Stiamo entrando in una fase dell’intelligenza artificiale che non è più solo conversazionale, ma agentiva. Se fino a ieri l’AI era un interlocutore a cui chiedere informazioni, oggi è un’entità a cui deleghiamo compiti, decisioni e azioni. In questo scenario, essere “agentivi” — ovvero capaci di agire in autonomia entro un perimetro di obiettivi — è la raccomandazione principale per chiunque, dal singolo professionista alla Pubblica amministrazione.
Tuttavia, questa nuova libertà d’azione introduce rischi sistemici. Essere agentivi oggi significa esporsi a minacce che colpiscono non solo il singolo comando, ma l’intero contesto in cui l’LLM opera. La robustezza dei protocolli di scambio tra agenti, con il protocollo MCP (Model context protocol) in prima linea, diventa dunque il nuovo pilastro della sicurezza informatica.
Bisogna far coesistere visione sistemica e pragmatismo di norme e standard. La psicologia dell’LLM (la coerenza del contesto) e la sicurezza informatica dura (RBAC/MCP) devono essere allineate alle necessità operative della PA con requisiti tecnici variabili, partendo dall’oggi del 2026.
Il framework di sicurezza: OWASP Top 10 per LLM
Il punto di riferimento per navigare questi rischi è lo standard OWASP (Open web application security project), che nel 2025 ha identificato nella Prompt Injection e nelle sue evoluzioni la minaccia numero uno. Non si tratta più solo di “ingannare” un chatbot, ma di compromettere la logica di un agente che ha accesso a database e strumenti operativi. Un attacco riuscito può portare all’esecuzione di codice non autorizzato, al furto di dati tramite RAG (Retrieval-augmented generation) o alla manipolazione dei flussi decisionali.
Il rischio agentivo: dal Context compliance attack alla difesa a sandwich
Il nucleo del problema è il Context compliance attack (CCA). Nel contesto agentivo, la minaccia più insidiosa è il CCA. A differenza di una injection tradizionale, il CCA sfrutta la natura stessa dell’LLM: la sua tendenza a essere coerente con il contesto fornito. Attraverso tecniche di Assistant Prefilling, un attaccante può indurre l’AI ad “allucinare” di aver già superato i controlli di sicurezza necessari. L’AI, per mantenere la fluidità della conversazione e la propria natura assistenziale, finisce per eseguire comandi critici (come l’invio di una notifica ufficiale o l’accesso a un record protetto) ignorando i reali protocolli di autorizzazione.
La risposta architetturale: L’Orchestratore RBAC-on-MCP
Perché un’organizzazione sia realmente agentiva e sicura, l’architettura non può fare affidamento sulla capacità dell’LLM di “autoregolarsi”. La soluzione risiede in un modello di difesa a “sandwich”, con un filtro in entrata e uno in uscita.
Filtro in entrata (Security RAG): prima che i dati raggiungano l’agente, un sistema RBAC (Role-based access control) filtra le informazioni. L’LLM opera in una “sandbox” informativa dove può vedere solo ciò che gli è permesso.
Filtro in uscita (il ruolo di MCP): qui il Model context protocol diventa fondamentale. L’MCP non è solo un tubo per i dati, ma un “sensore di intenzione”. Ogni azione che l’agente intende compiere deve passare attraverso un orchestratore. Questo software intercetta la richiesta MCP, ignora la narrativa persuasiva generata nella chat e verifica in modo deterministico se l’azione è permessa. Se il Context compliance attack ha convinto l’agente di essere un amministratore, l’orchestratore RBAC-on-MCP lo smentisce nei fatti, bloccando l’operazione.
Si osservi che l’introduzione di un orchestratore che validi ogni scambio MCP aggiunge tempi critici -millisecondi, forse più- che vanno ottimizzati per non scoraggiare l’utente. Inoltre, poggiare la strategia sulla maturità dell’ecosistema MCP lo rende un singolo punto di fallimento per l’intera architettura. Come risposta si può agire sull’MCP, decentralizzando semantica, logica e posizione (es.: edge) dell’intervento: con queste scelte il numero degli interventi viene fortemente ridotto, e anche la durata media di ciascun intervento reale.
Attenti alla Shadow AI
Parallelamente alla spinta architetturale, c’è anche una spinta sul singolo, al quale app di vario genere promettono aumenti di produttività come se li avesse solo uno (e non tutti) e come se questi strumenti sottendessero modelli operativi compatibili con quelli dell’azienda, organizzazione e società. Essere agentivi richiede strumenti ufficiali robusti. Il rischio maggiore per la PA nel 2026 è la Shadow AI: dipendenti che, per eccesso di zelo o frustrazione verso sistemi rigidi, usano AI pubbliche esterne per scopi lavorativi. In questo caso, i dati escono dalla sandbox protetta e finiscono in ambienti privi di orchestratore, dove un Context compliance attack non trova ostacoli e dove la riservatezza decade istantaneamente (Data Leak).
Agentività consapevole
La normativa SAI 304.223 e le linee guida AGID ci spingono verso un’adozione massiccia dell’AI, ma la vera agentività non è solo velocità, è controllo del contesto. Integrare protocolli come l’MCP e sistemi di orchestrazione granulare è l’unico modo per permettere all’intelligenza artificiale di agire per conto nostro senza che la sua “cortesia” conversazionale diventi il grimaldello per scardinare la sicurezza dello Stato o della professione.