Aggiornamento:
ho messo la stringa "-Djava.security.manager -Djava.security.policy=myjava.policy" come argomento da passare alla VM nella fase di RUN, e così le politiche funzionano a runtime come pensavo dovesse essere, senza dover andare esplicitamente a fare un controllo con l'AccessController.
Ma a questo punto una domanda mi sorge spontanea... una generica applicazione java proveniente dall'esterno non è soggetta a nessun controllo di politica?!? (se io per le mie applicazioni specifico esplicitamente che deve applicare security manager)
O meglio, dov'è settato il controllo del security nella JVM per una qualsiasi applicazione?!? E' impensabile che non ci sia un controllo del genere!