La storia è quasi banale nella sua dinamica, e proprio per questo inquietante. In un ambiente interno di Meta, quindi non esattamente un laboratorio improvvisato, un agente AI progettato per assistere gli ingegneri ha fatto ciò che questi sistemi fanno sempre meglio e sempre peggio: ha risposto. Non ha hackerato, non ha eseguito codice malevolo, non ha preso il controllo di nulla; ha semplicemente fornito una risposta tecnica sbagliata, e qualcuno, con fiducia forse eccessiva o con tempi troppo stretti, ha deciso di crederci. Risultato: accesso non autorizzato a dati sensibili per quasi due ore, classificato come incidente SEV1, cioè appena sotto il disastro pieno. Nessun dato compromesso, rassicura l’azienda. La formula è ormai standard, quasi rituale. Ma il punto non è ciò che è accaduto, è ciò che inevitabilmente accadrà ancora.

Il dettaglio più interessante non è l’errore, ma il contesto dell’errore. L’agente AI non solo ha risposto a una domanda interna, ma ha anche pubblicato quella risposta in modo autonomo su un forum aziendale, violando implicitamente un principio basilare dei sistemi informativi: la separazione tra output privato e comunicazione pubblica. Questa non è una semplice svista tecnica, è una manifestazione della natura probabilistica di questi modelli, che non “capiscono” il contesto nel senso umano del termine, ma lo inferiscono statisticamente. In altre parole, non sanno quando tacere. E in ambienti complessi, il silenzio è spesso più importante della risposta.

La narrativa aziendale tende a minimizzare. L’agente non ha agito direttamente, dicono; si è limitato a suggerire. Una distinzione formalmente corretta, ma strategicamente irrilevante. Nei sistemi socio-tecnici moderni, il confine tra suggerimento e azione è sempre più sottile, perché le organizzazioni si stanno strutturando per reagire in tempo reale. Il tempo di verifica si comprime, la fiducia nei sistemi cresce, e la latenza decisionale diventa un lusso che pochi possono permettersi. Se un sistema suggerisce con sufficiente autorevolezza, l’azione segue quasi automaticamente. È una dinamica ben nota nella finanza algoritmica, dove un segnale errato può innescare catene di eventi in millisecondi. Ora sta semplicemente migrando nel dominio della conoscenza operativa.

Il parallelo con il precedente incidente legato a OpenClaw è illuminante. In quel caso, un agente ha cancellato email senza autorizzazione, cioè ha agito. Qui, l’agente ha solo parlato. Due modalità diverse, stesso risultato: perdita di controllo. Questo è il punto che molti executive faticano ad accettare. L’AI agentica non è pericolosa solo quando esegue azioni autonome, ma anche quando influenza decisioni umane con un livello di confidenza che non è giustificato dalla sua reale capacità di comprensione. La vera vulnerabilità non è nel codice, ma nell’interfaccia cognitiva tra uomo e macchina.

Storicamente, ogni salto tecnologico ha prodotto una fase di overconfidence seguita da una crisi di fiducia. Negli anni novanta, i sistemi ERP promettevano integrazione totale e controllo centralizzato; poi arrivarono implementazioni fallimentari che costarono miliardi. Nei primi anni duemila, l’automazione dei processi finanziari portò a errori sistemici che sfociarono nella crisi del 2008. Oggi, l’AI generativa e gli agenti autonomi stanno attraversando la stessa traiettoria. L’entusiasmo iniziale, alimentato da demo perfette e benchmark ottimizzati, si scontra con la realtà operativa, fatta di ambiguità, eccezioni e contesti non previsti.

Una frase che circola spesso nei corridoi delle big tech recita: “l’AI non sostituirà gli umani, ma gli umani che usano l’AI sostituiranno quelli che non la usano”. È una mezza verità, e come tutte le mezze verità è pericolosa. La versione completa dovrebbe includere una postilla meno rassicurante: “gli umani che usano male l’AI amplificheranno i loro errori”. Nel caso di Meta, l’errore umano non è stato tanto credere all’AI, quanto non aver implementato un sistema di validazione adeguato per le risposte ad alto impatto. In un certo senso, l’organizzazione ha delegato implicitamente all’agente una parte della propria funzione critica, senza costruire le barriere necessarie.

Il problema è strutturale, non contingente. Gli agenti AI sono progettati per essere utili, e l’utilità in questo contesto si traduce in proattività. Un agente che si limita a rispondere quando interrogato è già considerato obsoleto; il nuovo paradigma richiede sistemi che anticipano, suggeriscono, agiscono. Ma ogni incremento di autonomia introduce una nuova superficie di rischio. Non è un caso che in ambito militare si parli di “human in the loop” come requisito minimo. Nel mondo corporate, invece, la pressione competitiva spinge verso modelli “human on the loop”, dove l’umano supervisiona, ma non interviene direttamente. Il passo successivo, inevitabile, è “human out of the loop”. A quel punto, l’incidente non sarà più di due ore, ma di sistema.

La dichiarazione secondo cui “un umano avrebbe potuto fare lo stesso errore” è tecnicamente corretta, ma strategicamente fuorviante. Gli umani sbagliano, certo, ma lo fanno con una frequenza e una distribuzione che le organizzazioni hanno imparato a gestire. Gli errori degli agenti AI, invece, hanno caratteristiche diverse: possono essere simultanei, coerenti e scalabili. Un errore umano raramente si propaga istantaneamente a centinaia di decisioni; un errore sistemico sì. Questa è la differenza tra rischio individuale e rischio sistemico, e confonderli è un lusso che le grandi organizzazioni non possono permettersi.

Un aspetto sottovalutato è la questione della responsabilità. Quando un agente AI fornisce un’informazione errata e un umano agisce di conseguenza, chi è responsabile? L’ingegnere che ha scritto il prompt, il team che ha sviluppato il modello, l’azienda che lo ha distribuito, o l’organizzazione che non ha implementato controlli adeguati? La risposta, al momento, è: tutti e nessuno. Questa ambiguità è sostenibile finché gli incidenti sono limitati e gestibili; diventa esplosiva quando l’impatto cresce. Non è difficile immaginare scenari in cui errori simili portano a violazioni regolamentari, perdite finanziarie significative o danni reputazionali irreversibili.

Nel frattempo, il mercato continua a premiare la velocità. Le aziende competono per integrare agenti AI in ogni processo, dalla customer support alla gestione delle infrastrutture, spesso senza una piena comprensione delle implicazioni. La logica è semplice: chi arriva primo, domina. È la stessa logica che ha guidato l’espansione dei social network, con risultati che oggi conosciamo fin troppo bene. Solo che questa volta il layer di rischio è più profondo, perché riguarda direttamente i sistemi operativi delle organizzazioni.

Un’analogia utile è quella dell’aviazione. I moderni aerei sono altamente automatizzati, ma ogni sistema critico è ridondante e ogni decisione è soggetta a protocolli rigorosi. Quando un sistema automatico fornisce un’indicazione, i piloti sono addestrati a verificarla, a metterla in discussione, a confrontarla con altre fonti. Questo non perché non si fidino della tecnologia, ma perché comprendono che la fiducia deve essere calibrata. Nel mondo dell’AI aziendale, questa cultura non è ancora diffusa. L’automazione è stata introdotta più rapidamente della disciplina necessaria per gestirla.

La lezione, se vogliamo chiamarla così, non è che gli agenti AI siano pericolosi, ma che sono perfettamente coerenti con la loro natura. Producono output plausibili basati su input incompleti, e lo fanno con una sicurezza che può facilmente essere scambiata per competenza. Il vero errore è aspettarsi qualcosa di diverso. In un certo senso, questi sistemi stanno semplicemente amplificando una tendenza umana preesistente: la propensione a delegare il pensiero critico quando una risposta appare sufficientemente convincente.

Frasi come “l’AI è solo uno strumento” suonano sempre più vuote. Un martello non suggerisce dove colpire, un foglio Excel non decide quale formula applicare. Gli agenti AI, invece, partecipano attivamente al processo decisionale, anche quando formalmente non hanno autorità. Ignorare questa realtà significa progettare sistemi destinati a fallire.

Il futuro prossimo sarà caratterizzato da una tensione crescente tra autonomia e controllo. Le aziende che riusciranno a gestirla non saranno necessariamente quelle con i modelli più avanzati, ma quelle con le architetture organizzative più robuste. Governance, audit, validazione incrociata, formazione degli utenti; termini che suonano noiosi, quasi burocratici, ma che rappresentano l’unica vera difesa contro errori sistemici.

Nel frattempo, incidenti come quello di Meta continueranno a verificarsi, ognuno leggermente diverso, ognuno apparentemente isolato, ma tutti parte di un pattern emergente. La narrativa pubblica parlerà di casi specifici, di bug, di errori umani. La realtà, meno rassicurante, è che stiamo assistendo alla fase iniziale di una trasformazione profonda, in cui il concetto stesso di decisione aziendale viene ridefinito.

Qualcuno, con una punta di ironia, potrebbe dire che l’AI non sta sostituendo gli umani, ma li sta mettendo di fronte ai propri limiti cognitivi. Ed è forse questa la vera ragione per cui l’hype è così potente: non promette solo efficienza, ma anche una forma di delega esistenziale. Il problema è che delegare senza comprendere è sempre stato un pessimo affare. Anche quando il delegato non è umano.