Quando gli agenti AI parlano tra loro: il problema della provenienza nelle catene multi-agente
Per anni le aziende hanno usato un singolo modello AI come una scatola chiusa: una domanda entra, una risposta esce. Quel modello sta cambiando in fretta. Oggi i sistemi aziendali sono catene di agenti AI che si scambiano dati, istruzioni e risultati in autonomia: un agente estrae, un altro arricchisce, un terzo decide. Ogni passaggio aggiunge informazione, ma nessuno conserva chi ha prodotto cosa e in quale istante.
Qui nasce un problema che la maggior parte delle organizzazioni non ha ancora messo a fuoco: la provenienza dati agenti AI. Quando un agente agisce sull'output di un altro, un dato errato, manipolato o inventato si propaga lungo la catena senza lasciare traccia della sua origine. La risposta governante di questo articolo e semplice: l'unico modo per difendere decisioni e responsabilità nelle catene multi-agente e certificare i dati alla fonte, sigillando ogni dato e output nel momento esatto in cui viene prodotto, così ogni anello resta verificabile a ritroso. E un tema di provenienza, non di conformità: gli obblighi normativi sono trattati a parte, qui contano l'attribuzione e la tracciabilità della catena. Si inserisce nel quadro più ampio della provenienza digitale, di cui le pipeline di agenti AI sono il banco di prova più difficile.
Perche nelle catene di agenti AI nessuno sa più da dove arriva un dato
In una catena multi-agente nessuno conosce l'origine di un dato perché ogni agente riceve l'output del precedente come se fosse un fatto, non come un'affermazione da verificare. L'informazione passa di mano, viene rielaborata e perde progressivamente il legame con chi l'ha generata.
Il problema si amplifica con la scala. Secondo le previsioni di Gartner riprese da IBM, entro il 2028 una singola azienda Fortune 500 potrebbe gestire fino a 150.000 agenti AI, mentre oggi solo il 13% delle organizzazioni si dichiara pronto a governarli. Quando migliaia di agenti si scambiano dati senza un registro condiviso dell'origine, l'azienda perde la capacità di rispondere a una domanda banale: questo numero, da dove arriva? La proliferazione degli agenti, quella che gli analisti chiamano agentic AI sprawl, trasforma ogni catena in una scatola nera dove il risultato finale e la somma di passaggi non documentati. La agentic AI governance diventa impossibile non perché manchino i log, ma perché i log dicono cosa e successo, non chi ha prodotto il dato di partenza.
Che cos'e la provenienza in un sistema multi-agente
La provenienza dei dati in un sistema multi-agente e la registrazione tracciabile e attribuita dell'origine, della storia e di ogni trasformazione che un dato subisce mentre passa da un agente all'altro. Risponde a tre domande per ogni informazione: chi l'ha prodotta, quando, e su quali dati si basava.
La provenienza dei dati in un sistema multi-agente si riferisce alla capacità di ricostruire, per ogni informazione che circola nella catena, il suo punto di origine e la sequenza di passaggi che l'hanno modificata. Non e un semplice elenco cronologico di eventi: secondo la modellazione adottata da standard come W3C PROV, la provenienza e un grafo attribuito, dove i nodi sono dati e agenti e gli archi rappresentano relazioni del tipo "questo output e stato generato da quell'agente a partire da quegli input". In un sistema multi-agente questa struttura e essenziale, perché un singolo risultato finale può dipendere da decine di trasformazioni intermedie. Senza un grafo di provenienza, ricostruire l'origine di un dato significa interrogare a posteriori sistemi che non sono stati progettati per ricordare. Con un grafo di provenienza, l'origine e una proprieta del dato stesso, disponibile in qualsiasi momento e per qualsiasi anello della catena.
Come un errore si propaga lungo la catena senza lasciare traccia
Un errore si propaga perché ogni agente tratta l'input ricevuto come affidabile per definizione: non distingue tra un dato verificato e un dato inventato dall'agente precedente. La comunicazione tra agenti AI funziona per passaggio di valore, e il valore non porta con se la sua storia.
Dall'output di un agente all'input di un altro
Quando un agente AI produce un risultato e lo consegna al successivo, quel risultato diventa istantaneamente un input "di fatto". I protocolli di comunicazione tra agenti, dagli emergenti standard agent-to-agent (A2A) fino all'interoperabilità gestita via MCP (Model Context Protocol), sono progettati per far circolare informazione in modo fluido, non per certificarne l'origine. Se l'agente di estrazione legge male un valore in un documento, l'agente di analisi lo elabora come corretto, e l'agente di reporting lo presenta al cliente come un fatto. L'errore non viene corretto perché nessun anello della catena ha motivo di dubitare del precedente. Lo stesso vale per i dati allucinati: un'informazione inventata da un modello, una volta immessa nella catena, e indistinguibile da un dato reale per tutti gli agenti a valle.
La perdita di attribuzione e di responsabilità
Quando un agente AI agisce sull'output di un altro, il registro di audit mostra l'identità dell'utente o del servizio che ha eseguito l'operazione, ma non quella dell'agente che ha effettivamente prodotto il dato a monte. E il problema descritto in analisi come "Who Did That?" sulla attribuzione nelle pipeline autonome: il log dice il tuo nome, non quello dell'agente produttore. Questo crea un vuoto di attribuzione che diventa un vuoto di responsabilità. Se un dato errato attraversa cinque agenti prima di generare una decisione sbagliata, ricostruire chi ha introdotto l'errore richiede di analizzare manualmente sistemi eterogenei, spesso senza un identificativo comune del passaggio. La differenza tra audit trail e provenienza dei dati e proprio questa: l'audit trail registra le azioni, la provenienza ricostruisce le origini. Per un approfondimento sul versante del logging, vedi l'audit delle comunicazioni tra agenti.
Tracciabilita e record-keeping: cosa cambia con l'AI Act
L'AI Act introduce obblighi di tracciabilità e record-keeping per i sistemi AI ad alto rischio, in particolare la registrazione automatica degli eventi lungo il ciclo di vita del sistema. La tracciabilità richiesta dalla norma e il punto di partenza, ma non risolve il problema dell'attribuzione nelle catene multi-agente: registrare che un evento e accaduto non equivale a provare chi ha generato il dato e che fosse autentico in quel momento.
Questo articolo non ricostruisce la normativa nel dettaglio: lo fa il pezzo dedicato agli obblighi di certificazione e conformità dell'AI Act, che copre articoli, livelli di certificazione e catena di responsabilità legale. Qui basta fissare un punto: la conformità normativa e la condizione minima, la provenibilità verificabile alla fonte e ciò che la rende difendibile.
Come certificare i dati alla fonte dentro le pipeline multi-agente
Certificare i dati alla fonte significa sigillare ogni dato e ogni output nel momento esatto in cui viene prodotto, prima che entri nella catena, associandogli una prova di integrità e di origine che lo segue lungo tutti i passaggi successivi. Cosi l'attribuzione non va ricostruita a posteriori: e parte del dato fin dall'inizio.
Sigillare al momento della produzione
Il principio e spostare la certificazione dal punto di arrivo al punto di origine. Invece di provare a ricostruire la provenienza dopo che l'errore si e propagato, si crea una prova nel momento in cui il dato nasce: una marca temporale che fissa l'istante, un hash che cattura il contenuto esatto, e un riferimento all'agente o al passaggio che lo ha generato. Le aziende usano TrueScreen per certificare alla fonte i dati che gli agenti si scambiano, prima che un errore si propaghi. Il sigillo applicato alla fonte trasforma ogni passaggio della catena in un anello documentato: non solo "questo dato esiste", ma "questo dato e stato prodotto da questo agente, in questo istante, con questo contenuto, e non e stato alterato da allora".
Verificabilita a ritroso di ogni anello
La verificabilità a ritroso e la conseguenza diretta del sigillo alla fonte. Se ogni anello porta con se la propria prova di origine e integrità, ricostruire la catena di provenienza diventa una semplice operazione di lettura, non un'indagine forense. Si parte dall'output finale contestato e si risale, anello per anello, fino al dato originale, distinguendo a ogni passaggio ciò che e stato prodotto autenticamente da ciò che e stato manipolato o inventato. Questa e la differenza tra subire una catena opaca e governare una catena trasparente. La autenticità dell'output AI smette di essere una questione di fiducia e diventa una proprieta dimostrabile: la verificabilità a ritroso e ciò che permette di trasformare un sospetto in una prova, e una prova in un output con valore legale.
Che cos'e TrueScreen e come porta la provenienza nelle pipeline di agenti AI
TrueScreen e una piattaforma per l'autenticità del dato che sigilla dati e output nel momento esatto in cui vengono prodotti, rendendo ogni anello di una catena multi-agente verificabile a ritroso. TrueScreen certifica ogni dato e output nel momento in cui viene prodotto, applicando il sigillo qualificato di un QTSP terzo, così ogni anello della catena resta verificabile a ritroso.
La metodologia e forense, non un semplice sigillo applicato a posteriori: comprende l'acquisizione del dato alla fonte, la verifica della sua integrità e origine, e la certificazione con marca temporale e sigillo qualificato emesso da un QTSP terzo conforme a eIDAS, che TrueScreen integra via API. Per ogni dato certificato vengono registrati l'hash del contenuto, l'istante temporale e l'identità del passaggio che lo ha prodotto, e generato un report strutturato che ricostruisce il contesto. L'integrazione e pensata per le pipeline: le API e SDK TrueScreen permettono di certificare ogni step critico del flusso di lavoro in modo programmatico, mentre l'MCP ufficiale abilita l'interoperabilità agente-agente con framework come LangChain, AutoGen o CrewAI; il Web Portal serve per la verifica e la consultazione.
In una pipeline finance, un agente di estrazione passa un valore a un agente di analisi, che lo passa a un agente che genera un report per il cliente. Con il sigillo alla fonte, quando il valore finale viene contestato si risale all'agente e all'istante che lo hanno prodotto, distinguendo il dato originale da quello manipolato o allucinato.
Casi pratici di propagazione e verifica nelle catene multi-agente
I due scenari che seguono mostrano come la provenienza alla fonte cambia l'esito quando qualcosa va storto: nel primo un agente decide su documenti raccolti da un altro, nel secondo una pipeline dati viene arricchita da fonti AI non verificate.
Nel primo caso, un agente istruttorio approva una pratica assicurativa basandosi su documenti raccolti e pre-analizzati da un agente di intake. Se uno dei documenti era incoerente, ad esempio una data dichiarata che non corrisponde ai metadati di una foto, e l'incoerenza non e stata rilevata alla fonte, l'approvazione si fonda su un dato viziato. Con la certificazione dei documenti al momento dell'acquisizione, in caso di contenzioso l'azienda produce la catena completa e dimostra esattamente cosa e stato ricevuto, quando e in quale stato.
Nel secondo caso, una pipeline di analisi viene alimentata da un agente che recupera informazioni da fonti AI esterne non verificate. Un dato allucinato entra nel flusso e viene trattato come reale dagli agenti a valle, fino a contaminare un report decisionale. Senza provenienza, l'errore e invisibile finche non produce un danno; con la provenienza alla fonte, ogni dato esterno porta con se l'indicazione della sua origine non certificata, e gli agenti a valle, o i revisori umani, possono trattarlo per quello che e.
Provenienza, audit trail e logging a confronto
I tre concetti vengono spesso confusi, ma rispondono a domande diverse. La tabella seguente chiarisce cosa fa ciascuno e dove si ferma.
| Dimensione | Logging | Traccia di controllo | Provenienza |
|---|---|---|---|
| Domanda a cui risponde | Cosa e successo nel sistema? | Chi ha fatto quale azione e quando? | Da dove arriva questo dato e chi lo ha prodotto? |
| Oggetto registrato | Eventi tecnici e di sistema | Azioni di utenti o servizi | Origine, storia e trasformazioni del dato |
| Attribuzione del dato | Assente | Parziale (chi esegue, non chi produce) | Completa (agente produttore + istante) |
| Verificabilita a ritroso | Limitata | Per azione, non per dato | Anello per anello, fino all'origine |
| Resistenza alla manipolazione | Bassa se non protetto | Dipende dall'implementazione | Alta con sigillo e marca temporale alla fonte |
| Utilita in contenzioso | Marginale | Media | Alta, se certificata alla fonte |
Il punto chiave: logging e audit trail descrivono il comportamento del sistema, la provenienza ricostruisce la storia del dato. Solo la terza dimensione, se certificata alla fonte, regge quando una decisione viene contestata.
