Gartner: una governance uniforme degli agenti AI porterà al fallimento dei progetti enterprise. Entro il 2027 il 40% delle aziende ridimensionerà o dismetterà agenti AI autonomi a causa di problemi di governance
Le aziende che applicano lo stesso modello di governance a tutti gli agenti di intelligenza artificiale rischiano di compromettere i propri progetti di AI enterprise. È l’avvertimento lanciato da Gartner, secondo cui entro il 2027 il 40% delle organizzazioni sarà costretto a ridurre, declassare o addirittura dismettere agenti AI autonomi dopo incidenti operativi, problemi di compliance o falle di sicurezza emerse soltanto in fase di produzione.
Secondo la società di analisi, il nodo centrale riguarda un errore strategico sempre più diffuso: trattare tutti gli agenti AI come se avessero lo stesso livello di autonomia e lo stesso perimetro operativo.
“Le organizzazioni stanno affrontando la governance degli agenti AI in modo binario: o completamente bloccati o totalmente affidabili. Ed è proprio questa la causa principale dei fallimenti”, ha spiegato Shiva Varma, senior director analyst di Gartner.
Il tema si inserisce nel dibattito globale sulla agentic AI, la nuova generazione di sistemi capaci non solo di generare contenuti o suggerimenti, ma anche di eseguire azioni, interagire con software aziendali e prendere decisioni operative con livelli crescenti di autonomia.
Indice degli argomenti:
Perché la governance tradizionale non funziona più
Negli ultimi due anni molte imprese hanno introdotto chatbot, copiloti e strumenti basati su modelli generativi all’interno dei processi aziendali. Tuttavia, l’evoluzione verso agenti AI autonomi sta modificando radicalmente il profilo di rischio.
Secondo Gartner, il problema nasce quando le aziende non distinguono due dimensioni fondamentali:
- il livello di autonomia dell’agente;
- il livello di accesso ai sistemi aziendali e ai dati.
Un assistente AI che riassume documenti e un agente che può modificare configurazioni IT o inviare comunicazioni automatiche non possono essere governati con le stesse regole.
Applicare controlli troppo rigidi a strumenti semplici rallenta i progetti e favorisce fenomeni di shadow AI, cioè l’uso non autorizzato di strumenti esterni da parte dei dipendenti. Al contrario, regole troppo permissive sugli agenti autonomi aumentano il rischio operativo, normativo e reputazionale.
I quattro livelli di autonomia degli agenti AI
Per evitare questi problemi, Gartner propone un approccio di governance proporzionale basato su quattro livelli di autonomia.
Livello 1: Observe
Gli agenti di livello “Observe” hanno accesso esclusivamente in lettura ai dati e restituiscono output visibili solo all’utente che li ha richiesti.
Tra i casi d’uso più comuni:
- sintesi documentale;
- ricerca informativa;
- recupero di conoscenza aziendale;
- spiegazione di codice.
In questo scenario, il rischio principale riguarda l’esposizione dei dati e l’accuratezza delle risposte. Gartner raccomanda quindi controlli leggeri ma mirati:
- autenticazione utenti;
- limitazione degli accessi;
- logging delle attività;
- test funzionali e di sicurezza di base.
Livello 2: Advise
Gli agenti “Advise” generano raccomandazioni, bozze o suggerimenti operativi, ma l’azione finale resta in mano all’essere umano.
È il caso, ad esempio, di:
- drafting automatico di email;
- generazione di report;
- supporto alle decisioni;
- assistenza allo sviluppo software.
Pur senza capacità operative autonome, questi sistemi introducono un rischio meno evidente: il cosiddetto automation bias. Gli utenti tendono infatti a fidarsi delle raccomandazioni dell’AI anche quando sono errate o incomplete.
Per questo Gartner suggerisce di estendere la governance includendo:
- test di accuratezza e allucinazioni;
- verifiche qualitative specifiche per dominio;
- formazione degli utenti sul corretto livello di affidamento.
Livello 3: Act with Approval
A questo livello gli agenti possono eseguire azioni concrete — come modificare dati, inviare comunicazioni o aggiornare configurazioni — ma solo previa approvazione umana esplicita.
Secondo Gartner, qui emerge uno dei punti più critici della governance enterprise.
“La revisione umana è efficace solo se rimane un controllo significativo”, sottolinea Varma.
In contesti ad alta pressione o con flussi continui di approvazione, il rischio è che il controllo umano diventi puramente formale, generando una falsa percezione di sicurezza.
Per mitigare questo scenario, Gartner raccomanda:
- workflow di approvazione chiari;
- audit trail completi;
- test di sicurezza avanzati;
- procedure di incident response dedicate agli agenti AI.
Livello 4: Act Autonomously
Il livello più avanzato riguarda gli agenti completamente autonomi, capaci di agire senza approvazione preventiva all’interno di guardrail definiti.
In questi casi, gli esseri umani supervisionano soltanto:
- eccezioni;
- log;
- risultati aggregati;
- indicatori di performance.
Secondo Gartner, è qui che i rischi crescono in modo esponenziale.
“Quando gli agenti operano autonomamente, le azioni vengono eseguite con una scala e una velocità che possono superare la capacità di supervisione umana”, osserva Varma.
Le organizzazioni restano comunque pienamente responsabili degli effetti prodotti dall’agente, rendendo indispensabili controlli molto più rigorosi:
- monitoraggio continuo;
- guardrail obbligatori;
- meccanismi di rollback rapido;
- circuit breaker capaci di interrompere automaticamente l’operatività;
- attribuzione chiara delle responsabilità.
Un mercato in accelerazione, ma ancora immaturo
L’analisi di Gartner arriva in una fase di forte espansione del mercato degli agenti AI. Secondo IDC, la spesa globale in AI generativa supererà i 630 miliardi di dollari entro il 2028, mentre McKinsey stima che oltre il 65% delle aziende stia già sperimentando forme di AI generativa nei processi core.
Tuttavia, la maturità organizzativa resta limitata.
Numerosi studi recenti evidenziano che molte imprese hanno accelerato sull’adozione senza sviluppare parallelamente modelli di governance adeguati. Il fenomeno riguarda soprattutto:
- definizione delle responsabilità;
- auditing delle decisioni AI;
- controllo degli accessi;
- monitoraggio continuo;
- conformità normativa.
Il rischio è particolarmente elevato nei settori regolamentati — finanza, sanità, telecomunicazioni, pubblica amministrazione — dove errori o comportamenti imprevisti degli agenti possono avere conseguenze operative e legali rilevanti.
Il nodo normativo: AI Act e accountability
Il tema della governance degli agenti AI assume inoltre una rilevanza crescente in Europa con l’entrata in vigore dell’AI Act.
La normativa europea introduce obblighi specifici per sistemi ad alto rischio, imponendo requisiti di:
- trasparenza;
- tracciabilità;
- supervisione umana;
- gestione del rischio;
- robustezza e sicurezza.
Sebbene molti agenti AI enterprise non rientrino automaticamente nella categoria “high risk”, Gartner sottolinea come l’aumento dell’autonomia renda sempre più necessario un approccio strutturato alla governance.
Il punto chiave è che la responsabilità finale resta sempre in capo all’organizzazione, anche quando le decisioni operative vengono delegate a sistemi autonomi.
Dalla sperimentazione alla governance differenziata
Il messaggio di Gartner è: la fase sperimentale dell’AI enterprise sta lasciando spazio a una nuova priorità, la governance differenziata.
Non esiste un unico modello valido per tutti gli agenti AI. La governance deve adattarsi al livello di autonomia, al contesto operativo e al rischio associato.
Le aziende che non svilupperanno architetture di controllo progressive rischiano non solo incidenti operativi, ma anche un rallentamento dell’innovazione interna.
Nel breve termine, il successo dell’AI enterprise potrebbe dipendere meno dalla potenza dei modelli e più dalla capacità delle organizzazioni di costruire sistemi di supervisione realmente sostenibili.
Partecipa alla community