Gli agenti di IA stanno riscrivendo le regole della governance aziendale. Intelligenti e autonomi, gli agenti prendono decisioni indipendenti, accedono a dati sensibili ed eseguono azioni senza l'intervento umano. Operano a una velocità e su una scala che la governance tradizionale non riesce a seguire. Il risultato è una pericolosa lacuna nella governance, per cui decisioni critiche vengono prese più rapidamente di quanto i meccanismi di controllo possano reagire. Per i team che si occupano di privacy, rischio, dati e conformità, questo rappresenta un cambiamento fondamentale rispetto ai metodi tradizionali e richiede una completa rielaborazione dei metodi di gestione dei sistemi intelligenti.

Perché la governance tradizionale non funziona con gli agenti di IA

La governance tradizionale è pensata per sistemi convenzionali che svolgono compiti predefiniti seguendo logiche prevedibili. Gli agenti di intelligenza artificiale, invece, introducono una sfida che le organizzazioni non possono ignorare: come si governa qualcosa progettato per ragionare, pianificare e adattare le azioni in modo dinamico? L'approccio tradizionale basato su autorizzazioni statiche e audit di conformità retrospettivi non è adatto alle tecnologie che apprendono, si adattano e agiscono in modo indipendente.

La capacità degli agenti di ragionare può portarli a riutilizzare i dati in modi non previsti, con il rischio di violazioni normative o usi impropri. Pertanto, la gestione degli agenti di IA richiede un quadro tecnologico e strategico completamente nuovo.

Le basi di un'efficace governance degli agenti di IA

Per governare efficacemente gli agenti di IA, le organizzazioni devono considerare le seguenti tre aree fondamentali.

1. Protocolli standardizzati con riconoscimento delle intenzioni: gli agenti di IA devono utilizzare protocolli di comunicazione standardizzati come AGNTCY, il Model Context Protocol (MCP) di Anthropic e il protocollo Agent-to-Agent (A2A) di Google. Questi protocolli consentono agli agenti di interpretare reciprocamente le intenzioni e i vincoli operativi. Questi scambi devono essere potenziati per integrare ulteriormente i limiti di privacy, finalità e utilizzo, in modo che gli agenti possano collaborare in modo sicuro e ridurre il rischio di disallineamenti o comportamenti indesiderati.
2. Contesto basato sui principi: gli agenti di IA non possono basarsi esclusivamente su regole statiche di conformità, ma devono operare secondo principi fondamentali integrati nei loro processi decisionali. I primi modelli in tal senso si possono trovare in approcci come la costituzione dell'IA di Anthropic. Questi principi devono essere incorporati non solo durante la fase di addestramento dei modelli linguistici di grandi dimensioni (Large Language Models, LLM), ma anche nel contesto operativo durante l’inferenza. Solo così è possibile garantire che gli agenti rispettino le normative sulla privacy, i requisiti di conformità e gli standard etici. 
3. Controlli basati sulle finalità: i controlli di governance devono essere flessibili e orientati alle finalità. Gli agenti devono essere in grado di comprendere la finalità precisa per cui i dati sono stati forniti e applicare restrizioni in tempo reale. Con questi controlli in atto, gli agenti possono applicare autonomamente i vincoli di utilizzo e ridurre il rischio di condivisione non intenzionale dei dati.

Come gestire la governance delle collaborazioni tra più agenti di IA

Con l'avvio della collaborazione tra agenti, emerge una nuova e cruciale sfida di governance: assicurarsi che l'intento originario, gli obblighi di conformità e le linee guida operative accompagnino ogni compito assegnato. Quando un agente delega un'attività a un altro, deve trasmettere non solo le istruzioni operative, ma anche i limiti entro cui l’attività deve essere svolta.

Questo riflette il modo in cui oggi le persone gestiscono progetti complessi e sensibili. Si pensi, ad esempio, a un'iniziativa interfunzionale che coinvolge l'ufficio legale, il reparto tecnico, il marketing e un partner esterno. Quando le responsabilità vengono trasferite, i team condividono anche il contesto essenziale: la finalità del progetto, le restrizioni legali, gli accordi di riservatezza, le linee guida del marchio e le regole per la gestione dei dati. Senza questa comprensione condivisa, gli errori sono inevitabili.

Anche gli agenti di IA hanno bisogno della stessa chiarezza. Ogni passaggio di consegne deve includere pacchetti di contesto strutturati, che specifichino le finalità dei dati, il consenso, i limiti normativi e i vincoli etici. Con l'espansione degli ecosistemi con più agenti, questo tipo di collaborazione basata sul contesto diventerà indispensabile.

OneTrust e il progetto AGNTCY

Entrare a far parte del progetto AGNTCY, ora integrato nella Linux Foundation, consente a OneTrust di collaborare con le aziende più influenti al mondo nel campo dei dati e dell’intelligenza artificiale per affrontare le esigenze critiche di governance. Attraverso AGNTCY, le organizzazioni beneficiano di un ecosistema aperto e collaborativo che promuove identità sicure per gli agenti, comunicazioni affidabili e una piena osservabilità. Questa iniziativa è fondamentale per costruire un'infrastruttura di governance pronta per il futuro, in cui trasparenza, interoperabilità e fiducia siano elementi centrali in ogni interazione tra agenti. Grazie a questa collaborazione, le organizzazioni possono favorire l'innovazione senza compromettere la conformità o i diritti individuali.