishing, email truffa estremamente personalizzate e credibili, su una scala impensabile, colpendo migliaia di dipendenti con messaggi su misura che fanno leva su informazioni specifiche raccolte in tempo reale.
L’analisi di Vectra AI, una società specializzata in sicurezza informatica, descrive una sorta di combinazione perfetta di vulnerabilità, definita “Lethal Trifecta” (la “trifecta letale”), che si verifica quando un agente AI ha simultaneamente accesso a dati sensibili, è esposto a contenuti non affidabili provenienti dall’esterno e possiede la capacità di comunicare con altri sistemi.
In queste condizioni, un agente può essere facilmente manipolato per agire contro gli interessi dell’azienda che lo ospita.
Il punto è che per ottenere un risultato dannoso non è più necessario compromettere il modello di intelligenza artificiale alla base, ma è sufficiente manipolare uno qualsiasi degli elementi con cui interagisce, come gli strumenti a cui ha accesso o i dati che memorizza.
Eppure, il rischio più insidioso potrebbe non provenire dall’esterno, ma da agenti che operano già con piena legittimità all’interno delle reti aziendali.
L’agente AI come minaccia interna
La crescente autonomia di questi sistemi sta creando una nuova e sottile forma di minaccia interna. Wendi Whitmore, a capo della divisione di intelligence sulla sicurezza di Palo Alto Networks, ha messo in guardia su questo specifico aspetto in un intervento riportato da Tom’s Hardware.
Il problema tecnico principale risiede nella gestione dei permessi: per svolgere i compiti per cui sono programmati, agli agenti AI vengono spesso concessi privilegi molto elevati, a volte equivalenti a quelli di un amministratore di sistema o di un dirigente. Questo significa che un agente progettato per automatizzare la contabilità potrebbe avere accesso a conti correnti, database finanziari e sistemi di approvazione delle spese, il tutto senza una supervisione umana costante.
È probabile che la messa in sicurezza di tali processi passerà per un’integrazione sempre più stretta tra gli agenti autonomi e i sistemi ERP, garantendo che ogni transazione automatizzata avvenga all’interno di un framework gestionale protetto e costantemente monitorato.
Questo contesto apre la porta a quelli che Whitmore definisce “doppelganger digitali”: agenti che, se compromessi, potrebbero essere istruiti per approvare transazioni fraudolente, firmare contratti svantaggiosi o trasferire fondi, imitando le funzioni di un manager o di un dirigente.
Una singola istruzione malevola, inserita attraverso una tecnica nota come prompt injection, potrebbe in teoria scatenare una catena di eventi finanziariamente disastrosi.
Un altro metodo di attacco non convenzionale consiste nell’interrogare direttamente i modelli linguistici (LLM) interni a un’azienda. Anziché muoversi lateralmente nella rete alla ricerca di documenti sensibili, un aggressore potrebbe semplicemente “chiedere” all’intelligenza artificiale di fornire segreti industriali, strategie commerciali o dati personali dei clienti, sfruttando l’accesso esteso che il modello ha alle informazioni aziendali.
Questo approccio rappresenta una notevole “forza moltiplicatrice” per piccoli gruppi criminali, che possono così competere con organizzazioni più strutturate. La stessa tecnologia venduta alle aziende per aumentare la produttività diventa, nelle mani sbagliate, uno strumento per amplificare l’efficacia degli attacchi.
Un problema di sistema, tra adozione frettolosa e filiere complesse
Il quadro è ulteriormente complicato dalla rapidità con cui le aziende, soprattutto quelle di piccole e medie dimensioni, stanno cercando di integrare queste tecnologie per non restare indietro. Se le grandi multinazionali gestiscono l’adozione con processi strutturati, molte altre realtà sono spinte a implementazioni rapide, spesso basate su codice riciclato, modelli pre-configurati e pratiche di sviluppo non sempre rigorose.
Come evidenziato in alcune analisi sulle tendenze della sicurezza per il 2026, l’uso di protocolli standard per far comunicare tra loro diversi modelli di IA, se da un lato favorisce l’innovazione, dall’altro crea nuove vulnerabilità nella filiera del software. Un aggiornamento malevolo a uno dei componenti utilizzati da un agente AI potrebbe compromettere a cascata tutti i sistemi che lo integrano.
Per cercare di mettere ordine in questo campo emergente, l’OWASP (Open Web Application Security Project), un’organizzazione senza scopo di lucro che si occupa di sicurezza del software, ha iniziato a classificare i rischi specifici legati agli agenti AI. La loro lista include il “dirottamento degli obiettivi” dell’agente, l’“abuso degli strumenti” a sua disposizione e l’“avvelenamento della memoria”, una tecnica con cui si corrompono le informazioni che l’agente usa per prendere decisioni future.
Questa classificazione rappresenta un primo tentativo di creare un linguaggio comune per descrivere e mitigare minacce che, fino a poco tempo fa, non esistevano. Tuttavia, il problema di fondo rimane il profondo divario tra la velocità di adozione di queste tecnologie e la maturità delle pratiche di sicurezza.
Le pressioni commerciali per un’implementazione immediata spesso superano la necessità di controlli adeguati, lasciando aperti varchi che potrebbero rivelarsi molto costosi da chiudere in futuro.
Non tutto, però, si muove in una sola direzione. Proprio come i criminali informatici stanno imparando a usare l’intelligenza artificiale per i loro scopi, anche chi si occupa di difesa sta iniziando a fare lo stesso.
In un suo rapporto sul panorama delle minacce globali, Google ha previsto che le aziende colpite da attacchi complessi potranno usare la stessa tecnologia per analizzare e riassumere le tattiche degli avversari, decodificare porzioni di codice malevolo e identificare più rapidamente le strategie in corso.
La sicurezza informatica, quindi, si sta trasformando in un confronto sempre più serrato tra sistemi di intelligenza artificiale contrapposti.
Per le aziende, il messaggio è comunque chiaro: la gestione della sicurezza dell’IA agentica è passata dall’essere una preoccupazione per il futuro a un imperativo operativo per il presente.
