La diffusione dell’intelligenza artificiale, degli agenti autonomi e dei flussi di lavoro guidati da macchine ha reso l’identità digitale un elemento operativo centrale. In questo nuovo panorama le identità non sono più solo account umani statici: diventano entità dinamiche, spesso non umane, che nascono, mutano e scompaiono in tempo reale; comprendere questa trasformazione è fondamentale per proteggere dati e processi. Il punto focale non è più solo autenticare, ma capire e governare chi o cosa agisce e con quale intento.
Questo cambiamento espone vulnerabilità pratiche: i modelli tradizionali di IAM sono progettati per pattern prevedibili e revisioni periodiche, mentre gli agenti AI operano a velocità e con permessi che cambiano continuamente. Secondo Gartner, entro il 2028 il 25% delle violazioni organizzative sarà attribuibile ad abusi di agenti AI, una previsione che evidenzia quanto rapidamente si amplia la superficie di rischio.
Affrontare il problema richiede quindi di ripensare ruoli, processi e strumenti con un approccio sistemico.
Perché il modello di identità tradizionale non basta
Il paradigma storico di gestione delle identità contempla principalmente persone, partner e clienti con pattern di accesso relativamente stabili. Gli agenti AI di nuova generazione, invece, possono agire in autonomia, assumere privilegi temporanei e interagire con sistemi diversi in poche frazioni di secondo. Questa dinamica crea deviazioni tra autorizzazione dichiarata e operazioni effettive, minando il principio di least privilege. Di conseguenza, le pratiche come ruoli statici, revisioni semestrali e policy rigide diventano inefficaci, perché non sono pensate per identità effimere e per contesti che mutano in tempo reale.
Il ruolo degli agenti come identità di primo livello
Quando gli agenti AI diventano identità di primo livello, smettono di essere semplici account di servizio e acquisiscono capacità decisionali che impattano processi critici. In molte implementazioni odierne un utente con bassa autorizzazione può indirettamente dirigere un agente con privilegi elevati, ampliando la finestra di attacco. È quindi indispensabile distinguere tra controllo umano e autonomia dell’agente, mappando i confini di responsabilità e introducendo meccanismi che limitino l’escalation dei privilegi basata su contesto e intenti.
Conseguenze operative e di governance
La presenza di identità non umane e transitorie complica requisiti di audit, compliance e tracciabilità: capire quale decisione sia partita da un operatore e quale da un modello diventa cruciale. I sistemi di governance delle identità devono poter ricostruire catene di evento che includano segnali comportamentali e motivazioni contestuali, non solo log di accesso.
Questo richiede investimenti in nuovi strumenti, competenze e processi che integrino explainability e responsabilità tecnologica.
Da identity management a identity intelligence
La soluzione consiste nel far evolvere l’IAM verso una identity intelligence: un insieme di tecnologie e processi che sfruttano l’AI per monitorare, valutare e adattare l’accesso in tempo reale. Le decisioni di autorizzazione devono diventare contestuali e basate sul rischio, considerando segnali comportamentali dell’agente, pattern operativi previsti e anomalie rispetto all’intento. In pratica serve un controllo adattivo che possa ridurre privilegi, inserire frizioni o richiedere verifiche aggiuntive quando l’algoritmo rileva comportamento sospetto.
Una roadmap pratica per leader della sicurezza
Per implementare questa transizione è necessario un “piano di battaglia” che metta al centro trasformazione organizzativa e tecnologica: riallineare roadmap, formare competenze interne e destinare risorse alla costruzione di piattaforme IAM pronte per l’AI.
Alcuni passi chiave includono l’inventario delle identità non umane, la definizione di policy dinamiche basate su contesto, l’integrazione di sistemi di rilevamento comportamentale e l’adozione di strumenti che permettano analisi continua e risposta automatizzata. In molti casi partnership o acquisizioni mirate accelerano la chiusura delle lacune critiche.
La posta in gioco è la fiducia: ogni raccomandazione, transazione o decisione automatica dipende dall’affidabilità dell’identità che la genera. Se le organizzazioni non sapranno governare efficacemente queste identità ad alta velocità, la fiducia digitale si erode e il rischio operativo cresce. Gartner continuerà ad approfondire come governare identità, agenti e accessi AI-driven al Gartner Security & Risk Management Summit in London, dal 22–24 September 2026. Ted Ernst è senior director analyst presso Gartner e sottolinea l’urgenza di affrontare questi temi con priorità strategica.
