Nell'aprile 2026, nel giro di ventiquattro ore, OpenAI, Google e Anthropic hanno ciascuno lanciato una piattaforma AI agent enterprise. Le richieste di acquisto sulla scrivania del tuo CISO non sono più teoriche. La domanda di audit che il tuo CdA avrebbe posto il prossimo trimestre è arrivata stamattina.
Bessemer ha scritto quella settimana che la sicurezza degli AI agent è la sfida più importante della cybersecurity nel 2026. Il framework che hanno proposto è quello che la maggior parte dei CISO sta per adottare — anche chi ancora non lo formulerebbe in questi termini: ogni AI agent è un'identità. Si autentica. Riceve permessi. Accumula autorizzazioni nel tempo. Chiama strumenti, firma richieste, sposta dati. L'unica cosa che non fa — ancora — è comparire nell'identity provider, nell'audit trail o nell'access review che il tuo auditor aprirà ad agosto.
Se quella frase ti è sembrata ovvia da leggere, tienila a mente. Non è ancora operativa nella maggior parte delle organizzazioni. Il thread su r/AI_Agents che ha catturato il momento è stato lapidario: 'This is no longer about models — it's about platforms.' Io andrei un passo oltre. Non si tratta più nemmeno di piattaforme. Si tratta di soggetti. L'agent è ora un soggetto nel tuo modello di accesso, e il resto dello stack di sicurezza deve recuperare il ritardo.
Le tre domande che emergono dal framework
Quando tratti un agent come un'identità, erediti tre domande che ogni CISO risponde già per le identità umane e di servizio — e l'ordine conta.
Step 01
Cosa è in esecuzione nel mio ambiente e cosa sta facendo? Prima la discovery. Non puoi governare un insieme di autorizzazioni che non hai enumerato.
Step 02
Sto bloccando le minacce in tempo reale? Enforcement al confine, non a posteriori. I log di audit che dicono 'è avvenuto un attacco' non sono la stessa cosa di un control plane che dice 'l'attacco non è andato a buon fine.'
Step 03
Posso dimostrare che i miei sistemi si comportano come previsto? Prove che resistono alle domande di un auditor. Un log firmato. Una classificazione del rischio. Una mappatura all'articolo del regolamento applicabile.
Non sono domande nuove. Sono le stesse tre domande che già poniamo per gli utenti umani, per gli account di servizio, per le identità non-persona nell'IAM aziendale. La novità è che il soggetto è ora un agent — con le proprie dipendenze, i propri strumenti, la propria superficie d'attacco e un tasso di accumulo dei permessi molto più rapido di quanto un essere umano abbia mai gestito.
Tre risposte. Una piattaforma. Perché abbiamo strutturato Hikma così.
Quando io e i miei co-fondatori abbiamo progettato Hikma, abbiamo scritto quelle tre domande sulla lavagna prima di scrivere qualsiasi riga di codice. La piattaforma è strutturata per rispondere a ciascuna come livello distinto — Osserva, Controlla, Governa — che si compone in un unico confine al network edge.
Osserva — cosa è in esecuzione
Un inventario della popolazione di agent sui quattro tipi che vediamo in produzione: API agent, agenti di web-automation, MCP agent e skill agent. Shadow AI discovery, LLM observability e un log di audit strutturato progettato per integrarsi con un SIEM. La prima cosa di cui ha bisogno un CISO è la lista, e la lista non può provenire da un foglio Excel tenuto dal team di AI engineering.
Controlla — blocco in tempo reale
Rilevamento di prompt injection, prevenzione della fuga di dati e contenimento del blast-radius MCP. Filtraggio PII in undici lingue. Latenza del Gateway inferiore ai trenta millisecondi, perché un confine di sicurezza che aggiunge un secondo a ogni tool call è un confine che il tuo team di engineering aggirerà entro un trimestre. Non volevamo rilasciare un sistema che vince sulle slide e perde in produzione.
Governa — dimostrare il comportamento
Un policy engine per agent in CEL, identità dell'agent con trust decay, attestazioni crittografiche e HikmaScore™ come benchmark quantitativo di fiducia testato continuamente su oltre cinquanta vettori d'attacco. Questo è il livello che esiste perché, quando il tuo auditor pone la domanda, tu abbia una risposta che non richieda a un essere umano di ricordare.
Perché questo conta prima del 2 agosto
Il 2 agosto 2026 è la scadenza applicativa per i sistemi AI ad alto rischio dell'Allegato III dell'EU AI Act. Gli Articoli da 8 a 15 entrano in vigore, e la sanzione massima arriva a trentacinque milioni di euro o al sette per cento del fatturato annuo mondiale — il maggiore dei due. Se la tua organizzazione distribuisce un AI agent che interviene in una decisione di credito, un processo di selezione del personale, una verifica di idoneità ai sussidi o un flusso di lavoro clinico nell'UE, questa è la tua scadenza.
L'Articolo 12 è quello su cui torno continuamente nelle conversazioni con i clienti. Richiede la registrazione automatica degli eventi nel ciclo di vita del sistema, in modo da consentire la tracciabilità del funzionamento e il monitoraggio post-commercializzazione. Rileggi quella frase pensando a un agent. Un agent che chiama uno strumento, recupera un documento, firma una richiesta e restituisce un risultato è una sequenza di eventi. L'Articolo 12 chiede se puoi riprodurre quella sequenza su richiesta. I log predefiniti di una manciata di provider di modelli non ti ci porteranno.
Una voce terza su X ha espresso la versione operativa di questo in modo ancora più netto: 'Gli auditor hanno bisogno di risposte entro quattro ore.' Non è la promessa di Hikma; è l'aspettativa dell'acquirente. Il nostro compito è garantire che le prove esistano, firmate, esportabili e mappate all'articolo su cui l'auditor sta interrogando, in modo che la risposta in quattro ore sia una ricerca, non un'indagine forense.
Dove approda la domanda della banca
Il 9 maggio, qualcuno ha posto la seguente domanda su r/cybersecurity. Cito testualmente perché è esattamente la domanda che sento ora in ogni presentazione al settore regolamentato:
“How do I protect confidential data from unrestricted AI usage as a bank — what are good tools out there?”
La risposta onesta è che il divieto sull'uso dell'AI che la maggior parte delle banche ha tentato nei primi diciotto mesi di questa storia non ha funzionato. Le persone hanno comunque usato il modello, attraverso qualsiasi canale fosse più comodo, e il team di sicurezza l'ha scoperto dal log di audit di qualsiasi vendor SaaS che ha finito per registrarlo. Il divieto è una falsa sensazione di sicurezza. La risposta giusta — per banche, ospedali, assicurazioni, organizzazioni del settore pubblico — ha la stessa forma della risposta giusta per tutti gli altri: scopri, blocca, dimostra. Il livello di conformità è più pesante, i requisiti documentali sono più severi, ma l'architettura è la stessa.
Cosa penso accadrà
Da ora alla fine dell'anno, penso che tre cose atterreranno nel calendario di sicurezza di ogni organizzazione che ha rilasciato un agent.
Step 01
Il primo audit interno rivelerà che l'inventario degli agent in possesso del team di sicurezza è incompleto. Gli agent shadow supereranno quelli registrati con un fattore che sorprenderà.
Step 02
Il primo incidente rivelerà che il log di audit non era firmato, non era esportabile o non includeva la sequenza di tool call che contava.
Step 03
La prima richiesta di un auditor riceverà risposta in giorni invece che in ore, e la risposta richiederà a una persona con conoscenza tribale di scrivere una narrativa. Quella persona diventa il collo di bottiglia. Quel collo di bottiglia diventa la decisione d'acquisto.
Non sono previsioni. Sono storie che ho sentito, più di una volta, negli ultimi sessanta giorni. Sono ciò che il linguaggio degli acquirenti mi dice sta per arrivare su larga scala.
La forma della conversazione che vogliamo avere
Se stai leggendo questo e le tre domande ti sembrano familiari — cosa è in esecuzione, sto bloccando, posso dimostrarlo — preferirei che tu partissi da lì piuttosto che da una demo del prodotto. Abbiamo costruito Hikma per rispondere a quelle domande come piattaforma unica proprio perché l'alternativa sono tre vendor con tre Dashboard e una riconciliazione manuale nel mezzo. Ma le domande sono il lavoro. La piattaforma è la risposta.
Ogni AI agent è un'identità. Il perimetro del tuo audit si è espanso nel momento in cui ne hai rilasciato uno. La buona notizia è che le discipline di sicurezza che già pratichi — identità, enforcement, prove — sono quelle giuste. Hanno solo un nuovo soggetto. Trattalo come tale.
Scritto da
Mauro Medda
Co-Founder & CTO, HikmaAI
