La agent security è il nuovo baluardo della protezione dati. Gli agenti di intelligenza artificiale si diffondono in azienda e ampliano a dismisura la superficie esposta mostrando tutti i limiti degli strumenti di difesa tradizionali.
Gli attaccanti hanno già imparando a sfruttare le debolezze intrinseche dell’agentic AI attraverso meccanismi di sfruttamento malevolo dei framework, falsificazione delle identità agentiche e dirottamento delle sessioni, che trasformano questi sistemi in veri e propri vettori d’attacco.
Indice degli argomenti
Agent security: nuove esigenze, nuovi strumenti
«Non è possibile securizzare un agente con gli strumenti del passato – ha evidenziato Umberto Pirovano, Senior Manager Technical Solutions di Palo Alto Networks, durante un incontro stampa a latere della tappa milanese del road show Ignite On Tour 2026 –. Un agente AI è un ibrido tra uomo e macchina maledettamente complesso da profilare a livello di identità, e questo crea grossi problemi di fiducia. Non ha sessioni utente classiche, non genera log nel senso tradizionale del termine e può agire in modo autonomo su diverse decine di sistemi contemporaneamente. Profilarlo con gli strumenti pensati per gli utenti umani significa lasciare aperte enormi lacune di visibilità. Le API, l’analisi comportamentale… tutto necessita di soluzioni ad hoc».
Agent security: quali sono i principali rischi
Ma quali sono i principali rischi di sicurezza legati all’impiego di agenti di intelligenza artificialevsenza un’adeguata supervisione umana – il cosiddetto human-in-the-loop?
- Accesso incontrollato ai dati: gli agenti AI, se non correttamente configurati, possono accedere a volumi enormi di dati sensibili aumentando il rischio di data leak.
- Escalation dei privilegi: un agente potrebbe ottenere autorizzazioni superiori a quelle necessarie, compromettendo l’integrità del sistema.
- Memory Poisoning: si tratta di una tecnica di manipolazione della base di conoscenza (knowledge base) dell’agente, per indurlo a compiere azioni errate o malevole.
- Attacchi alle API: sfruttamento di credenziali compromesse, token rubati o API esposte per muoversi tra sistemi ed eseguire codice da remoto.
- Autonomia incontrollata: senza supervisione, l’agente può prendere decisioni errate o dannose, innescando reazioni a catena difficili da identificare e interrompere.
Identità nel mirino: attacchi 4 volte più veloci
Il Global Incident Response Report 2026 di Unit 42, il team di threat intelligence di Palo Alto Networks, ha fotografato con precisione la dimensione del problema analizzando oltre 750 incidenti di alto profilo.
Il report evidenza il fatto gli hacker stanno sfruttando in modo sempre più massivo l’AI per accelerare l’intero ciclo di vita dell’attacco. «Il tempo che trascorre normalmente tra accesso iniziale ed esfiltrazione dei dati si è ridotto a soli 72 minuti negli attacchi più rapidi, con una velocità quattro volte superiore rispetto all’anno scorso», ha spiegato Pirovano.
Le identità compromesse rimangono il vettore principale: il 65% degli accessi iniziali deriva da tecniche basate su credenziali o ingegneria sociale, mentre le debolezze identitarie sono state sfruttate nell’89% dei casi analizzati. L’87% degli attacchi ha coinvolto due o più superfici d’attacco contemporaneamente, con casi estremi che hanno visto attività distribuite addirittura su una decina di fronti diversi.
«La complessità aziendale è diventata il più grande vantaggio per gli avversari e gli attaccanti prendono sempre più di mira le credenziali, utilizzando agenti AI autonomi per collegare identità umane e macchina, così da lanciare azioni in modo indipendente e automatizzato», ha evidenziato il manager.
Per Helmut Reisinger, CEO EMEA di Palo Alto Networks, questo si traduce in un’urgenza operativa concreta: «La rapidità è cruciale nella agent security, perché una volta che una vulnerabilità è nota, oggi grazie ai bot e all’AI passano in media da 12 a 15 minuti prima di osservare i primi attacchi che la sfruttano».
L’identità è il perimetro
La risposta strategica di Palo Alto Networks parte dalla protezione delle identità. L’acquisizione di CyberArk, completata il mese scorso, non si colloca nell’obiettivo del semplice ampliamento del portafoglio prodotti. Rappresenta, piuttosto, la conferma che l’Identity Security è oggi il pilastro fondamentale attorno a cui si può e si deve costruire la difesa dei dati dell’era agentica.
«I numeri sono piuttosto eloquenti: le identità macchina superano già quelle umane con un rapporto di 82:1 e il 75% delle aziende ammette di gestire le proprie identità umane con modelli di privilegio obsoleti ed eccessivamente permissivi. In questo scenario, quasi il 90% delle organizzazioni ha già subito una violazione incentrata sull’identità», ha messo in evidenza Reisinger, confermando che «l‘obiettivo della nostra azienda è continuare a sviluppare la piattaforma CyberArk e, progressivamente, integrare nella nostra offerta le funzionalità di gestione delle identità e dei certificati. Le soluzioni CyberArk rimarranno disponibili come piattaforma autonoma, ma la roadmap accelera verso una convergenza completa all’interno delle security operations (SecOps – ndr), con l’integrazione delle funzionalità di Cloud Detection and Response come primo passo per abbattere i silos nella cloud security».
Con Koi per garantire l’Agentic Endpoint Security
Se con l’integrazione della tecnologia CyberArk oggi è possibile stabilire l’identità associata agli algoritmi e rispondere alla domanda “chi è l’agente?”, con l’acquisizione di Koi – annunciata a febbraio – l’obiettivo è arrivare a capire “cosa sta facendo l’agente sul mio endpoint?” e, quindi, presidiare la nuova frontiera del Risk Management.
L’azienda oggetto del merge, una volta finalizzato, porterà in dote la tecnologia proprietaria di protezione degli endpoint agentici.
Dopo la chiusura dell’acquisizione, la tecnologia di Koi confluirà in due direzioni. Anzitutto, estenderà le funzionalità di Prisma AIrs, la piattaforma di sicurezza AI di Palo Alto Networks, ampliandone la copertura sulle operazioni critiche basate sull’intelligenza artificiale. Inoltre, fornirà visibilità completa sulla superficie d’attacco dell’AI a Cortex XDR, per ottimizzare le policy di protezione e prevenzione dei malware.
Dati, AI e automazione convergono nel SOC
La sommatoria delle acquisizioni più recenti operate dal vendor californiano – CyberArk, Koi e quella, già chiusa la scorsa estate, di Chronosphere, incentrata sulla tecnologia di data observability – disegna una visione strategica precisa che punta, come ha spiegato chiaramente Pirovano, a realizzare una «vera e propria metaplatform, una piattaforma delle piattaforme per la sicurezza del SOC che faccia convergere dati, AI e automazione dal momento in cui viene scritta la prima riga di codice, fino alla gestione degli incidenti e alla remediation», garantendo funzionalità evolute di agent security, gestione delle identità e degli accessi, protezione degli endpoint e intelligenza nella rilevazione precoce delle minacce.
Il Belpaese nel mirino degli attacker
Per il mercato nostrano, il quadro dipinto da Francesco Seminaroti, fresco di nomina a Country Manager Italia di Palo Alto Networks, è purtroppo a tinte fosche. «L’Italia cuba, infatti, il 9,6% degli attacchi globali, con il manifatturiero che pesa per il 16% degli attacchi subiti nel Paese. Il dato che colpisce di più riguarda, però, gli attori, perché oggi, anche alla luce degli scenari geopolitici attuali, gli attacchi legati all’hactivism in Italia sono per il 39% di natura state sponsored».
Sul fronte della readiness, la prontezza a livello operativo, c’è però ancora molto da fare: le evidenze dell’ultimo Osservatorio Artificial Intelligence del Politecnico di Milano citate da Seminaroti mostrano che sebbene il 71% delle aziende italiane stia avviando progetti AI, solo il 15% sta valutando misure di sicurezza specifiche per l’intelligenza artificiale.
Le identità sono il nuovo benchmark di sicurezza
La traiettoria di Palo Alto Networks è coerente e dichiarata: la sicurezza del futuro si gioca sull’identità degli agenti, sulla visibilità degli endpoint agentici, e sulla capacità di far convergere tutto questo in un’unica piattaforma operativa. Le acquisizioni di CyberArk e Koi non sono mosse tattiche, ma i mattoni di un’architettura pensata per un’era in cui, come ricorda Reisinger, «le identità sono il nuovo parametro di sicurezza e ogni agente AI è, potenzialmente, una porta aperta per gli attaccanti».
La sfida, in fondo, è quella descritta con precisione da Pirovano: «Le applicazioni AI sono estremamente complesse e non sono più auto-contenute e questo porta a un ampliamento della superficie d’attacco».
«Oggi – ha concluso Seminaroti, chiarendo bene la direzione intrapresa dalla tech company – grazie alle acquisizioni che abbiamo già portato a termine e abbiamo avviato, Palo Alto Networks è in grado di offrire una proposta molto più completa rispetto a qualche anno fa. Pensiamo alla governance delle identità e dell’intelligenza artificiale, che rafforziamo grazie all’integrazione con CyberArk, ma anche alle capacità di observability, sempre più cruciali per avere visibilità reale sui sistemi. Allo stesso tempo, puntiamo su consolidamento e controllo della tecnologia attraverso il nostro approccio di platformization, un modello che permette alle aziende di ridurre la frammentazione degli strumenti e gestire la sicurezza in modo più coerente e integrato. Infine, c’è un forte investimento sull’automazione, che diventa fondamentale anche per aiutare le organizzazioni a fronteggiare lo skill shortage che oggi caratterizza il nostro settore, quello della cybersecurity».
