Dal 2 febbraio 2025 l’AI Literacy è un obbligo di legge per qualsiasi azienda che usa sistemi di intelligenza artificiale. Eppure, la maggior parte delle imprese italiane non sa nemmeno cosa significhi.
L’articolo 4 dell’AI Act è chiaro: chi sviluppa o utilizza sistemi di AI deve garantire un livello adeguato di alfabetizzazione al proprio personale. Non è una raccomandazione. È un requisito normativo con sanzioni collegate.
Il problema è che molti imprenditori pensano di essere fuori dal perimetro. Usano ChatGPT in azienda, hanno integrato Copilot in Office, fanno girare strumenti di AI nei processi HR o marketing. Sono deployer a tutti gli effetti, ma non lo sanno. E quindi non hanno fatto nulla per adeguarsi.
Cosa dice davvero l’articolo 4 dell’AI Act
L’articolo 4 impone a fornitori e deployer di sistemi di AI di adottare misure per assicurare un livello sufficiente di alfabetizzazione del personale e di chiunque utilizzi i sistemi per loro conto. Il testo è generico di proposito: il legislatore non ha definito un curriculum standard, ma l’obbligo di risultato esiste.
Questo significa che ogni azienda deve dimostrare di aver formato il proprio personale in modo proporzionato al ruolo, al contesto d’uso e ai rischi dei sistemi adottati. Un commerciale che usa un prompt assistant ha bisogni diversi da un responsabile HR che valuta candidati con strumenti di AI. La formazione va calibrata.
Perché quasi nessuno si sta muovendo
La verità operativa è semplice: la norma è in vigore, ma manca ancora un quadro sanzionatorio omogeneo a livello nazionale. Molte aziende stanno aspettando che “qualcuno” faccia il primo passo. È un calcolo miope, perché l’AI Act prevede sanzioni pesanti che entreranno progressivamente in vigore tra il 2025 e il 2026.
Cosa serve davvero per essere conformi all’obbligo di AI Literacy:
- Una mappatura dei sistemi di AI usati in azienda, anche quelli adottati informalmente dai singoli dipendenti.
- Una valutazione del livello di rischio per ciascun sistema, secondo le categorie definite dall’AI Act.
- Un piano formativo differenziato per ruolo, con contenuti tecnici, etici e normativi.
- Una documentazione tracciabile delle attività formative svolte, con evidenza di partecipazione e contenuti.
- Un aggiornamento periodico, perché i sistemi cambiano e la formazione una tantum non basta.
Senza questi elementi, l’azienda non può dimostrare di aver rispettato l’articolo 4. E in caso di controllo o contenzioso, l’onere della prova è in capo al deployer. Non al fornitore, non al consulente esterno.
Il rischio concreto per chi non si adegua
Le sanzioni previste dall’AI Act per violazioni gravi arrivano fino a 35 milioni di euro o al 7% del fatturato mondiale annuo. Per inadempimenti meno gravi le cifre scendono, ma restano significative per qualsiasi PMI. L’obbligo di AI Literacy rientra tra gli obblighi generali, quindi la fascia sanzionatoria è quella media.
C’è poi un rischio operativo che molti sottovalutano. Un dipendente non formato può inserire dati sensibili in un sistema pubblico, generare output discriminatori, prendere decisioni automatizzate senza supervisione adeguata. Sono incidenti reali, non scenari teorici. E il datore di lavoro ne risponde sotto più profili: privacy, discriminazione, responsabilità contrattuale.
Come imposto un percorso di AI Literacy concreto
Quando entro in un’azienda per costruire un programma di Formazione AI conforme all’articolo 4, parto sempre da una fotografia reale. Quali sistemi di AI girano davvero nei processi? Chi li usa? Con quale livello di consapevolezza? Le risposte sono spesso sorprendenti, anche per il management.
Da lì costruisco moduli formativi differenziati. Per i ruoli operativi servono competenze pratiche su uso corretto, riconoscimento dei limiti, gestione dei dati. Per il management serve una comprensione strategica del rischio, della governance, delle implicazioni contrattuali. Per le funzioni HR e legali servono approfondimenti specifici su bias, decisioni automatizzate, profilazione.
Cosa succede se l’azienda non ha competenze interne
Quasi nessuna PMI italiana ha al suo interno qualcuno in grado di progettare e validare un percorso di AI Literacy che regga a un controllo. È una competenza nuova, trasversale, che richiede conoscenza tecnica, normativa e organizzativa. Affidarla al reparto IT o all’ufficio legale, da soli, non funziona.
Il modello che funziona meglio, dal mio punto di vista, è quello dell’AI Manager Esterno. Un riferimento che entra in azienda, mappa la situazione, costruisce il piano, forma le persone e lascia documentazione tracciabile. Senza appesantire l’organico e senza vendere corsi a catalogo che non si adattano al contesto specifico.
Domande frequenti
L’obbligo di AI Literacy vale anche per le piccole aziende?
Sì. L’articolo 4 dell’AI Act non prevede esenzioni dimensionali. Qualsiasi impresa che utilizzi sistemi di intelligenza artificiale, anche strumenti diffusi come ChatGPT, Copilot o assistenti integrati in software gestionali, è considerata deployer e deve garantire un livello adeguato di alfabetizzazione al personale. La proporzionalità riguarda i contenuti formativi, non l’esistenza dell’obbligo.
Un corso generico online basta a essere conformi?
No, e questo è uno degli equivoci più frequenti. Un corso preconfezionato non tiene conto dei sistemi effettivamente usati in azienda, dei ruoli specifici, del livello di rischio. La norma chiede misure adeguate al contesto. Significa che la formazione deve essere documentata, calibrata sui processi reali e aggiornata. Un attestato generico difficilmente reggerebbe a una verifica seria.
Quanto tempo serve per implementare un percorso di AI Literacy?
Dipende dalla dimensione aziendale e dal numero di sistemi in uso. Per una PMI con 20-50 dipendenti e qualche strumento di AI integrato, un percorso completo richiede in genere tra 6 e 10 settimane: mappatura iniziale, progettazione dei moduli, erogazione, documentazione finale. Per realtà più strutturate i tempi si allungano, ma il lavoro può essere fatto in fasi prioritarie.
Chi è responsabile in caso di violazione?
La responsabilità ricade sul deployer, cioè sull’azienda che utilizza il sistema di AI. Non sul fornitore del software, non sul consulente esterno. Questo è un punto che molti imprenditori non hanno ancora metabolizzato. Anche se l’implementazione è delegata, l’obbligo formativo e la sua dimostrabilità restano in capo all’organizzazione che impiega i sistemi nei propri processi.
Che differenza c’è tra AI Literacy e formazione tecnica sull’AI?
La formazione tecnica insegna a usare uno strumento. L’AI Literacy è più ampia: include consapevolezza dei rischi, comprensione dei limiti, conoscenza del quadro normativo, capacità di valutare output in modo critico. Un dipendente può sapere usare benissimo un sistema di AI senza avere alcuna alfabetizzazione nel senso richiesto dall’articolo 4. La conformità richiede entrambi i livelli.
Vuoi capire dove si trova la tua azienda
Se in azienda usate sistemi di AI e non avete ancora strutturato un percorso di alfabetizzazione conforme all’articolo 4, conviene affrontare il tema prima che diventi un problema.
Non serve partire da un piano monstre. Serve capire dove siete, quali strumenti girano davvero nei vostri processi, quali ruoli sono più esposti. Da lì si costruisce qualcosa di realistico e documentabile.
Il primo confronto serve esattamente a questo: capire se ha senso approfondire e, in caso, con quale priorità muoversi. Se vuoi parlarne, scrivimi dalla pagina contatti e organizziamo una chiamata.