Il divario di governance degli agenti AI: perché un deployment rapido sta costruendo la responsabilità di domani

Cosa sta realmente accadendo con i deployment di agenti AI?

Le organizzazioni distribuiscono gli agenti AI più velocemente di quanto li governino. Nel 2026 la spesa per il software di agenti AI è stimata in 206 miliardi di dollari, in crescita del 139 percento rispetto al 2025. Allo stesso tempo, l'88 percento delle organizzazioni ha segnalato un incidente di sicurezza confermato o sospetto legato a un agente AI nell'ultimo anno, e solo il 14,4 percento degli agenti è andato in produzione con la piena approvazione di IT e sicurezza. Il divario tra la velocità di deployment e la prontezza della governance non si sta riducendo. Si sta ampliando.

Non si tratta di un fallimento della tecnologia. Gli agenti AI funzionano. Il fallimento è la governance: le organizzazioni trattano gli agenti AI come software ordinario, distribuendoli su larga scala senza mappare gli accessi che ereditano, le decisioni che prendono o i sistemi che toccano.

Perché la governance uniforme fallisce

Gartner lo ha affermato chiaramente a maggio 2026: applicare una governance uniforme a tutti gli agenti AI, indipendentemente dal loro livello di autonomia e dal loro ambito, porterà al fallimento degli agenti AI in azienda. La ragione è strutturale. Un agente che legge un calendario non rappresenta lo stesso rischio di un agente che può eseguire transazioni, aggiornare record o inviare messaggi per conto di un dirigente. Trattarli con controlli identici significa o vincolare eccessivamente quelli a basso rischio e azzerare la produttività, oppure vincolare insufficientemente quelli ad alto rischio e lasciare l'organizzazione esposta. Nessuno dei due risultati è accettabile.

Il modello giusto è proporzionale. Ogni agente appartiene a un livello di autonomia. Ogni livello ha un confine di fiducia e un requisito di governance corrispondenti: a cosa può accedere, quali decisioni può prendere in autonomia, quando deve passare la mano a una persona, e come le sue azioni vengono registrate e rese verificabili.

Come si presenta davvero una governance disciplinata degli agenti AI?

Inizia dalla visibilità. Prima che qualsiasi framework di governance abbia un senso, un'organizzazione deve conoscere ogni agente che ha distribuito, quali sistemi tocca, quali permessi detiene e chi è responsabile del suo comportamento. La maggior parte delle organizzazioni che hanno avuto incidenti non disponeva di questo inventario. Avevano agenti in esecuzione in produzione che l'IT non aveva approvato e che non riusciva a vedere completamente.

Dalla visibilità, il lavoro diventa classificazione e controllo. Gli agenti a bassa autonomia che si limitano a leggere e segnalare richiedono una supervisione leggera. Gli agenti ad alta autonomia che scrivono, eseguono o decidono richiedono limiti di ambito documentati, percorsi di escalation e revisioni periodiche. Le organizzazioni che svolgono questo lavoro ora, mentre i deployment sono gestibili, lo troveranno molto più semplice di chi arriva alla scala senza alcuna struttura e con un registro di incidenti in crescita.

Da leggere ora: ISO 42001 è ora un requisito di approvvigionamento. Il tuo programma AI è pronto?  ·  Le scadenze dell'EU AI Act sono appena cambiate. È una buona notizia o una trappola?