Nell’era degli agenti AI e dei LLM, l’identità agenti Okta diventa il fulcro di una nuova strategia per la sicurezza e la gestione degli accessi nelle grandi imprese.
Summary
Okta, SaaSpocalypse e l’impatto dell’AI sul software aziendale
Todd McKinnon, co-fondatore e CEO di Okta, guida una piattaforma che consente alle grandi aziende di gestire sicurezza e identità su app e servizi usati dai dipendenti. Con una capitalizzazione intorno ai 14 miliardi di dollari, l’azienda opera nel pieno della trasformazione portata dall’intelligenza artificiale.
Molti si chiedono se, in un contesto di automazione avanzata, i clienti continueranno a pagare abbonamenti SaaS o preferiranno creare strumenti interni. McKinnon ha definito questo scenario una potenziale “SaaSpocalypse” e, nell’ultima call trimestrale, ha dichiarato di sentirsi “paranoico” rispetto a questi cambiamenti.
L’intervista analizza quella paranoia operativa: come viene tradotta in decisioni concrete, quali parti dell’azienda stanno cambiando e quali opportunità Okta vede per anticipare i rischi, anziché subirli.
Dall’identità delle persone a quella degli agenti AI
Secondo McKinnon, la discontinuità introdotta da AI e agenti software è potenzialmente più grande del passaggio al cloud. Non si tratta solo di proteggere l’accesso di utenti umani, ma di gestire identità e permessi di agenti che operano autonomamente nei sistemi aziendali.
L’idea centrale è che anche gli agenti debbano “loggarsi”, avere ruoli e autorizzazioni ben definiti. Questo apre un mercato nuovo, distinto dalla tradizionale gestione delle identità umane, ma basato sugli stessi principi di affidabilità, integrazione e fiducia.
Detto ciò, McKinnon non vede una minaccia immediata da concorrenti low cost creati con LLM. Ritiene invece che la vera partita sarà diventare il livello di identità per questi agenti, potenzialmente la categoria più grande della cybersecurity, settore che oggi vale centinaia di miliardi di dollari.
Perché crescere nel nuovo mercato senza perdere quello esistente
McKinnon sostiene che la difesa del business attuale e la conquista del nuovo spazio degli agenti non siano obiettivi in conflitto. Nella sua visione, chi dimostra affidabilità, ampie integrazioni e reputazione nella gestione delle identità delle persone avrà un vantaggio anche sugli agenti.
Inoltre, ricorda che ricostruire singole funzionalità è più semplice che mantenere migliaia di integrazioni operative e sicure nel tempo. Per questo i software di sicurezza e infrastruttura tendono a essere più protetti dalla semplice “ricodifica” interna.
Detto ciò, l’azienda deve aumentare la propria capacità di cambiamento: aggiornare stack tecnologici, riorganizzare i team e adattare i processi. L’obiettivo è elevare il “quoziente di cambiamento” dell’organizzazione per cogliere le nuove opportunità.
OpenClaw, l’agentic enterprise e il controllo centralizzato
L’emergere di strumenti come OpenClaw ha reso evidente il potenziale e i rischi degli agenti. Questi sistemi hanno bisogno di accedere a grandi quantità di dati per essere utili, ma molte imprese faticano a garantire connessioni sicure tra dataset e agenti.
Per McKinnon, il cardine dell’”agentic enterprise” è un controllo centralizzato: un inventario completo degli agenti in uso, la mappa dei sistemi a cui si connettono e il dettaglio dei loro permessi. Senza questa visibilità, risulta impossibile gestire rischi e conformità.
Inoltre, serve la capacità di sperimentare in modo sicuro. Le aziende devono poter lanciare nuovi agenti, misurarne l’impatto e revocare rapidamente accessi e connessioni quando qualcosa non funziona come previsto.
Struttura organizzativa e decisioni strategiche in Okta
Per rispondere al cambiamento, Okta punta su una struttura “people-centric”: dare a persone capaci aree chiare di responsabilità, ridurre i percorsi di comunicazione e rafforzare la leadership. La R&D è organizzata per piattaforme, in modo da allineare tecnologia e strategia.
McKinnon racconta che, con la crescita dell’azienda, il processo decisionale tendeva a rallentare. Nel tempo, ha imparato a fidarsi di più dell’istinto e a selezionare con cura le decisioni che richiedono il suo intervento diretto, entrando in profondità solo su temi davvero critici.
La scelta di puntare con decisione sull’identità degli agenti è nata da numerosi incontri con i principali clienti nel corso del 2024. Presentando una piattaforma unificata che includeva anche gli agenti, McKinnon ha visto crescere rapidamente l’interesse proprio su questa componente.
Il ruolo dell’identità agenti Okta nella nuova cybersecurity
Dopo decine di riunioni e una conferenza aziendale, è diventato evidente che i clienti volevano parlare prima di agenti e poi del resto. Di conseguenza, la strategia è stata riorientata per dare priorità a questo tema, con l’identità agenti Okta al centro della narrativa di prodotto.
Secondo McKinnon, anche senza scenari estremi sull’evoluzione della tecnologia, il mercato rimane enorme. Ci sarà bisogno di nuovo software, di ingegneri che facciano funzionare i sistemi su larga scala e di team in grado di capire e mantenere quanto costruito, inclusi i contributi degli agenti.
Inoltre, i percorsi formativi dovranno evolvere: le basi dell’informatica resteranno valide, ma si affiancheranno nuove competenze, come la progettazione e il coordinamento di sistemi agentici complessi.
Dati, intelligenza e standard di accesso per gli agenti
Nel dibattito su dove risieda il vero valore, McKinnon distingue fra dati e intelligenza. I database sono fondamentali, ma i clienti chiedono soprattutto analisi e insight. Piattaforme come Snowflake, Databricks e Palantir cercano di fornire questa intelligenza oltre al semplice storage.
La domanda aperta è chi fornirà la maggior parte di tale intelligenza: gli attuali vendor applicativi, nuovi operatori o una combinazione dei due. Mentre alcune parti della stack si “disaggregano”, gli agenti tendono a connettere più applicazioni, aumentando l’interoperabilità.
Tuttavia, per far funzionare tutto in sicurezza servono standard chiari su come gli agenti accedono ai sistemi. È qui che Okta punta a posizionarsi come livello di controllo condiviso tra diverse piattaforme e fornitori.
Blueprint di Okta per l’agentic enterprise
Okta ha annunciato un blueprint per l’”agentic enterprise” basato su tre pilastri: onboarding degli agenti come nuova tipologia di identità, standardizzazione dei punti di connessione e disponibilità di un kill switch. Si tratta di un modello pensato per conciliare innovazione e sicurezza.
Secondo McKinnon, gli agenti rappresentano una forma di identità ibrida, a metà tra persone e sistemi. Il primo passo è creare un inventario centralizzato: un elenco unico di tutti gli agenti attivi, indipendentemente dal vendor o dal tipo di piattaforma su cui girano.
Inoltre, alcuni agenti corrisponderanno uno a uno a singoli utenti, altri saranno “headless” o orchestrazioni multi-agente. Centralizzando queste informazioni, l’impresa può controllare quali dati e quali sistemi ogni agente può raggiungere e revocare tali accessi quando necessario.
Kill switch, rilevamento anomalie e identità ibride
Rilevare un comportamento anomalo da parte di un agente non ha una soluzione unica: dipende dallo scopo e dalla modalità con cui è stato implementato. Okta sta lavorando a standard e segnali tecnici che permettano di generare alert e attivare risposte automatiche.
Il kill switch, in questo contesto, è la capacità di revocare rapidamente l’accesso di un agente a sistemi e dati, rimuovendolo di fatto dalla rete aziendale. È un controllo essenziale per limitare danni quando emergono attività impreviste o ostili.
Detto ciò, McKinnon descrive l’identità degli agenti come uno spazio intermedio tra utente e sistema. Spesso operano per conto di una persona, combinando l’identità umana con quella tecnica. Le autorizzazioni possono quindi basarsi sulla persona, sull’agente o su entrambi.
Permessi, interoperabilità e pressioni regolatorie
Dal punto di vista della progettazione, Okta adotta un approccio pragmatico: il comportamento degli agenti è intrinsecamente non deterministico. È quindi necessario trovare un equilibrio tra efficacia operativa e contenimento del rischio, modulando il perimetro dei permessi.
Se si privilegia la massima sicurezza, si restringono molto le autorizzazioni, accettando una minore potenza operativa. Se invece si vuole sfruttare al massimo le capacità degli agenti, si concede più accesso e si accetta un rischio superiore.
Inoltre, resta aperta la questione dell’interoperabilità: i clienti vorranno agenti capaci di attraversare i silos di fornitori come Salesforce e Microsoft. Se questi vendor limiteranno l’accesso per proteggere i propri ecosistemi, potrebbero intervenire pressioni di mercato e regolatorie.
Frode AI, identità digitali e prossimi passi per Okta
Gli stessi strumenti che permettono di eliminare intermediari possono essere usati per truffe e frodi. Una parte importante del business di Okta è l’autenticazione dei clienti, che viene trasformata dall’AI generativa e dagli agenti autonomi.
Identità offline come patenti e passaporti stanno diventando digitali. Soluzioni come mobile driver’s license e autenticazione biometrica possono aiutare a distinguere tra bot, agenti e persone reali. Se ben progettate, queste credenziali digitali offrono ai soggetti economici nuovi strumenti contro la frode AI, nel rispetto di privacy e norme.
Guardando avanti, McKinnon vede il percorso di Okta legato alla costruzione della “secure agentic enterprise”: un insieme di strumenti e prodotti che permettano ai clienti di adottare agenti in modo sicuro, con onboarding controllato, connessioni standardizzate e meccanismi di kill switch integrati per gestire accessi e permessi in evoluzione.
