Segnali di proliferazione incontrollata degli agenti IA e checklist per gestirla
Quasi 80% delle organizzazioni ha implementato l'IA agentica.1 Eppure solo il 21% dispone di un modello di governance maturo per questi sistemi. Il divario si manifesta nella pratica come proliferazione incontrollata degli agenti, un accumulo di agenti IA ridondanti, non governati e in conflitto in tutta l'azienda. Si stima che il 40% dei progetti di IA agentica fallirà entro il 2027 a causa della governance debole degli agenti IA e di controlli del rischio inadeguati.2
Illustriamo i segnali e le cause della proliferazione incontrollata degli agenti, insieme a piattaforme e una checklist di governance per affrontarla.
Cos'è la proliferazione incontrollata degli agenti IA?
La proliferazione incontrollata degli agenti IA è la diffusione incontrollata di agenti IA all'interno di un'organizzazione, senza una modalità centrale per tracciarli, assegnarne la proprietà o governarli. Quando team diversi costruiscono e distribuiscono agenti autonomi in modo indipendente, può verificarsi il problema degli agenti duplicati. Nessun singolo team sa quanti agenti esistono, chi possiede ciascuno di essi o a quali dati ciascuno può accedere.
Segnali di proliferazione incontrollata degli agenti IA
La proliferazione degli agenti è probabilmente già in corso se diverse delle seguenti condizioni sono vere:
- Non esiste una governance centralizzata per la distribuzione degli agenti.
- Gli strumenti di creazione degli agenti differiscono da team a team.
- Gli agenti vanno in produzione senza alcuna revisione di sicurezza.
- I nuovi agenti tendono a emergere solo dopo un guasto o durante un audit.
- Nulla definisce come o quando un agente viene dismesso.
- Due o più team hanno costruito la stessa funzionalità senza saperlo.
Perché si verifica la proliferazione incontrollata degli agenti IA
La proliferazione degli agenti IA si verifica quando i team di sicurezza sperimentano e poi scalano senza un piano condiviso. Alcune cause emergono chiaramente.
Creare un agente è ormai alla portata di quasi chiunque
Le piattaforme no-code e low-code come Creatio Studio e n8n consentono la creazione di agenti a persone che non hanno mai scritto una riga di codice. Un gruppo di prodotto potrebbe lanciare un chatbot per le domande dei clienti. Un gruppo operativo potrebbe collegare un agente per liquidare le fatture. Un gruppo di selezione potrebbe automatizzare lo screening del primo turno. Nessuno di loro si confronta con gli altri.
Non esiste un registro condiviso
Poche aziende mantengono un unico elenco autoritativo dei propri agenti. La denominazione è improvvisata e non esiste un luogo comune che registri chi ha costruito ciascun agente, cosa fa o cosa può raggiungere. Quindi un agente lanciato da un gruppo è spesso invisibile al resto dell'organizzazione.
La distribuzione salta i controlli
Gli agenti tendono a passare direttamente dalla sperimentazione all'uso reale, aggirando l'approvazione formale, i controlli di sicurezza e qualsiasi piano concordato per disattivarli in seguito.
La strumentazione è frammentata
I team IT costruiscono inoltre su stack differenti. Un gruppo potrebbe usare LangChain, mentre un altro lavora con CrewAI o AutoGen. Il Connectivity Benchmark Report 2026 di Salesforce colloca l'azienda tipo a una dozzina o più di agenti, di cui circa la metà in esecuzione isolata anziché come sistema connesso.3 Il dato di IBM è altrettanto eloquente: solo il 18% delle organizzazioni mantiene un elenco aggiornato e completo degli agenti in esecuzione.4
La traiettoria è ripida. Gartner prevede che entro la fine del 2026 il 40% delle applicazioni aziendali includerà agenti specifici per attività, contro meno del 5% dell'anno precedente.5
I cinque modelli di proliferazione incontrollata degli agenti
La proliferazione non si manifesta in un'unica forma. Tende a seguire cinque modelli, ciascuno con il proprio costo aziendale. La tabella seguente li illustra.6
La maggior parte delle organizzazioni osserva più di uno di questi modelli contemporaneamente. La duplicazione funzionale spreca denaro, gli agenti ombra nascondono rischi di sicurezza, gli agenti orfani permangono, la deriva dei permessi amplia il raggio di esplosione e la delega non monitorata rende i guasti difficili da tracciare. Individuare quali modelli sono presenti è un primo passo utile prima di scegliere una soluzione.
Piattaforme per controllare la proliferazione incontrollata degli agenti
Gravitee IA Agent Management (Agent Mesh)
Questa piattaforma riunisce agenti, modelli e strumenti in un unico catalogo che copre host come AWS Bedrock e GCP Vertex IA, e framework come LangChain e CrewAI. Aggiunge analisi dell'utilizzo, controlli di spesa e applicazione delle policy per arginare gli agenti dispersi e i costi fuori controllo.
Boomi Agentstudio
Boomi Agentstudio rileva autonomamente gli agenti in ambienti cloud, on-premises e ibridi e governa sia gli agenti costruiti con Boomi sia quelli esterni, come quelli di Amazon Bedrock. Fornisce un registro centrale, permessi basati sui ruoli, monitoraggio in tempo reale con rilevamento delle anomalie e log di audit completi.
Okta for IA Agents
Okta for IA Agents tratta ogni agente come una propria identità, proprio come fa per gli accessi dei dipendenti. Può individuare gli agenti in esecuzione in un ambiente, compresi quelli non approvati, quindi assegnare a ciascuno un proprietario umano e tracciare a cosa si connette. Quando un agente inizia a comportarsi male, gli amministratori possono tagliare il suo accesso con un kill switch e rivedere una registrazione completa della sua attività.
IBM watsonx Orchestrate
watsonx Orchestrate funge da piano di controllo che riunisce gli agenti IA dispersi in un unico luogo per la gestione. I team possono vedere cosa fa ogni agente, impostare regole per l'esecuzione degli agenti e coordinarli tra app e flussi di lavoro. Si connette anche con agenti e strumenti già in uso, quindi non è necessario ricostruirli per tenerli sotto controllo.
Checklist pratica in 7 fasi per la governance degli agenti IA
Entro il 2028, si prevede che le aziende Fortune 500 utilizzeranno oltre 150.000 agenti. 7 Governare gli agenti per gestire la proliferazione incontrollata degli agenti IA diventa più impegnativo della situazione attuale. Abbiamo creato una checklist in 7 fasi, 22 punti per la governance degli agenti IA:
Fase 1: Gestione della domanda
- Valutare ogni richiesta prima dell'approvazione. Non tutte le attività richiedono un agente. Una semplice struttura decisionale aiuta: utilizzare l'automazione fissa e basata su regole per il lavoro deterministico e ad alto volume come lo smistamento delle fatture, la convalida dei dati o la segnalazione di conformità, e riservare gli agenti per il lavoro che richiede veramente ragionamento, adattamento o output probabilistico.
- Verificare se un agente esistente svolge già il compito prima di commissionarne uno nuovo.
Fase 2: Scoperta
- Eseguire una scoperta sistematica in tutto l'ambiente. Inventariare ogni agente insieme al suo scopo, all'ereditarietà dell'identità e ai permessi e percorsi di accesso ai dati, includendo sia gli agenti autorizzati sia l'IA ombra trovata organicamente tra i team.
- Trovare ciò che esiste prima di adottare un nuovo agente IA. I team non possono gestire ciò che non vedono, quindi individuare prima tutti gli agenti esistenti in ogni reparto.
- Rendere la scoperta continua, non un audit una tantum, poiché continuano ad apparire nuovi agenti.
- Costruire un registro centrale. Creare un unico luogo per il registro degli agenti, incluse le loro funzioni e i proprietari, per prevenire lo sviluppo duplicato e chiarire le responsabilità.
Fase 3: Identità e sicurezza degli agenti
- Dare a ogni agente la propria identità. Trattare gli agenti come identità di prima classe e applicare la stessa gestione degli accessi utilizzata per il personale e gli account di servizio.
- Applicare il principio del minimo privilegio. La corsa iniziale ha concesso agli agenti chiavi API di alto livello e permessi estesi sulle fonti di dati sensibili per renderli privi di attrito, creando un enorme raggio di esplosione quando un agente IA con privilegi eccessivi interpreta male un prompt o incontra una dipendenza compromessa.
- Usare permessi a tempo che scadono invece di persistere indefinitamente.
- Definire in anticipo il ciclo di vita e il modello di permessi. Gestire l'identità dell'agente, il modello di permessi e i controlli di accesso, quindi rivedere e ritirare gli agenti ridondanti per prevenire la proliferazione incontrollata.
Fase 4: Governance e policy
- Stabilire regole chiare su chi può costruire e condividere gli agenti. Definire chi può creare agenti, chi può condividerli e quali connettori sono consentiti.
- Richiedere l'approvazione prima della distribuzione. Impedire ai team di distribuire agenti senza approvazione, consentendo comunque loro di lavorare su progetti approvati, bilanciando innovazione e supervisione.
- Governare il livello dati. Controllare quali informazioni ogni agente può accedere, mantenere aggiornati tali dati, gestire i permessi per evitare la condivisione eccessiva e archiviare i dati quando sono obsoleti.
- Mappare dove fluiscono i dati personali e regolamentati, in modo che la conformità a GDPR, HIPAA e norme simili rimanga verificabile.
Fase 5: Strategia della piattaforma
- Scegliere presto una piattaforma di costruzione standard. Scegliere una piattaforma standard per i nuovi agenti e iniziare a districare quelli legacy costruiti altrove, perché la proliferazione peggiora solo nel tempo e far rispettare lo standard presto evita di pagare il costo in seguito.
- Mettere la governance al di sopra di ogni singolo fornitore. Gli stack aziendali sono per impostazione predefinita multi-fornitore, quindi sono necessari un livello di controllo unificato, standard di comunicazione condivisi e orchestrazione indipendente dal fornitore piuttosto che controlli per singolo strumento.
- Offrire modelli approvati in modo che costruire entro i limiti sia più facile che aggirarli.
Fase 6: Operazioni
- Stabilire una visibilità continua sul comportamento degli agenti. Monitorare l'utilizzo degli agenti, verificare la conformità alle policy, rilevare comportamenti anomali e correggere gli agenti che superano l'ambito previsto o la tolleranza al rischio.
- Osservare le integrazioni SaaS e le connessioni OAuth, poiché il rilevamento di agenti non autorizzati richiede una scoperta continua delle applicazioni nell'ambiente SaaS.
- Dismettere gli agenti secondo un programma. Creare un processo di dismissione documentato in modo che gli agenti orfani non continuino a funzionare e a generare costi inutili.
Fase 7: Responsabilità organizzativa
- Assegnare un individuo per la gestione del ciclo di vita di ciascun agente.
- Costruire una cultura dell'uso responsabile. Supportare la forza lavoro con formazione e una comunità di pratica per guidare l'adozione e diffondere buone abitudini di gestione degli agenti in tutta l'organizzazione.
- Formare un gruppo di governance interfunzionale che abbracci IT, sicurezza, area legale, conformità e business.
Cita questa ricerca
Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.
@misc{phd2026,
author = {PhD., Ezgi Arslan,},
title = {{Segnali di proliferazione incontrollata degli agenti IA e checklist per gestirla}},
year = {2026},
month = jul,
howpublished = {\url{https://aimultiple.com/ai-agent-sprawl}},
note = {AIMultiple. Consultato il 7 Luglio 2026}
}

Sii il primo a commentare
Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.