L’era agentica è già iniziata. È il momento di agire sulla governance dell’AI

L’identity governance è sempre stata una questione di persone L’identity governance è sempre stata una questione legata alle persone: chi ha accesso, chi lo ha approvato, chi non dovrebbe più averlo.
Chi lavora in questo settore da un po’ di tempo ha sicuramente incontrato quel caso emblematico: l’account di una persona che ha lasciato l’azienda due anni fa ma che risulta ancora nella mailing list aziendale, riesce ancora a prenotare sale riunioni, una sorta di “fantasma” nel sistema che nessuno ha mai davvero rimosso.
Una situazione leggermente imbarazzante. A volte un rilievo di compliance. Raramente un incidente serio.

La versione di questo problema nell’era degli agenti AI non è né lieve né imbarazzante.
Gli agenti che dispongono di una mailbox, leggono e scrivono su SharePoint e operano sui sistemi line‑of‑business, sui calendari e sulle API interne lo fanno in modo continuo, autonomo e senza mai comparire in un report di joiners‑movers‑leavers.
Il perimetro non si è spostato. È cambiata la popolazione al suo interno, in modi che la maggior parte dei framework di governance non era ancora progettata per rilevare.

Il gap esisteva già prima dell’arrivo degli agenti

L’adozione dell’AI non sta aspettando che i framework di governance la raggiungano.
I dipendenti utilizzano già strumenti di AI in tutte le funzioni aziendali, spesso senza autorizzazione formale, mentre la questione della responsabilità resta irrisolta ai vertici di molte organizzazioni.
Secondo una survey del 2025, i CIO controllano le decisioni di sicurezza sull’AI solo nel 29% delle organizzazioni, mentre i CISO si collocano al quarto posto con appena il 14,5%. Quasi il 40% delle aziende non ha alcuna governance specifica sull’AI, non per negligenza, ma perché l’AI dissolve i confini tradizionali su cui la sicurezza è stata storicamente costruita: rete, applicazioni, dati.
L’AI opera su tutti e tre simultaneamente e non si ferma a chiedere chi sia responsabile.
Per le organizzazioni che già gestiscono ambienti ibridi, dipendenze legacy, proliferazione di SaaS e carichi crescenti sull’identità, la realtà è immediata.
Un’AI non governata entra in questi ecosistemi complessi e agisce come un acceleratore diretto di ogni debolezza esistente.

Da problema superficiale a rischio attivo

Fino a poco tempo fa, la principale preoccupazione di governance riguardava l’esposizione dei dati.
Strumenti come Microsoft 365 Copilot rendono visibili i contenuti in base ai permessi esistenti, il che significa che ogni sito sovra‑autorizzato, ogni file share orfano, ogni contenuto sensibile mai correttamente classificato diventa immediatamente accessibile a chi sa come porre la domanda giusta. Il rischio sui dati era già presente. L’AI lo ha reso sfruttabile su larga scala.
Gli agenti rappresentano una categoria di rischio completamente diversa, e la distinzione è fondamentale.

Gli agenti possono essere indirizzati in modo errato. Un attaccante che comprende l’ambito operativo di un agente non ha bisogno di compromettere un’identità umana né di autenticarsi direttamente.

Gli agenti non si limitano a leggere. Agiscono. Scrivono. Inviano. Modificano.
Non aspettano che un comitato di governance convochi una riunione. Un agente con accesso a una mailbox può redigere e inviare email. Un agente collegato a SharePoint può modificare documenti. Un agente integrato con un sistema HR può aggiornare o cancellare record, in modo continuo, autonomo e senza mai comparire in un report di joiners‑movers‑leavers.
Ogni lacuna di autorizzazione che la prima generazione di strumenti AI ha reso visibile diventa ora una capacità che un agente può esercitare per conto di chiunque — o qualunque cosa — lo stia guidando.
Ed è qui che il rischio si intensifica in modo significativo.
Gli agenti possono essere indirizzati in modo malevolo. Un attaccante non deve compromettere un’identità umana. Gli basta inserire istruzioni dannose in un contesto che l’agente considera attendibile: un documento, un’email, una pagina web consultata durante un’attività legittima. L’agente non è in grado di distinguere tra un’istruzione affidabile e una malevola incorporata in contenuti apparentemente legittimi. Esegue. È stato progettato per questo.
Il perimetro dell’impatto si estende ben oltre ciò che un attaccante può semplicemente vedere, includendo tutto ciò che può sfruttare facendo eseguire azioni ai vostri stessi sistemi.
Gartner stima  che entro il 2026 il 40% delle applicazioni enterprise includerà agenti AI task‑specific. Solo il 6% delle organizzazioni dispone oggi di una strategia avanzata di sicurezza AI. Questo gap deve quindi essere affrontato come una realtà attuale e urgente. 

Le organizzazioni che riescono a gestire questo rischio hanno un elemento in comune: trattano la conversazione sull’implementazione dell’AI e quella sulla governance dei dati come un unico flusso di lavoro.

Cosa distingue chi gestisce il rischio in modo efficace

Le organizzazioni che riescono a gestire questo rischio hanno un elemento in comune: trattano la conversazione sull’implementazione dell’AI e quella sulla governance dei dati come un unico flusso di lavoro.

Prima di estendere l’accesso all’AI, conducono una valutazione della postura di sicurezza dei dati per comprendere cosa i loro sistemi possono effettivamente raggiungere e identificare per prime le esposizioni a rischio più elevato. Utilizzano SharePoint Advanced Management per individuare siti senza owner, correggere in modo massivo link sovra‑condivisi e applicare la Restricted Content Discovery ai contenuti più sensibili prima che qualsiasi agente vi acceda.

Implementano strumenti di discovery per ottenere una visione completa delle applicazioni AI in uso e forniscono alternative governate ai dipendenti prima di introdurre restrizioni. Per le implementazioni AI custom, applicano protezioni a livello di modello e configurano controlli di prompt inspection e content safety prima che qualsiasi applicazione acceda ai dati di produzione.

Il vero elemento differenziante non è tanto lo strumento acquistato, quanto la precocità con cui la leadership rende la governance un prerequisito non negoziabile del deployment.
Il valore di produttività dell’AI enterprise è reale. Lo è anche il rischio di introdurla senza le basi adeguate. Non sono posizioni in conflitto. Sono sequenziali.

Tre azioni da intraprendere ora, non dopo il prossimo incidente

La finestra per agire in modo proattivo non è illimitata e si sta restringendo man mano che il deployment degli agenti accelera. Tre priorità emergono chiaramente per le organizzazioni che vogliono passare da un approccio reattivo a uno strutturato..

1. Ottenere visibilità su ciò che è già in esecuzione. Non è possibile governare ciò che non si vede. Il 32% degli incidenti di sicurezza sui dati coinvolge già strumenti di AI generativa. L’arrivo imminente di Agent 365  riflette un cambiamento più ampio verso un controllo strutturato degli agenti AI. Strumenti di discovery che catalogano le applicazioni AI in uso, le valutano rispetto ai rischi di sicurezza e compliance e le mappano sull’ambiente dati sono la base di ogni decisione di governance successiva.
2. Affrontare la proliferazione dei permessi prima che gli agenti li ereditino. Il problema dell’oversharing, reso visibile dagli strumenti AI passivi, diventa un rischio operativo nel momento in cui entrano in gioco gli agenti. Identificare contenuti sovra‑condivisi, applicare la classificazione su larga scala e limitare l’accesso AI agli ambienti a più alto rischio prima che i workflow autonomi li raggiungano è una remediation mirata, non un programma di trasformazione complesso. Chi lo fa in anticipo spenderà molto meno tempo a doverlo spiegare dopo.
3. Definire la responsabilità prima che la tecnologia imponga la domanda. I leader della sicurezza indicano costantemente integrazione carente, mancanza di visibilità unificata e frammentazione degli strumenti come principali sfide di governance. Nella maggior parte dei casi, il problema non è tecnologico. È che nessuno ha deciso in anticipo chi è responsabile. Stabilire ownership chiare sulla governance dell’AI, un processo di approvazione definito per le nuove capacità AI e criteri di procurement espliciti per prodotti AI‑enabled trasforma la sicurezza da funzione reattiva a funzione proattiva. Una distinzione che conta, sia operativamente sia culturalmente.