Log in
Sign up
Governing autonomous AI agents under human oversight

Sections

Agenti IA autonomi: la guida alla governance e alla conformità

In sintesi

  • Un agente IA autonomo persegue un obiettivo e passa all’azione con un intervento umano minimo o nullo, combinando un modello con capacità di pianificazione, memoria e accesso a strumenti.
  • È proprio l’autonomia ciò che interessa ai regolatori: il regolamento IA, il NIST e la ISO/IEC 42001 calibrano i requisiti sul grado di indipendenza con cui un sistema agisce.
  • Le difficoltà maggiori riguardano responsabilità e supervisione, non le prestazioni. Quando un agente agisce su più sistemi alla velocità della macchina, chi ne risponde e chi può fermarlo?
  • Un modello di governance operativo si articola in sei passi: inventariare, classificare, progettare la supervisione, applicare controlli tecnici, registrare e verificare, attribuire la responsabilità lungo la catena del valore.
  • La maggior parte dei contenuti pubblicati definisce gli agenti autonomi. Quasi nessuno spiega a un team di conformità come governarli. Questa guida affronta la seconda questione.
Governare gli agenti IA autonomi sotto supervisione umana

Che cosa sono davvero gli agenti IA autonomi

Un agente IA autonomo è un software in grado di comprendere un obiettivo, decidere come raggiungerlo e agire di conseguenza senza attendere che una persona approvi ogni passo. Salesforce, Microsoft e NVIDIA descrivono lo stesso meccanismo di fondo: l’agente percepisce il proprio ambiente, ragiona per costruire un piano, agisce attraverso strumenti collegati e impara dal risultato (glossario NVIDIA). Tolta la patina di marketing, un agente si riduce a due componenti: un modello che fornisce il ragionamento e un’impalcatura che fornisce la pianificazione, la memoria e l’accesso a strumenti, file e interfacce applicative. È questa impalcatura a distinguere un agente da un semplice assistente conversazionale. Un chatbot risponde. Un agente agisce. Può aprire un ticket, spostare fondi tra due conti, modificare una configurazione, inviare un messaggio o richiamare un altro servizio, per poi decidere il passo successivo in base a ciò che è accaduto. The Future Society, nella sua analisi del 2025 su come il regolamento IA raggiunge gli agenti, li definisce funzionalmente come sistemi che perseguono in autonomia obiettivi complessi e di lungo periodo, e tecnicamente come un modello di uso generale dotato di un’impalcatura di ragionamento e accesso agli strumenti (The Future Society). Conviene pensare all’autonomia come a uno spettro, non come a un interruttore:

  • L’IA assistiva risponde a una richiesta e si ferma.
  • L’IA agentica concatena più passi, ma chiede spesso una conferma.
  • L’IA autonoma percorre un ciclo completo, dall’obiettivo al risultato, e si manifesta solo quando ne ha bisogno, o quando ha finito.

Più ci si sposta verso destra in questo spettro, meno una persona vede di ogni singola decisione, e più la governance deve spostarsi dal controllo degli output alla limitazione dei comportamenti. Se state ancora ordinando il dispositivo a livello di programma, la nostra guida alla governance dell’IA pone le fondamenta su cui questo articolo si basa.

Perché gli agenti autonomi mettono in crisi la governance tradizionale

Gran parte dei dispositivi di governance dell’IA è stata pensata per sistemi che producono un output poi utilizzato da una persona. Un modello di rischio valuta una pratica e una persona decide. Un modello linguistico redige un testo e una persona lo corregge. Gli agenti autonomi eliminano questa pausa. Eseguono l’azione da soli, il che sposta il rischio dalla qualità di un output alle conseguenze di un comportamento. Tre proprietà rendono gli agenti più difficili da governare dei modelli che contengono. Innanzitutto la pianificazione di lungo periodo. Un agente concatena molti passi e i piccoli errori si sommano. Un’ipotesi sbagliata al secondo passo può generare venti azioni a valle prima che qualcuno se ne accorga. L’azione è il prodotto, e un’azione è più difficile da annullare di un testo. In secondo luogo, il problema delle molte mani. Un agente di solito gira su un modello costruito da un’azienda, integrato in un prodotto da una seconda e messo in esercizio da una terza. The Future Society lo definisce la sfida centrale della governance degli agenti: la responsabilità si disperde tra fornitori di modelli, fornitori di sistemi e deployer, ciascuno dei quali detiene solo una parte del contesto e dei controlli (The Future Society). Quando qualcosa va storto, la responsabilità resta opaca finché i doveri non sono stati attribuiti in anticipo. Infine, la fragilità di fronte agli attacchi. Poiché leggono contenuti esterni e agiscono di conseguenza, gli agenti possono essere dirottati. L’iniezione di istruzioni inserisce comandi ostili in una pagina web, un documento o un messaggio, e l’agente li segue al posto del compito reale. Le ricerche di red team del NIST mostrano che attacchi inediti contro agenti IA riescono nell’81% dei casi, contro l’11% delle difese di base (richiesta di informazioni del NIST). Un agente dirottato con accesso agli strumenti non è un problema di contenuti: è un attore, all’interno dei vostri sistemi, che esegue il lavoro dell’attaccante. Le tecniche di attacco da modellare sono catalogate in riferimenti come MITRE ATLAS. Aggiungete la velocità a queste tre proprietà. Gli agenti agiscono più in fretta di quanto una persona riesca a osservare, il che rende inservibile una supervisione concepita come controllo a posteriori. La supervisione va integrata nel percorso d’azione dell’agente, non aggiunta a posteriori.

Come regolatori e norme trattano gli agenti autonomi

Non esiste ancora una legge specifica per gli agenti. In tutti i grandi regimi emerge però uno schema chiaro: più un sistema agisce in autonomia, più si richiede a chi lo gestisce. Tre quadri contano sopra ogni altro.

Regolamento IA: l’autonomia alza l’asticella

Il regolamento IA non nomina gli agenti, ma li raggiunge su due assi, come illustra l’analisi di The Future Society. Il primo è il modello sottostante: gli agenti costruiti su modelli di IA per finalità generali con rischio sistemico trascinano i loro fornitori negli obblighi del capo V (articolo 55). Il secondo è il sistema agentico in sé, classificato ai sensi del capo III. Un agente usato come componente di sicurezza o in un caso d’uso dell’allegato III è ad alto rischio, e poiché un agente generalista può servire a molti scopi, può ricadere nell’alto rischio per impostazione predefinita, salvo che il fornitore ne escluda deliberatamente gli usi (The Future Society). Quando un sistema è ad alto rischio, l’articolo 14 sulla sorveglianza umana si applica direttamente, e la sua formulazione sembra scritta per l’autonomia. I sistemi ad alto rischio devono essere progettati in modo da poter essere «efficacemente sorvegliati da persone fisiche» durante l’uso, e la persona incaricata deve poter «decidere di non usare il sistema o di ignorarne, annullarne o ribaltarne l’output» e «intervenire sul funzionamento o interrompere il sistema mediante un pulsante di arresto o una procedura analoga» (articolo 14 del regolamento IA). La frase decisiva lega tutto all’autonomia: le misure di sorveglianza devono essere «commisurate ai rischi, al livello di autonomia e al contesto d’uso». È questo il punto: più autonomia significa più sorveglianza, per legge. Resta la questione della fattibilità. Come argomenta un’analisi di Tech Policy Press, l’articolo 14 presuppone che il comportamento di un agente possa essere reso leggibile e le sue azioni fermate o ribaltate, ipotesi tecnicamente ardua per agenti che agiscono alla velocità della macchina su un’autorità distribuita, e nessun atto di esecuzione specifico per gli agenti ha sciolto il nodo. Gli obblighi di trasparenza dell’articolo 50 aggiungono un secondo filo: le persone devono sapere quando interagiscono con un sistema di IA. Per la mappatura dettagliata si veda il nostro confronto tra quadri di governance. In Italia, il Garante per la protezione dei dati personali e l’AgID offrono già riferimenti operativi su sorveglianza e sicurezza riutilizzabili dai team.

NIST: griglie di controllo per gli agenti

Negli Stati Uniti il NIST è il più rapido sul piano concreto. Il suo Center for AI Standards and Innovation ha avviato a febbraio 2026 un’iniziativa di normazione per gli agenti IA, e il risultato più tangibile in lavorazione è un insieme di griglie di controllo COSAiS collegate alla SP 800-53, che coprono sistemi a singolo agente e multi-agente con controlli scelti a partire da modelli di minaccia espliciti (documento concettuale COSAiS del NIST). Il tutto poggia sul quadro di gestione del rischio IA del NIST, le cui funzioni governare, mappare, misurare e gestire danno già struttura al rischio agentico. La nostra guida operativa al NIST AI RMF ne illustra l’applicazione.

ISO/IEC 42001: l’impalcatura gestionale

Né il regolamento IA né il NIST spiegano come costruire il programma che reggerà questi doveri. La ISO/IEC 42001 lo fa. In quanto norma certificabile per un sistema di gestione dell’IA, fornisce politica, ruoli, trattamento del rischio e controlli di ciclo di vita che trasformano una sorveglianza occasionale in un sistema ripetibile. Trattatela come il contenitore della governance degli agenti, non come un cantiere separato; la nostra spiegazione della ISO 42001 ne presenta l’architettura.

Un modello operativo di governance per gli agenti autonomi

I quadri descrivono l’obiettivo. Non dicono cosa fare lunedì mattina. Ecco un modello in sei passi che trasforma gli obblighi visti sopra in un vero programma di governance degli agenti. Si fonda sui quattro pilastri che The Future Society ricava dalla letteratura (valutazione del rischio, trasparenza, controlli tecnici di deployment e sorveglianza umana), riordinati secondo la logica di lavoro di un team.

1. Inventariare e registrare ogni agente

Non si governa un agente di cui si ignora l’esistenza. Il primo punto cieco sono gli agenti ombra: strumenti avviati nelle funzioni di business, dotati di credenziali e accesso agli strumenti, ma mai registrati. Costruite un unico inventario in cui ogni agente abbia un titolare, una finalità, l’elenco degli strumenti e dei dati che può raggiungere e un identificativo univoco che renda attribuibili le sue azioni. È la disciplina che rende gestibile lo shadow AI, applicata a sistemi che agiscono invece di limitarsi a rispondere.

2. Classificare e graduare il rischio di ogni agente

Con l’inventario in mano, classificate ogni agente rispetto ai regimi applicabili. Eseguite un filtro allegato III per gli usi ad alto rischio, stabilite se il modello sottostante vi trascina negli obblighi GPAI e graduate l’agente in base al raggio d’impatto delle sue azioni, non all’intelligenza del modello. Per gli agenti che incidono sui diritti delle persone, la valutazione d’impatto sui diritti fondamentali è lo strumento giusto, e la sua meccanica si sovrappone al lavoro di valutazione d’impatto che i team GRC svolgono già sui dati personali.

3. Progettare la sorveglianza umana prima del deployment

L’articolo 14 si soddisfa con la progettazione, non con le buone intenzioni. Decidete, per ogni agente e per ogni classe di azione, quale modalità di sorveglianza si applica:

  • Umano nel ciclo: l’agente propone e una persona approva ogni azione rilevante prima dell’esecuzione.
  • Umano sul ciclo: l’agente agisce e una persona monitora, può intervenire e fermarlo.
  • Umano al comando: l’agente opera entro limiti rigidi che una persona fissa, verifica e può revocare.

Le azioni ad alto impatto (spostare fondi, modificare accessi, contattare clienti) devono passare per un punto di controllo o un’autorizzazione. Ogni agente ha bisogno di un arresto funzionante, il «pulsante di arresto» letterale dell’articolo 14, e di una persona designata il cui compito è azionarlo.

4. Applicare controlli tecnici di deployment

La sorveglianza sulla carta fallisce senza controlli nel codice. Date agli agenti un accesso a privilegio minimo, così che un agente dirottato possa fare ben poco. Aggiungete rifiuti d’azione in tempo reale, perché l’agente declini ciò che esula dal suo mandato, e un arresto d’emergenza che un operatore, o una barriera automatica, possa attivare. Sono i controlli tecnici di deployment che l’analisi europea della catena del valore attribuisce congiuntamente a fornitori e deployer, e la prima linea di difesa contro le iniezioni di istruzioni misurate dal NIST.

5. Registrare, verificare e monitorare

Ogni azione rilevante di un agente dovrebbe produrre una registrazione immutabile e interrogabile: che cosa ha fatto, perché, con quale autorità e con quale esito. I registri di attività sono insieme uno strumento di sorveglianza e la base probatoria di un audit o di un incidente. Quando un agente causa un danno, dovrete ricostruire la catena, ed è per questo che la registrazione degli agenti dovrebbe alimentare lo stesso flusso del vostro processo di segnalazione degli incidenti IA ai sensi dell’articolo 73.

6. Attribuire la responsabilità lungo la catena del valore

Infine, mettete per iscritto chi risponde di che cosa prima che qualcosa vada storto. Fornitore del modello, fornitore del sistema e deployer controllano rischi diversi e detengono prove diverse. I contratti e una matrice RACI interna dovrebbero assegnare ogni dovere (infrastruttura di monitoraggio, soglie di allerta, sorveglianza operativa) all’attore che può davvero adempierlo. È così che il problema delle molte mani smette di essere una scusa e diventa un’attribuzione. Una piattaforma di governance che riunisce inventario, classificazioni, controlli e prove in un unico luogo, invece che in un insieme di strumenti scollegati, è ciò che mantiene aggiornata questa attribuzione.

Agenti autonomi, IA agentica e automazione

I termini circolano in modo impreciso, e le distinzioni contano per la governance perché ogni livello porta un rischio diverso.

  • L’automazione tradizionale segue regole fisse. È prevedibile e facile da governare, ma non sa gestire ciò per cui non è stata programmata.
  • L’IA agentica usa un modello per pianificare e adattarsi su più passi, ma opera di solito entro un compito definito con frequenti punti di controllo umani.
  • Gli agenti IA autonomi percorrono l’intero ciclo con un intervento umano minimo, scegliendo i propri passi e usando strumenti per raggiungere un obiettivo.

Un motore di regole che segnala una fattura è automazione. Un sistema che legge la fattura, la giudica valida, programma il pagamento e riconcilia la contabilità è un agente autonomo. Il divario di governance non è sottile: l’automazione richiede test, mentre gli agenti autonomi richiedono sorveglianza, controlli e responsabilità perché prendono da soli decisioni rilevanti.

Errori frequenti nel governare gli agenti autonomi

  • Trattare gli agenti come software ordinario. La gestione del cambiamento e le revisioni degli accessi pensate per applicazioni statiche ignorano che il comportamento di un agente è emergente, non fisso.
  • Accesso agli strumenti non governato. Il rischio di un agente è la somma di ciò che i suoi strumenti possono toccare. Credenziali troppo ampie trasformano un piccolo guasto in uno grande.
  • Un arresto d’emergenza che non funziona. Un pulsante di arresto che nessuno ha collaudato, o che non riesce a interrompere un’azione in corso, è solo scenografia.
  • Una sorveglianza che non scala. Approvare ogni azione vanifica lo scopo, mentre sorvegliare migliaia di azioni al minuto è impossibile. Adeguate la modalità di sorveglianza all’impatto dell’azione.
  • Nessun inventario. Ogni altro controllo dipende dal sapere che l’agente esiste. Gli agenti ombra sono la causa prima della maggior parte degli incidenti.

Domande frequenti

Che cos’è un agente IA autonomo, in parole semplici? È un software che riceve un obiettivo, decide come raggiungerlo ed esegue da sé i passi servendosi di strumenti e dati, senza che una persona approvi ogni azione. Il tratto distintivo è che agisce, là dove un chatbot si limita a rispondere. ChatGPT è un agente autonomo? Da solo, no. Un chatbot a sé stante risponde alle richieste e si ferma. Diventa agentico quando lo si dota di pianificazione, memoria e accesso agli strumenti che gli consentono di agire su più sistemi verso un obiettivo. Il modello è il cervello; l’agente è il cervello più l’impalcatura che gli permette di agire. Gli agenti IA autonomi sono regolati dal regolamento IA? Sì, in modo indiretto. Il regolamento non nomina gli agenti, ma li raggiunge tramite il modello di uso generale su cui poggiano e tramite la classificazione del sistema ad alto rischio. Quando un agente è ad alto rischio, l’articolo 14 impone una sorveglianza umana efficace, commisurata al livello di autonomia del sistema (articolo 14). Qual è il rischio maggiore degli agenti IA autonomi? La combinazione di autonomia e accesso agli strumenti. Un agente che può agire sul mondo può anche essere dirottato per agire contro di voi. Il NIST ha misurato un tasso di successo degli attacchi dell’81% in condizioni di red team, ragione per cui il privilegio minimo e un arresto funzionante non sono negoziabili. Che differenza c’è tra IA agentica e agenti IA autonomi? L’IA agentica indica la capacità di pianificare e agire su più passi. Un agente IA autonomo è un sistema che esercita questa capacità con un intervento umano minimo, percorrendo da solo un ciclo completo dall’obiettivo al risultato. La maggior parte dei sistemi agentici odierni mantiene una persona nel ciclo o sul ciclo; la piena autonomia è l’estremità alta dello stesso spettro. Come si governano in pratica gli agenti IA autonomi? Inventariate ogni agente, classificatelo e graduatene il rischio, progettate la modalità di sorveglianza umana prima del deployment, imponete controlli tecnici come il privilegio minimo e un arresto d’emergenza, registrate ogni azione rilevante e attribuite la responsabilità tra fornitore del modello, fornitore del sistema e deployer.

Conclusione

Gli agenti IA autonomi portano l’IA dal consiglio all’azione, e la governance deve muoversi con loro. I quadri indicano già la stessa direzione: sorveglianza, controlli e responsabilità crescono con l’autonomia. Ciò che mancava è un modello operativo che traduca questo principio nella pratica quotidiana, e inventariare, classificare, progettare la sorveglianza, controllare, registrare e attribuire la responsabilità è quel modello. AI Sigil offre alle organizzazioni regolamentate un unico sistema di riferimento per gestirlo, così che ogni agente del vostro parco sia noto, classificato, sorvegliato e verificabile. Iniziate mappando il vostro quadro di governance dell’IA, poi integratevi i vostri agenti prima che si integrino da soli.

Marco Conti

Agenti IA autonomi: la guida alla governance e alla conformità

Gli agenti IA autonomi agiscono senza intervento umano. Inventariali, classificali, supervisionali e verificali secondo il regolamento IA, NIST e ISO 42001.

Auditabilità dell’IA: cosa rende un sistema verificabile (e come dimostrarlo)

L'auditabilità è il livello di prova della governance dell'IA. Cosa rende un sistema di IA verificabile secondo il regolamento sull'IA, ISO 42001 e NIST.

Colorado AI Act (SB 26-189): cosa richiede la conformità ADMT nel 2027

Il Colorado AI Act è stato riscritto dal SB 26-189, in vigore dal 1° gennaio 2027. Cosa richiede la norma ADMT a sviluppatori e deployer.

Framework di gestione del rischio NIST: dai sistemi all’IA

Il framework di gestione del rischio del NIST spiegato: i sette passaggi dell'RMF, le norme SP 800-37 e 800-53 e come l'AI RMF lo estende all'intelligenza artificiale.

Intelligenza artificiale etica: un modello operativo verificabile

L'intelligenza artificiale etica funziona solo come modello operativo verificabile: ogni principio diventa un obbligo, un responsabile, una prova.

Che cos’è un frontier model? Definizione, rischi e regole

Un frontier model è la classe di IA più avanzata. Come si distingue dai foundation model e dagli LLM, e come il regolamento sull'IA ne governa il rischio.