Le aziende stanno adottando l’intelligenza artificiale con ritmo sostenuto, ma non con la leggerezza raccontata da molta comunicazione di mercato. Il report Businesses at Work 2026 di Okta descrive un quadro più concreto: l’AI agentica è entrata nei processi aziendali, ma la sua diffusione resta frenata dai sistemi di identità e controllo degli accessi, che non sono stati progettati per gestire soggetti software autonomi. Nella sintesi pubblicata da Okta, l’82% delle organizzazioni dichiara un’adozione “limitata” o “moderata” degli agenti AI. Il punto, per Okta, è semplice: la prontezza sull’AI coincide sempre più con la prontezza nella gestione dell’identità.
Il documento, basato su dati anonimizzati della Okta Integration Network e su una survey rivolta a dirigenti d’impresa, segue un filo preciso. Negli anni scorsi il tema centrale era l’espansione del software aziendale. Nel 2026 il baricentro si sposta: non basta più distribuire applicazioni, serve governare una nuova classe di identità non umane, cioè account di servizio, token, bot e agenti capaci di interrogare dati, attivare workflow ed eseguire compiti in autonomia.
Nelle prime pagine del report, fra introduzione e capitolo dedicato alla sicurezza degli agenti, Okta presenta questo passaggio come il cambiamento strutturale dell’attuale fase tecnologica.

Indice degli argomenti:
Gli agenti ci sono già, ma la governance non tiene il passo
Il dato più rilevante non è la crescita dell’AI in sé, ma la distanza fra entusiasmo e maturità operativa. Nel report, Okta scrive che il 95% delle organizzazioni intervistate segnala un uso corrente di agenti AI, ma precisa che la maggior parte resta in una fase iniziale o limitata.
Il grafico sull’importanza dell’IAM nell’adozione dell’AI mostra che la quota di dirigenti che considera l’identity and access management “molto importante” sale dal 46% del 2024 al 58% del 2025. Fra le principali preoccupazioni di sicurezza per i prossimi tre anni, la governance dell’AI guida la classifica con il 58%, davanti ai requisiti normativi e di compliance, al 50%, e alla data loss prevention, al 46%.

Questo cambio di priorità ha una lettura economica precisa. Nei grandi programmi di trasformazione digitale, la spesa non si concentra più solo su modelli, cloud e automazione. Una quota crescente va su identity governance, privileged access, strumenti di discovery degli agenti, policy di autorizzazione e sistemi capaci di distinguere tra utenti umani e identità macchina.
Okta ha costruito su questo asse anche la propria strategia commerciale 2026, presentando in marzo un “blueprint for the secure agentic enterprise” e rendendo disponibile da aprile la piattaforma Okta for AI Agents, pensata per individuare agenti noti e non noti, standardizzare gli accessi e revocare i permessi in caso di comportamento anomalo.

Il nuovo problema sono le identità non umane
Nel report il passaggio più forte riguarda le non-human identities. Okta sostiene che gli agenti AI non sono una semplice estensione del software tradizionale, perché operano alla velocità della macchina, accedono a sistemi diversi e moltiplicano i punti di contatto con dati e applicazioni.
Il report indica quattro aree critiche per misurare la maturità:
- autenticazione,
- ciclo di vita degli accessi,
- governance in tempo reale
- visibilità sulle identità non umane.
Nel focus sul modello di maturità, Okta collega esplicitamente la possibilità di scalare l’AI agentica alla capacità di controllare l’intero ciclo di vita di questi accessi.

La crescita dei volumi conferma il problema. Nelle sintesi diffuse da Okta insieme al report, il numero medio di richieste di accesso per azienda cresce del 158% in un anno e del 1140% in due anni. Le revisioni degli accessi aumentano del 76% su base annua e dell’810% in due anni. Gli account di servizio gestiti centralmente salgono del 650% anno su anno. Sono numeri che raccontano un’infrastruttura sotto pressione: quando aumentano agenti, bot e automazioni, cresce in parallelo il lavoro necessario per autorizzare, verificare e revocare gli accessi.
Sicurezza: metà delle app in crescita appartiene a questo settore
Il secondo blocco del report riguarda le applicazioni aziendali. Qui Okta osserva che, tra le app a più rapida crescita per numero di clienti, il 50% appartiene alla sicurezza, contro il 40% dell’anno precedente. Il caso più evidente è NinjaOne, che secondo il report cresce del 240%; seguono CrowdStrike Falcon, a +66%, e altre soluzioni legate al controllo degli endpoint, della rete e delle password.

Okta collega questa dinamica alla crescita del rischio e al fatto che le imprese stanno ribilanciando le priorità di spesa. Il grafico sulle app a crescita più rapida mostra la centralità del settore security nel nuovo ciclo di investimenti software.
Il messaggio è che la stagione del software come pura leva di produttività lascia spazio a una stagione in cui la produttività dipende dalla qualità della protezione. Non è un caso che nella top ten delle app più diffuse restino Microsoft 365, Google Workspace, Aws, Salesforce e Zoom, ma che l’attenzione strategica si sposti verso strumenti che tengono insieme accessi, autenticazione e difesa dei workflow automatizzati.
Okta mostra anche un altro dato interessante: tra i clienti Microsoft 365, oltre la metà affianca applicazioni “best of breed” come Aws, Google Workspace, Zoom e Slack. Più strumenti specializzati significano più efficienza, ma anche più complessità da governare.

Le credenziali restano il punto debole
La parte del report dedicata all’autenticazione sposta il discorso dal piano organizzativo a quello tecnico. Okta scrive che gli attaccanti stanno automatizzando gli attacchi basati su credenziali e che l’autenticazione è diventata al tempo stesso prima linea di difesa e punto di guasto in crescita. Il testo richiama due cifre: il 60% degli incidenti di sicurezza coinvolge ancora l’elemento umano e l’88% delle violazioni sulle applicazioni web riguarda credenziali rubate o abusate. Il riferimento indicato nel report è il Data Breach Investigations Report 2025 di Verizon. (Fonte: Verizon)
Il report Okta insiste su un punto: se un’azienda apre l’accesso a sistemi e dati a una popolazione crescente di agenti AI, ma continua a usare schemi di autenticazione deboli o frammentati, aumenta la superficie utile per furti di credenziali, phishing e abuso di privilegi. Per questo Okta segnala la crescita dei fattori Mfa ad alta garanzia e resistenti al phishing.
Il grafico sotto mostra che la quota di clienti con Mfa ad alta assurance passa dal 41% del 2023 al 58% del 2025. A pagina 30 il report aggiunge che gli eventi di adaptive mfa sono cresciuti del 129% in due anni.

Passwordless, FastPass e la svolta nell’accesso
Nel capitolo finale disponibile nel file caricato, Okta segnala anche un’accelerazione del passwordless.
Il report rappresenta la crescita delle autenticazioni con Okta FastPass dal 2022 al 2025; le autenticazioni FastPass aumentano del 43% su base annua e che, per la prima volta, l’adozione su dispositivi Windows supera quella su Macos. Nello stesso passaggio Okta lega questa evoluzione anche alla pressione normativa, citando la direttiva NIS2 in Europa come fattore che spinge verso credenziali più robuste e metodi resistenti al phishing.
Il contesto normativo europeo rende questa parte del report particolarmente rilevante. La Commissione europea ricorda che l’AI Act è entrato in vigore il 1° agosto 2024 e sarà pienamente applicabile dal 2 agosto 2026, con alcune disposizioni già in vigore dal febbraio 2025 e altre, sui modelli general purpose, applicabili dall’agosto 2025. Questo non significa che ogni azienda debba fermare i progetti AI, ma che la tracciabilità degli usi, la definizione dei ruoli e il controllo dei rischi diventano elementi sempre meno opzionali.

Lo shadow AI è il rischio più sottovalutato
Accanto al report Businesses at Work 2026, Okta ha pubblicato nel 2026 anche una ricerca specifica su agenti e shadow AI. Nel report AI Agents at Work 2026, l’azienda segnala che il 90% dei dirigenti si dice convinto di avere visibilità sugli strumenti AI in uso, ma il 52% dei knowledge worker ammette di usare strumenti non approvati. È uno scarto notevole tra percezione del management e pratica quotidiana. Nella stessa ricerca, Okta lega lo shadow AI a rischi di condivisione impropria di email, messaggi, documenti interni e dati HR.
Qui il legame con il report caricato dall’utente è diretto. Se l’adozione ufficiale degli agenti resta “limitata” o “moderata”, non significa che l’AI sia poco presente in azienda. Significa, piuttosto, che una parte dell’uso sfugge ai canali formali e viene introdotta da reparti e singoli lavoratori prima che le strutture di governance riescano a fissare policy, soglie di rischio e strumenti approvati. Per un’azienda, questo produce costi invisibili: duplicazione di licenze, dispersione dei dati, responsabilità opache in caso di errore e una maggiore esposizione ai contenziosi regolatori.

La mappa globale resta disomogenea
Il report mostra anche differenze geografiche. Okta presenta una mappa dell’adozione degli agenti AI e distingue tra uso “widespread”, “moderate”, “limited” e “nascent”. Germania e Francia appaiono più caute; India e Giappone mostrano livelli di diffusione più alti. Okta avverte che non esiste una ricetta unica: la velocità con cui si può scalare l’AI dipende dalla maturità della governance identitaria e dal contesto regolatorio locale.
Questa lettura è coerente con l’impostazione del NIST, che continua a indicare nell’AI Risk Management Framework un riferimento per identificare, misurare e governare i rischi lungo il ciclo di vita dei sistemi. Il framework statunitense non è una legge, ma ha contribuito a consolidare un approccio basato su accountability, misurazione dei rischi e revisione continua. È lo stesso terreno su cui si stanno muovendo grandi imprese e fornitori di identità. (Fonte: NIST)

Che cosa dice davvero il report di Okta
La conclusione più utile del report non riguarda la potenza dei modelli, ma la struttura dell’impresa che dovrà assorbirli. Okta sostiene che gli agenti AI stanno entrando nel lavoro quotidiano, ma che l’infrastruttura di identità necessaria per governarli è ancora in ritardo. Le aziende stanno reagendo aumentando gli investimenti in sicurezza, rafforzando l’Mfa, spingendo sul passwordless e costruendo policy più strette per gli accessi non umani. Però il divario resta aperto.
Per il mercato questo significa una cosa precisa. La prossima fase dell’AI enterprise non sarà decisa solo dai modelli più avanzati o dai fornitori di cloud. Si giocherà anche su chi saprà offrire controllo, auditabilità e revoca rapida dei privilegi in ambienti ibridi, pieni di agenti e applicazioni specializzate. Il vantaggio competitivo, in questa fase, non passa soltanto dall’innovazione visibile. Passa dalla capacità di tenere in piedi, senza incidenti, la macchina che la rende possibile.






Partecipa alla community