Il 9 luglio, durante l’AI for Good Summit di Ginevra, l’Unione Internazionale delle Telecomunicazioni (ITU) ha alzato il velo su un’iniziativa che prova a mettere ordine in un settore dove la velocità dello sviluppo supera ogni tentativo di controllo. L’agenzia digitale dell’ONU parte da un dato di realtà: gli agenti AI stanno diventando autonomi così rapidamente che la capacità di fidarsene resta indietro. La risposta è un programma per mantenerli «identificabili e accountable» — due aggettivi che, letti accanto alla parola «agente», smettono di essere accessori e diventano il nucleo di una strategia di deployment.

La mossa dell’ITU appare a prima vista un classico esercizio di soft law: nessun potere sanzionatorio, nessuno standard tecnico immediato. Ma il segnale strutturale è un altro. In un ecosistema dove la fiducia si guadagna con la trasparenza delle catene decisionali, dichiarare che gli agenti vanno resi identificabili e accountable equivale a mettere un prezzo sulla governabilità. E quel prezzo, per molte organizzazioni, si paga con il controllo dell’intero stack.

Pensiamo a chi gestisce dati sensibili in sede, dai laboratori farmaceutici alle banche centrali, passando per le infrastrutture critiche. Un agente AI autonomo che prende decisioni senza che sia possibile risalire al perché o al chi l’ha istruito è, oggi, inaccettabile. Non per una posizione ideologica ma perché i regolatori iniziano a chiedere audit trail e tracciabilità delle azioni, specialmente quando l’agente opera al di fuori di un contesto puramente consultivo. L’iniziativa ITU non introduce nuovi obblighi, ma cristallizza un’aspettativa di mercato: presto non ci si potrà più fidare di un agente solo perché «funziona». Bisognerà dimostrarlo.

Il nodo dell’identificabilità è particolarmente interessante per chi sceglie l’on-premise. In un ambiente self-hosted, l’agente può essere dotato di un’identità digitale certa (pensiamo a PKI private, certificati di servizio, attestazioni hardware), e ogni sua azione può essere registrata in log immutabili, verificabili, allineati a policy di retention locale. Nel cloud, la stessa trasparenza è spesso mediata da interfacce proprietarie che non espongono i meccanismi interni. La differenza non è solo tecnica: è il confine tra fiducia calcolata e fiducia delegata.

Va anche letto il contesto geopolitico. L’ITU è un’arena dove si incontrano paesi con approcci molto diversi alla governance dell’AI. Lanciare un’iniziativa del genere significa portare il tema della responsabilità degli agenti in un framework multilaterale, prima che lo facciano singole giurisdizioni con regole incompatibili. Per le aziende che già operano con architetture distribuite e dati locali, questo è un vantaggio silenzioso: avere il controllo dell’ambiente di esecuzione semplifica l’aderenza a qualsiasi futura norma su accountability, senza dover riadattare un sistema cloud che risponde a logiche altrui.

C’è un cambio di prospettiva che va colto subito. Fino a ieri la domanda era: «L’agente ha fatto la cosa giusta?». Da oggi, con l’imprinting dell’ITU, la domanda diventa: «Possiamo provare perché l’ha fatta?». E la risposta, in molti settori regolati, si costruisce solo partendo da hardware e software che si controllano fino all’ultimo bit. Non è una questione di prestazioni o di costi: è la differenza tra un agente che puoi mettere in produzione e uno che rimane confinato in un laboratorio.