Il NIST (National Institute of Standards and Technology) ha aperto una consultazione pubblica sulla sicurezza dei sistemi di intelligenza artificiale agentici, raccogliendo oltre 930 contributi da organizzazioni e privati. Il Centro per gli Standard e l’Innovazione in materia di IA del NIST sta esplorando modalità concrete per aiutare le aziende a proteggere gli agenti AI da manomissioni e abusi e la risposta dell’industria è stata tanto numerosa quanto coerente nei temi principali: sì alla standardizzazione, no alla regolamentazione prematura e prescrittiva.

Perché gli agenti AI pongono rischi distinti

I commenti più articolati sono arrivati da BSA (il gruppo che rappresenta le maggiori software house mondiali), dall’American Bankers Association, dal Bank Policy Institute e da TechNet. Tutti concordano sia sul fatto che gli agenti AI non sono semplici strumenti software, sia che i paradigmi di sicurezza tradizionali faticano ad adattarsi a entità che agiscono in modo autonomo, memorizzano informazioni nel tempo e si interfacciano con sistemi esterni in modo non deterministico.

BSA ha identificato quattro vettori di rischio specifici:

  • Autonomia operativa: gli agenti producono effetti nel mondo reale senza supervisione continua, il che richiede meccanismi di oversight che i sistemi software convenzionali non contemplano
  • Capacità di commutare tra strumenti diversi, che rende inefficace l’applicazione di politiche di sicurezza statiche
  • Ritenzione di contesto nel tempo: un agente che accumula informazioni può essere compromesso attraverso l’avvelenamento delle sue fonti dati, con effetti che si manifestano in modo ritardato e difficile da tracciare
  • Natura non deterministica del comportamento degli agenti, che resiste ai controlli basati su regole predefinite

A questi si aggiunge un elemento strutturale segnalato da TechNet, ovvero la capacità degli agenti di connettersi a database di terze parti, sistemi fisici e protocolli come il Model Context Protocol (MCP). Una pratica che introduce superfici di attacco che vanno ben oltre l’applicazione stessa e che rappresenta il “lato oscuro” dell’interoperabilità, visto che la stessa caratteristica che rende gli agenti potenti li espone a catene di compromissione difficili da prevedere.

nist agenti ai

Crediti: Shutterstock

Il modello preferito: risk-based, non prescrittivo

Su come affrontare questi rischi, la posizione dell’industria è chiara e sostanzialmente uniforme. Nessuno dei gruppi vuole regole tecniche specifiche che impongano un’unica soluzione implementativa. La richiesta è se mai quella di linee guida orientate agli obiettivi (“performance-defining guidelines” nella terminologia di TechNet), che definiscano i risultati attesi in termini di sicurezza lasciando alle aziende la libertà di scegliere come raggiungerli.

Il modello citato come riferimento è quello dell’aviazione civile, per il quale, invece di prescrivere come costruire un aereo, le autorità di regolamentazione hanno stabilito standard di sicurezza legati all’esposizione al rischio e al contesto operativo. Questo approccio ha generato chiarezza sulle aspettative senza soffocare l’innovazione nella progettazione e nell’automazione dei velivoli. TechNet suggerisce esplicitamente di applicare la stessa logica agli agenti AI, riconoscendo che il livello di rischio varia enormemente in funzione del contesto di utilizzo, del grado di autonomia e del settore di impiego.

ABA e BPI hanno aggiunto una richiesta di orientamento settoriale, in particolare per il comparto finanziario, dove l’utilizzo di agenti per la gestione di scambi di asset pone problemi specifici di autenticazione delle controparti e di tracciabilità delle operazioni. La richiesta di materiali di riferimento per le “secure counterparty interactions” riflette una preoccupazione concreta, ovvero che in un contesto in cui gli agenti negoziano o trasferiscono valore in modo automatico, l’identità verificabile dell’agente stesso diventa un requisito di sicurezza.

Ricerca, identità e catene di custodia crittografiche

Oltre alle linee guida operative, i gruppi industriali hanno indicato alcune aree in cui il NIST potrebbe svolgere un ruolo attivo di ricerca e orientamento. BSA ha sottolineato la necessità di sviluppare metodi affidabili per la verifica dell’identità degli agenti AI e ha proposto l’uso di “catene di custodia crittografiche” per documentare in modo verificabile le autorizzazioni di ciascun agente, optando quindi per un approccio che renderebbe più rapida l’identificazione di comportamenti non autorizzati. TechNet ha ribadito che le soluzioni di identificazione degli agenti devono essere interoperabili, per evitare che l’adozione di standard proprietari crei barriere all’ingresso per i nuovi operatori di mercato.

Un tema ricorrente in quasi tutti i contributi è l’integrazione delle nuove indicazioni all’interno del Risk Management Framework già esistente del NIST, anziché la creazione di un corpus normativo parallelo. Questo perché la proliferazione di framework separati aumenta la complessità di compliance senza necessariamente migliorare la sicurezza reale.

(Immagine in apertura: Shutterstock)