L’Estonia ha annunciato l’intenzione di assegnare numeri di identificazione digitale agli agenti di intelligenza artificiale. L’obiettivo è rafforzare controlli, limitazioni e verifiche sulle risorse alle quali questi sistemi possono accedere e sulle azioni che possono compiere per conto di una persona. L’iniziativa porta così l’identità digitale oltre il riconoscimento dell’utente umano, introducendo un livello distinto per software dotati di una crescente capacità operativa.
Il punto centrale è la tracciabilità dell’autorità concessa agli agenti AI. Un assistente può infatti essere autorizzato ad aprire conti, prenotare viaggi oppure effettuare acquisti per conto dell’utente. In questo scenario non basta stabilire chi sia la persona: occorre anche verificare quale agente stia agendo, quali permessi abbia ricevuto e fin dove possa spingersi. L’identificativo digitale dovrebbe consentire di sottoporre queste deleghe a controlli e audit.
Per Philipp Pointner, Chief of Digital Identity di Jumio, la decisione estone stabilisce un precedente sul modo in cui dovranno essere verificate le attività svolte dagli agenti per conto degli individui. La capacità degli assistenti di completare operazioni concrete modifica infatti i parametri tradizionali della verifica dell’identità e mette sotto pressione i processi di conformità basati sul KYC, il modello “Know Your Customer” utilizzato per riconoscere il cliente.
Il passaggio indicato da Pointner conduce verso il Know Your Agent: un’impostazione nella quale i processi tradizionali devono adattarsi per accertare che un assistente AI disponga dell’autorità necessaria ad agire. Identità umana e potere operativo del software diventano due elementi collegati, ma non intercambiabili. Il sistema deve poter riconoscere la persona e, nello stesso tempo, distinguere le azioni direttamente eseguite dall’utente da quelle affidate a un agente.
La separazione tra identità umana e autorità dell’agente crea una base più leggibile anche per imprese e piattaforme digitali. Quando un’operazione viene avviata da un assistente, il fornitore del servizio deve poter verificare non soltanto l’origine della richiesta, ma anche l’esistenza e l’estensione della delega. Permessi verificabili e sottoponibili ad audit possono così preservare sicurezza e controllo dell’utente mentre l’AI agentica assume compiti più articolati.
Il modello implica che l’autorizzazione non venga trattata come un consenso generico. Un agente abilitato a prenotare un viaggio, per esempio, non dovrebbe essere automaticamente considerato autorizzato a svolgere qualsiasi altra operazione. L’identità digitale diventa quindi uno strumento per associare il software a un perimetro d’azione riconoscibile, offrendo alle organizzazioni un riferimento per applicare controlli e limitazioni e agli utenti una maggiore visibilità sulle deleghe concesse.
Il passaggio successivo, secondo Pointner, sarà l’interoperabilità. L’ecosistema digitale avrà bisogno di standard comuni e protocolli capaci di riconoscere gli identificativi oltre i confini nazionali. Agenti, imprese e sistemi di identità dovranno scambiarsi in modo sicuro prove di identità e autorizzazione anche tra piattaforme differenti. Senza questa capacità, gli identificativi rischierebbero di restare confinati in ambienti separati; con regole condivise, potrebbero invece sostenere un sistema di fiducia digitale adatto all’impiego degli agenti su larga scala.