L’Agentic AI arriva sui dispositivi mobili dei dipendenti

I team di Compliance necessitano di piena visibilità 

Agentic Artificial Intelligence sta evolvendo a un ritmo vertiginoso, e con essa aumentano anche i rischi. L’ultima generazione di app mobili basate su agentic AI può connettersi ai sistemi aziendali, raccogliere dati e prendere decisioni autonome con minima supervisione umana. Non è fantascienza: queste tecnologie sono già presenti oggi su dispositivi personali e aziendali, dai tool di uso quotidiano ai sofisticati assistenti per le imprese.

Un’analisi recente di Lookout su milioni di dispositivi mobili appartenenti ai nostri clienti in tutto il mondo ha rivelato un fatto sorprendente: migliaia di app mobili basate su agentic AI sono già attivamente in uso. Queste app sono presenti sia su piattaforme iOS che Android e in tutti i principali settori industriali. I risultati evidenziano un trend in rapida espansione: l’agentic AI è ormai pienamente integrata nell’ecosistema mobile aziendale.

In diversi casi d’uso, dalla produttività dei dirigenti al supporto alle vendite, dalla gestione finanziaria a quella delle spese, le app mobili con agentic AI sollevano importanti preoccupazioni relative a privacy e sicurezza. Poiché possono accedere a dati personali o aziendali sensibili—come contenuti email, calendari, credenziali di account, cronologia acquisti o sistemi interni—esiste il rischio di fughe di dati, azioni involontarie o uso improprio se i permessi sono troppo ampi, mal controllati o se i modelli sottostanti si comportano in modo imprevedibile. Garantire consenso chiaro, controlli di accesso solidi e monitoraggio continuo è fondamentale per ridurre questi rischi, man mano che l’agentic AI diventa più integrato nelle esperienze tecnologiche mobili.

Il divario di compliance: l’AI è ora un attore invisibile

Per i responsabili di Compliance, Risk e Governance, questa non è solo un’altra  novità tecnologica. Rappresentano un grave problema di visibilità: se non si riesce a vedere cosa queste AI fanno sui dispositivi dei dipendenti, diventa impossibile controllarle e garantire il rispetto di standard come ISO 42001, NIST AI RMF e delle politiche interne di governance dell’AI.

La governance tradizionale dell’AI enfatizza i modelli che un’organizzazione sviluppa o acquista. Tuttavia, le app mobili con agentic AI cambiano radicalmente lo scenario:

• Operano sui dispositivi mobili, non all’interno dell’ambiente aziendale.
• Interagiscono con app, dati e API aziendali.
• Prendono decisioni autonome e agiscono per conto dell’utente.
• Spesso bypassano completamente la revisione IT e sicurezza.
• Evolvono rapidamente, aggiornando le funzionalità in giorni, non mesi.

In altre parole, lo Shadow AI è ora mobile, personale e altamente capace. Quando i dipendenti utilizzano queste app per lavoro senza l’approvazione ufficiale dell’IT—anche con buone intenzioni—i team di compliance perdono visibilità su:

• Quali dati vengono utilizzati e da chi
• Come avviene l’accesso ai dati
• Dove questi dati vengono trasferiti
• Quali decisioni prende l’AI
• Se l’organizzazione è esposta a rischi legali, normativi o contrattuali

Tutto ciò è incompatibile con ogni moderno standard di governance dell’AI.

ISO 42001 alza l’asticella—e la maggior parte delle organizzazioni non è pronta

Settori altamente regolamentati come servizi finanziari, sanità, telecomunicazioni, difesa e infrastrutture critiche richiedono sempre più spesso la conformità alla norma ISO 42001 (AI Management System) lungo tutta la catena di fornitura, inclusi fornitori software, cloud provider, piattaforme SaaS e partner di servizi gestiti che sviluppano, integrano o gestiscono sistemi AI. Questo cambiamento è guidato da una combinazione di pressioni normativa, gestione del rischio e rigore negli acquisti.

Di conseguenza, i programmi di procurement e gestione del rischio di terze parti iniziano a richiedere ai fornitori di dimostrare l’adozione di un framework formale di governance AI che copra inventario dei sistemi AI, la valutazione dei rischi, la gestione dell’uso dei dati, la supervisione umana, la gestione degli incidenti e il controllo dell’intero ciclo di vita. La ISO 42001 offre un modo standardizzato e verificabile per dimostrare che i rischi legati all’AI vengono sistematicamente identificati, controllati e monitorati continuamente— analogamente a quanto avvenuto con la ISO 27001, diventata un riferimento imprescindibile per la sicurezza delle informazioni.  ISO 42001 richiede alle organizzazioni di:

• Identificare e inventariare i sistemi AI
• Valutare e mitigare i rischi legati all’AI
• Garantire trasparenza e tracciabilità
• Mantenere supervisione e controllo umano
• Proteggere i dati sensibili accessibili dai sistemi AI
• Monitorare continuamente i comportamenti guidati dall’AI

Ma ecco il problema: questi requisiti non possono essere soddisfatti se le app mobili con agentic AI operano sui dispositivi dei dipendenti senza che l’organizzazione ne sia consapevole. Un framework di compliance è forte solo quanto è visibile. Quando l’AI opera in modo invisibile, rimane non gestita—e l’AI non gestita porta inevitabilmente alla non conformità.

L’agentic AI sui dispositivi mobili amplia la superficie di rischio aziendale

A differenza delle applicazioni tradizionali, le app mobili con agentic AI:

• Richiedono permessi profondi sul dispositivo: contatti, foto, microfono, clipboard, accesso alla rete—spesso ben oltre quanto necessario.
• Bypassano controlli di identità e Zero Trust: la maggior parte delle policy aziendali governa gli utenti, non l’AI autonoma che agisce per loro.
• Introducono rischi di fuga dati ed esposizione legale: dati dei clienti, informazioni dei dipendenti, proprietà intellettuale e dati regolamentati possono essere processati da modelli AI esterni, aumentando il rischio aziendale.
• Creano punti ciechi nella governance: non è possibile applicare supervisione “human-in-the-loop” se il “loop” è invisibile.

Questo non è più un rischio ipotetico. Sta già accadendo in tutti i settori.

È il momento di agire: la Compliance deve ottenere piena visibilità sull’AI mobile

I team di sicurezza da soli non possono risolvere il problema. Le app agentic AI rientrano pienamente nella responsabilità di Compliance, Risk e Governance, perché le conseguenze dell’AI non gestita includono:

• Violazioni di ISO 42001, NIST AI RMF, GDPR, HIPAA e restrizioni contrattuali sull’AI
• Violazioni degli obblighi di riservatezza con clienti e partner
• Perdita di visibilità e tracciabilità dell’AI
• Sistemi AI non revisionati operanti in workflow regolamentati
• Maggiore responsabilità legale durante indagini o incidenti

La soluzione parte da un passo semplice: richiedere visibilità. I team di Compliance devono collaborare con IT e Security per implementare piattaforme di sicurezza mobile—come Lookout Mobile Endpoint Security—che siano in grado di:

• Scoprire e inventariare le app agentic AI su iOS e Android
• Valutare i rischi delle app, i permessi e le vie di accesso ai dati
• Monitorare anomalie comportamentali e connessioni non autorizzate
• Applicare policy prima che i dati lascino il dispositivo
• Fornire evidenze verificabili per framework di governance AI
• Proteggere dati sensibili in ambienti BYOD e ibridi

Lookout monitora continuamente le applicazioni mobili per framework AI integrati, comportamenti autonomi, permessi rischiosi e attività di rete, consentendo alle organizzazioni di comprendere quali app basate dall’AI sono in uso, a quali dati possono accedere e se i comportamenti rispettano policy e regolamenti. Questa visibilità aiuta i team di Compliance a passare dalle ipotesi alle prove —colmando il divario di visibilità dell’AI e gettando le basi per framework di governance come ISO 42001 e NIST AI RMF. Senza queste capacità, la Compliance non può fronteggiare l’espansione rapida della superficie di rischio aziendale dovuta all’Agentic AI sui device dei dipendenti.

La governance dell’AI inizia con l’intelligence sulle app mobili

L’agentic AI non aspetta che le organizzazioni si adeguino. Sta già influenzando i workflow, le decisioni e interagendo con i dati aziendali—spesso senza supervisione. I leader della Compliance hanno ora la responsabilità di:

• Trattare le app mobili agentic AI come sistemi AI soggetti a governance
• Richiedere visibilità su scala aziendale sul comportamento mobile dell’AI
• Aggiornare policy e controlli per includere AI nativa mobile
• Collaborare con con i team di Security per implementare tecnologie che garantiscano compliance
• Assicurarsi che nessun sistema AI—controllato dall’uomo o autonomo—operi al di fuori dei limiti approvati

La governance finisce dove si ferma la visibilità

Non si può controllare ciò che non si vede—e nell’era dell’agentic AI, la visibilità sui dispositivi mobili non è più un miglioramento della sicurezza, ma un requisito di compliance. Ora più che mai, i team di Compliance devono fare da guida, colmando il divario di visibilità sull’AI e adottando soluzioni come Lookout Mobile Endpoint Security che proteggono la superficie di rischio in più rapida crescita nell’impresa: l’agentic AI sui dispositivi dei dipendenti.

Le organizzazioni che agiranno ora non solo proteggeranno i propri dati, ma dimostreranno maturità nell’AI, guadagneranno fiducia e rafforzeranno la propria posizione normativa.

Fonte: Lookout