La crescita degli agenti AI nelle imprese sta portando in primo piano un problema di sicurezza molto concreto: molte organizzazioni continuano a gestire questi sistemi come semplici script o integrazioni software, usando credenziali condivise invece di identità distinte, tracciabili e limitate per singolo agente o singolo workflow.
Il dato più rilevante riguarda le API key: il 69% delle aziende analizzate condivide credenziali tra più agenti AI. Questo significa che, se un agente viene compromesso, l’attaccante può ereditare l’intero perimetro di accesso associato a quella chiave, non solo le autorizzazioni del singolo processo violato. Il problema non è quindi soltanto la fuga di una credenziale, ma l’ampiezza del “blast radius”: una singola compromissione può propagarsi su più flussi operativi, più sistemi e più livelli applicativi.
Solo il 32% delle imprese assegna a ogni agente AI una propria identità gestita, con permessi circoscritti. È un dato significativo perché gli agenti non si limitano a leggere informazioni: possono interrogare database, richiamare API, aggiornare CRM, accedere a sistemi interni, attivare workflow e prendere decisioni operative in autonomia. Senza identità separate, diventa difficile capire quale agente abbia compiuto una determinata azione, quale workflow sia stato coinvolto, quale credenziale sia stata usata e dove revocare l’accesso in caso di incidente.
La ricerca, condotta su 107 imprese, mostra anche che il rischio non è teorico. Il 54% delle organizzazioni ha già registrato incidenti di sicurezza legati agli agenti AI e il 18% parla di violazioni effettive. La frequenza aumenta con la dimensione aziendale: nelle imprese tra 101 e 1.000 dipendenti il tasso di incidenti è indicato al 49%, mentre nelle aziende con più di 1.000 dipendenti sale al 63%. Il paradosso è che proprio nelle realtà più grandi, dove gli agenti sono più numerosi e più distribuiti, le misure di contenimento come il sandboxing risultano spesso meno presenti o meno efficaci.
Il punto tecnico centrale è l’identità non umana. Un agente AI dovrebbe essere trattato come una vera entità operativa, non come un’estensione generica di un account applicativo. Dovrebbe avere credenziali proprie, permessi minimi, scope verificabili, log leggibili, owner assegnato, policy di revoca e limiti di azione coerenti con il compito da svolgere. Se invece più agenti lavorano con la stessa API key, ogni attività finisce nello stesso contenitore di autorizzazioni e la tracciabilità si perde.
Questo spiega anche il movimento del mercato della cybersecurity. Palo Alto Networks, CrowdStrike e Cisco stanno investendo complessivamente oltre 22 miliardi di dollari in acquisizioni e nuove capacità di sicurezza orientate a identità, monitoraggio e controllo degli ambienti enterprise. L’acquisizione di CyberArk da parte di Palo Alto Networks, valutata 21,1 miliardi di dollari, va letta proprio in questa direzione: rafforzare la gestione delle identità privilegiate e delle credenziali in un contesto in cui gli agenti AI stanno diventando nuovi soggetti attivi dentro l’infrastruttura aziendale.
Anche CrowdStrike si sta muovendo sul fronte delle identità continue per agenti AI, cioè su sistemi pensati per monitorare in tempo reale chi sta agendo, con quali permessi, su quali risorse e con quale comportamento. È una risposta a un limite evidente degli strumenti tradizionali: l’IAM classico può dire se una credenziale è valida, ma non sempre riesce a stabilire se l’azione compiuta da un agente sia coerente, prevista o rischiosa.
La distanza tra percezione e realtà resta però ampia. Molte aziende dichiarano fiducia negli strumenti di sicurezza già in uso, ma il 35% ritiene che le proprie difese siano in ritardo rispetto alle capacità degli attaccanti abilitati dall’AI. Inoltre, solo una parte delle organizzazioni sembra destinare budget sufficiente alla sicurezza degli agenti, mentre il 59% prevede di aggiornare a breve i propri strumenti. È il segnale di una fase ancora immatura: gli agenti vengono adottati rapidamente, ma governance, controllo delle credenziali e osservabilità arrivano spesso dopo.
Il passaggio decisivo sarà quindi spostare la sicurezza degli agenti AI da una logica di integrazione tecnica a una logica di identity governance. Ogni agente dovrebbe avere una propria identità, credenziali non condivise, autorizzazioni granulari, audit trail completo, ambienti isolati e revoca immediata in caso di anomalia. Perché in un’architettura agentica non basta sapere che una chiave API funziona: bisogna sapere quale agente la usa, per quale scopo, con quale limite e con quale responsabilità.
