Sfide di governance dell'IA agentiva ai sensi dell'Atto UE sull'IA del 2026

Con l'entrata in vigore, nell'agosto 2025, delle disposizioni attuative dell'EU AI Act, e con il pieno adempimento degli obblighi di conformità a partire dal 2026, sta emergendo un nuovo e spinoso problema per i leader tecnologici in Europa e non solo. I sistemi di intelligenza artificiale agentiva, che eseguono autonomamente attività complesse in ambienti aziendali, stanno mettendo in luce profonde lacune di governance che i quadri normativi esistenti non sono mai stati progettati per gestire.

La posta in gioco è altissima. Le organizzazioni che impiegano questi agenti autonomi rischiano multe fino a 35 milioni di euro o il 7% del fatturato annuo globale per le violazioni più gravi. E la scomoda realtà è che molte aziende attualmente non dispongono di un modo affidabile per spiegare cosa stiano facendo i loro agenti di intelligenza artificiale, né tantomeno per dimostrare che tali azioni siano lecite.

Quali sono le cause della crisi di governance?

A differenza dei modelli di IA tradizionali che rispondono a un singolo input e producono un singolo output, i sistemi di IA agentica operano con un grado di indipendenza che cambia radicalmente il calcolo del rischio. Questi agenti possono trasferire dati tra piattaforme, avviare transazioni, comunicare con API esterne e concatenare sequenze di decisioni, spesso con una supervisione umana minima in ogni fase.

È proprio questa autonomia a renderli preziosi. Aziende come Salesforce, Microsoft e Google hanno investito ingenti somme nelle architetture agentiche negli ultimi diciotto mesi. La piattaforma Agentforce di Salesforce, gli agenti Copilot di Microsoft e gli agenti Vertex AI di Google promettono di automatizzare flussi di lavoro aziendali complessi che in precedenza richiedevano l'intervento umano in ogni fase.

Ecco però la sfida in termini di governance: quando un agente prende una decisione di grande rilevanza, ad esempio rifiutando una richiesta di risarcimento assicurativo, valutando i dati medici di un paziente o segnalando un dipendente per una revisione delle prestazioni, l'organizzazione che lo implementa necessita di una traccia di controllo completa. Chi ha autorizzato l'ambito di azione dell'agente? Quali dati hanno guidato la decisione? C'è stata una supervisione umana significativa? In base ai requisiti dell'AI Act dell'UE per i sistemi ad alto rischio, queste domande non sono facoltative, ma obbligatorie per legge.

Perché la legge europea sull'IA rende questa questione urgente

La legge europea sull'IA classifica le applicazioni di intelligenza artificiale in livelli di rischio, e gli obblighi più stringenti si applicano ai casi d'uso ad alto rischio, tra cui le decisioni in materia di occupazione, la valutazione del credito, le forze dell'ordine, la gestione delle migrazioni e le infrastrutture critiche. Per una comprensione più approfondita di queste categorie, consulta la nostra panoramica sulle 5 architetture di calcolo per l'IA che ogni ingegnere deve conoscere nel 2025 .

Ecco cosa devono dimostrare le organizzazioni che implementano sistemi agentici in questi ambiti:

• Tracciabilità: Registrazione completa delle azioni, degli input e degli output dell'agente durante tutto il suo ciclo di vita operativo.
• Supervisione umana: meccanismi che consentono a persone qualificate di intervenire, annullare o arrestare il sistema in qualsiasi momento.
• Gestione del rischio: valutazione continua di come il comportamento autonomo dell'agente potrebbe produrre risultati dannosi o discriminatori.
• Trasparenza: documentazione chiara che consenta agli enti regolatori e alle persone interessate di comprendere come sono state prese le decisioni.

Il problema è che molte implementazioni di IA agentiva rendono poco chiare le responsabilità. Quando un agente orchestra azioni su più sistemi – prelevando dati da un database, eseguendo inferenze tramite un altro modello e inviando un risultato a una terza applicazione – la catena decisionale diventa opaca. Persino gli ingegneri che hanno creato il sistema potrebbero avere difficoltà a ricostruire la logica precisa alla base di un determinato risultato.

Il divario di responsabilità che i leader devono colmare

I dirigenti aziendali hanno la responsabilità ultima dei sistemi che implementano, indipendentemente dal grado di autonomia che questi raggiungono. Questo principio è esplicitamente ribadito dalla legge europea sull'intelligenza artificiale (AI Act). Chi implementa sistemi di intelligenza artificiale ad alto rischio, e non solo gli sviluppatori, è soggetto a sostanziali obblighi di conformità.

Tuttavia, un sondaggio di McKinsey risalente all'inizio del 2025 ha rilevato che, sebbene il 72% delle organizzazioni avesse adottato una qualche forma di intelligenza artificiale nelle proprie attività, meno della metà aveva implementato strutture di governance formali per tali implementazioni. Per i sistemi agentivi in particolare, il divario è probabilmente ancora più ampio, poiché molte aziende sono ancora in fase pilota e considerano la governance un problema da risolvere in un secondo momento.

Questo approccio sta rapidamente diventando insostenibile. Gli analisti del settore avvertono che le organizzazioni devono trattare la governance degli agenti di intelligenza artificiale con lo stesso rigore che applicano ai controlli finanziari o alla protezione dei dati ai sensi del GDPR. Se non è possibile verificarlo, non è possibile difenderlo, e prima o poi le autorità di regolamentazione interverranno.

Cosa dicono gli esperti

Diverse voci autorevoli nel campo delle politiche sull'IA hanno segnalato i sistemi agentivi come un punto cieco normativo. I ricercatori dell'Ada Lovelace Institute hanno sostenuto che gli attuali quadri di governance dell'IA presuppongono una relazione relativamente statica tra input e output, un'ipotesi che si rivela errata quando gli agenti concatenano nel tempo molteplici decisioni autonome.

Nel frattempo, Gartner ha previsto alla fine del 2024 che entro il 2028 almeno il 15% delle decisioni aziendali quotidiane sarebbe stato preso autonomamente da agenti di intelligenza artificiale, rispetto a una percentuale praticamente nulla nel 2023. Questa traiettoria suggerisce che il problema della governance non farà che intensificarsi con l'aumentare della diffusione.

Per i responsabili IT, il messaggio è chiaro: aspettare che le linee guida normative diventino prescrittive prima di agire è una strategia perdente. L'EU AI Act stabilisce obblighi ampi e spetterà alle organizzazioni dimostrare di averli rispettati attraverso pratiche di governance documentate e difendibili. Chi fosse interessato a creare solidi programmi di supervisione dell'IA può consultare la nostra guida su Microsoft Open-Source Toolkit Secures AI Agents at Runtime .

Cosa succede dopo?

Diversi sviluppi meritano di essere seguiti con attenzione nel corso del 2025 e nel 2026:

1. Documenti di orientamento normativo: si prevede che l'Ufficio europeo per l'IA pubblicherà linee guida dettagliate sulla conformità ad alto rischio, che potrebbero riguardare specificamente i sistemi multi-agente e agentici.
2. Funzionalità di responsabilità dei fornitori: con l'aumentare della pressione per la conformità, è probabile che i principali fornitori di servizi cloud implementeranno funzionalità avanzate di registrazione, interpretabilità e controllo per le loro piattaforme agent.
3. Cambiamenti in materia di assicurazioni e responsabilità: si prevede l'emergere di prodotti assicurativi di responsabilità civile specifici per l'IA, in quanto le imprese cercano di trasferire parte del rischio normativo associato ai sistemi autonomi.
4. Tensioni transfrontaliere in materia di applicazione delle norme: le aziende con sede al di fuori dell'UE, ma che servono clienti europei, si troveranno ad affrontare complesse questioni giurisdizionali relative all'applicazione della governance degli agenti alle loro attività.

In conclusione

L'intelligenza artificiale agentiva rappresenta uno dei cambiamenti più significativi nella tecnologia aziendale dall'avvento del cloud computing. Ma la stessa autonomia che rende questi sistemi potenti li rende anche difficili da governare, e la tempistica di attuazione dell'AI Act dell'UE non lascia spazio all'autocompiacimento.

I leader che considerano la governance un aspetto secondario rischiano non solo sanzioni normative, ma anche un'erosione della fiducia da parte di clienti, dipendenti e partner. Le organizzazioni che prospereranno in base a queste nuove regole saranno quelle che integreranno la responsabilità nei propri sistemi operativi fin dalle fondamenta, anziché adattarli a posteriori dopo che una crisi di conformità le costringe ad agire.