Lakera, società parte di Check Point, ha mostrato come l’evoluzione dell’intelligenza artificiale generativa abbia introdotto un nuovo perimetro di rischio nelle imprese. La dimostrazione sulla prompt injection indiretta, applicata ai modelli Gemini 3, chiarisce che i vettori d’attacco non puntano più alle istruzioni digitate dagli utenti ma ai dati che l’IA acquisisce in modo autonomo durante l’esecuzione.
Il modello entra in contatto con documenti, e-mail, PDF, link e contenuti condivisi all’interno dell’infrastruttura aziendale. Questa capacità di accesso espande la superficie di attacco oltre ciò che le soluzioni tradizionali riescono a intercettare.
Il salto qualitativo di Gemini 3 e i suoi riflessi sulla sicurezza
La presentazione ufficiale del 18 novembre ha messo in risalto i progressi di Gemini 3 in ragionamento, multimodalità e prestazioni, senza soffermarsi sul suo impatto strutturale. Il modello si posiziona ormai nel cuore dei flussi di lavoro aziendali, analogamente a quanto accaduto con Microsoft Copilot, già integrato con Office 365, Teams e le piattaforme documentali di Microsoft.
Una singola pagina web compromessa, una firma e-mail manipolata o un PDF con contenuti incorporati possono modificare il comportamento del modello in modo silenzioso. I tradizionali sistemi di protezione degli endpoint, della posta elettronica o dei contenuti non coprono questi scenari perché non riconoscono il vettore multimodale.
Lakera ha rilevato attacchi reali su diversi canali, inclusi casi in cui un audio ostile manipola l’assistente mentre la trascrizione appare regolare. Il modello mostra vulnerabilità anche in presenza di immagini malevole, media manipolati e screenshot falsificati, elementi che richiedono controlli di nuova generazione.
Un divario crescente tra adozione e protezione
Il GenAI Security Readiness Report di Lakera fotografa un quadro complesso. Le aziende adottano l’IA a un ritmo superiore alla loro capacità di proteggerla. Nella maggior parte dei casi mancano ancora una governance dell’IA, barriere protettive, sistemi di monitoraggio degli agent, protezioni multimodali e pipeline dedicate ai test avversari.
Il modello gemini-3-pro-preview mostra una potenza significativa. La valutazione interna b³ di Lakera indica risultati superiori rispetto a Claude 4.5 Haiku, soprattutto nelle attività di estrazione diretta dei contenuti e di superamento delle istruzioni. Una configurazione con priorità esplicita alla sicurezza e un livello aggiuntivo di autovalutazione delle risposte offre una difesa più solida nei compiti complessi. Questo approccio richiede però processi computazionali più onerosi, mentre modelli più leggeri mantengono un equilibrio migliore tra costi e robustezza.
Il punto centrale resta invariato: il modello non rappresenta l’intera strategia. L’efficacia della sicurezza dipende da configurazione, orchestrazione dei prompt e sistemi a più livelli.
L’accesso ai sistemi aziendali come elemento di trasformazione
Il vero cambio di prospettiva arriva dalla domanda che oggi accompagna qualsiasi implementazione di IA: che cosa è autorizzato a fare il modello e chi ne garantisce il comportamento?
Gemini 3 opera all’interno dei flussi aziendali con un’autonomia crescente. La sua capacità di riscrivere documenti, riassumere scambi e-mail, richiamare API e attivare automazioni modifica la natura stessa delle operazioni. L’IA non supporta più le attività: diventa parte integrante del livello di esecuzione.
Questo ruolo amplifica la superficie di attacco, spesso in modo invisibile agli strumenti di sicurezza attuali.
L’IA agentica porta il rischio operativo al centro della scena
Gemini 3 introduce comportamenti agentici con la capacità di eseguire azioni dirette. Il modello non si limita a rispondere: interagisce con sistemi, servizi e automazioni. Un parallelo è già visibile in Microsoft Copilot, anche se l’integrazione nativa di Gemini 3 in Workspace crea un ecosistema più centralizzato.
Lakera ha analizzato il Model Context Protocol (MCP) e ha rilevato come sistemi agentici privi di controlli stringenti espongano rapidamente l’organizzazione a rischi concreti. Le criticità emergono quando le autorizzazioni risultano eccessivamente ampie, gli ambiti non sono chiaramente definiti, le azioni non vengono monitorate e gli output non subiscono una validazione.
Un singolo agente configurato in modo scorretto può aumentare privilegi, attivare operazioni non previste o interagire con sistemi critici in modo imprevedibile. Le imprese non mostrano ancora la maturità necessaria per gestire questo scenario.
Un nuovo perimetro da proteggere
La sicurezza aziendale entra in una fase in cui la protezione non riguarda più soltanto reti, endpoint o applicazioni. Il modello linguistico stesso diventa un attore operativo che accede a contenuti e infrastrutture. Questa transizione richiede una responsabilità direzionale e una strategia progettata per il prossimo decennio. Gemini 3 accelera la creazione di valore, ma accelera anche l’esposizione. L’intelligenza artificiale diventa la colonna portante delle operazioni aziendali e ridefinisce il modo in cui le imprese devono proteggere i propri sistemi.
