Il problema che molte aziende italiane non hanno ancora affrontato
Dal 2 febbraio 2025, l’articolo 4 del Regolamento UE 2024/1689 (l’AI Act) ha reso operativo l’obbligo di alfabetizzazione in materia di intelligenza artificiale. In pratica: ogni azienda che utilizza, sviluppa o distribuisce sistemi AI deve garantire che il proprio personale possieda competenze adeguate per comprenderne funzionamento, limiti e rischi.
Eppure, a più di un anno dall’entrata in vigore di questo obbligo, la maggior parte delle imprese italiane non ha fatto nulla. O ha fatto il minimo: un link a un webinar generico, un PDF scaricato da internet e archiviato in una cartella SharePoint che nessuno aprirà mai.
Il punto non è la formazione in sé. Il punto è la posizione in cui un’azienda si trova quando qualcosa va storto. Se un sistema AI produce una decisione discriminatoria nella selezione del personale, se un chatbot fornisce informazioni errate a un cliente, se un algoritmo prende decisioni su crediti o assicurazioni senza supervisione adeguata, la prima cosa che le autorità di controllo andranno a verificare è questa: il personale coinvolto aveva le competenze per capire cosa stava succedendo?
Chi lavora con le imprese su questi temi vede lo stesso schema ripetersi. L’AI viene adottata per efficienza, per velocità, perché il competitor lo fa. Ma la governance resta indietro. Nessuno ha mappato quali strumenti AI sono in uso, chi li usa, per cosa. Nessuno ha documentato nulla. E quando si parla di obbligo normativo, la reazione più comune è: “Ma le sanzioni non sono ancora operative, no?”
Sbagliato. E tra poco vedremo perché.
Come l’obbligo di AI literacy impatta i processi aziendali
L’articolo 4 dell’AI Act non prescrive un corso specifico, non indica un numero di ore, non richiede una certificazione. Questo ha generato confusione, perché molte aziende hanno letto l’assenza di prescrizioni rigide come un’assenza di obbligo reale. In realtà, il regolamento chiede qualcosa di più impegnativo di un corso: chiede che l’organizzazione dimostri di aver costruito competenze proporzionate al livello di rischio dei sistemi AI che utilizza.
Nella pratica, questo ha conseguenze su diversi livelli operativi:
- Mappatura degli strumenti AI in uso. La maggior parte delle aziende non sa nemmeno quanti sistemi AI sono attivi al proprio interno. ChatGPT usato dal marketing, Copilot integrato in Microsoft 365, tool di analisi predittiva nel CRM, filtri automatici nei processi HR. Il primo passo è sapere cosa c’è. Senza questa mappatura, qualsiasi programma di alfabetizzazione è costruito nel vuoto.
- Identificazione del personale soggetto all’obbligo. L’articolo 4 parla di “personale” e di “qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA”. Il perimetro è ampio: comprende dipendenti, collaboratori esterni, fornitori che operano sotto l’autorità dell’azienda. Non solo chi sviluppa, ma chi usa. Un commerciale che utilizza un tool AI per generare proposte è soggetto a questo obbligo tanto quanto uno sviluppatore.
- Differenziazione dei percorsi per ruolo. L’AI Office della Commissione Europea ha chiarito che la formazione deve essere proporzionata al ruolo e al livello di coinvolgimento con i sistemi AI. Non ha senso dare lo stesso contenuto a un operatore di data entry e a un responsabile che prende decisioni basandosi sugli output di un algoritmo. Questo significa progettare percorsi distinti, non comprare un pacchetto generico.
- Documentazione delle attività svolte. Non esiste un obbligo di certificazione formale, ma la documentazione interna delle attività formative e delle iniziative di orientamento è fortemente raccomandata. Questa documentazione diventa la prova della conformità nel momento in cui un’autorità di vigilanza chiede conto dell’adeguamento. Pensatela come il registro delle attività di formazione previsto dal GDPR: non è obbligatorio per legge, ma la sua assenza in caso di ispezione è un problema serio.
- Revisione periodica e aggiornamento. L’AI evolve, gli strumenti cambiano, i rischi si spostano. Un programma di alfabetizzazione fatto una volta e dimenticato non soddisfa il requisito di adeguatezza previsto dalla norma. Le aziende devono prevedere un ciclo di aggiornamento ragionevole, legato all’evoluzione degli strumenti effettivamente in uso.
Come strutturare l’adeguamento: approccio consulenziale
Il primo errore che vedo fare è comprare un corso e-learning generico e considerare l’obbligo assolto. Non funziona così, e non solo per ragioni normative. Un corso generico sull’AI non dice nulla a un’azienda manifatturiera che usa la visione artificiale per il controllo qualità, e non dice nulla a uno studio legale che usa l’AI generativa per la ricerca giurisprudenziale. Sono contesti completamente diversi, con rischi diversi e competenze necessarie diverse.
L’approccio che funziona parte dall’interno. Si comincia con un assessment: quali sistemi AI sono in uso, chi li usa, per quali decisioni, con quale livello di supervisione umana. Questo assessment produce una mappa, e sulla mappa si costruisce il piano di alfabetizzazione. Non il contrario.
La seconda fase riguarda la progettazione dei contenuti. Un piano credibile definisce obiettivi formativi per ruolo, non per reparto. Il responsabile HR che usa un sistema AI per lo screening dei CV ha bisogno di capire cos’è il bias algoritmico e come si manifesta nelle decisioni automatizzate. Il direttore commerciale che autorizza l’uso di chatbot AI per il customer service ha bisogno di capire gli obblighi di trasparenza verso gli utenti. Il CEO ha bisogno di capire il quadro delle responsabilità. Tre percorsi diversi, un unico piano.
La terza fase è quella che quasi nessuno fa: la documentazione del processo. Chi ha ricevuto quale formazione, quando, con quali contenuti, con quale verifica di apprendimento. Questo archivio non è burocrazia. E’ la prova che l’azienda ha preso sul serio l’obbligo. Ed è ciò che distingue un’organizzazione preparata da una che improvvisa, nel momento in cui arriva un’ispezione o, peggio, un contenzioso.
C’è una differenza netta tra usare un tool AI e integrare l’AI in un processo governato. Il tool lo puoi comprare domani. Il sistema richiede mappatura, competenze, documentazione, governance. L’AI Act, con l’articolo 4, chiede alle aziende di passare dalla prima alla seconda modalità.
Prima e dopo l’adeguamento: cosa cambia in concreto
Per rendere tangibile l’impatto dell’adeguamento, vale la pena confrontare la situazione tipica di un’azienda prima e dopo aver strutturato un programma di AI literacy conforme all’AI Act.
| Aspetto | Prima dell’adeguamento | Dopo l’adeguamento |
|---|---|---|
| Conoscenza degli strumenti AI in uso | Frammentata, nessuna mappatura centralizzata | Registro aggiornato di tutti i sistemi AI attivi, con classificazione per livello di rischio |
| Competenze del personale | Autoapprendimento individuale, nessun percorso strutturato | Percorsi differenziati per ruolo, con obiettivi formativi documentati |
| Documentazione | Inesistente o limitata a qualche email interna | Archivio strutturato delle attività formative, verificabile in caso di ispezione |
| Responsabilità in caso di incidente AI | Aggravata dalla mancanza di misure organizzative | Attenuata dalla dimostrazione di un percorso di conformità attivo |
| Supervisione umana sugli output AI | Occasionale e non codificata | Integrata nei processi decisionali con procedure definite |
| Posizione verso le autorità di controllo | Esposta a contestazioni per negligenza organizzativa | Dimostrabile compliance, anche in assenza di certificazione formale |
Questa tabella non è teorica. Riflette esattamente le situazioni che si incontrano quando si entra in azienda per un assessment. La colonna di sinistra descrive la realtà del 90% delle PMI italiane ad aprile 2026.
Rischi, limiti e considerazioni che nessuno vuole sentire
Partiamo dalla questione che genera più confusione: l’articolo 4 dell’AI Act non prevede una sanzione pecuniaria diretta per la mancata alfabetizzazione. Questo è vero. E molte aziende si sono fermate qui, concludendo che il rischio è zero.
Ma la lettura corretta è diversa. L’articolo 99, paragrafo 7, lettera g) del Regolamento stabilisce che, nel determinare l’importo di una sanzione per qualsiasi violazione dell’AI Act, l’autorità competente deve valutare il “grado di responsabilità dell’operatore, tenendo conto delle misure tecniche e organizzative da esso attuate”. L’alfabetizzazione AI è una misura organizzativa. La sua assenza diventa un fattore aggravante nel calcolo della sanzione per altre violazioni. E le sanzioni previste dall’AI Act arrivano fino a 35 milioni di euro o al 7% del fatturato mondiale annuo.
Tradotto: se un sistema AI ad alto rischio causa un danno e l’azienda non può dimostrare di aver formato adeguatamente il personale che lo utilizzava, la sanzione sarà più pesante. Non è un rischio ipotetico. E’ la stessa dinamica che abbiamo già visto con il GDPR, dove la mancata formazione del personale sul trattamento dei dati personali è stata un elemento ricorrente nei procedimenti sanzionatori del Garante.
C’è poi un secondo livello di rischio, meno discusso ma altrettanto concreto. L’articolo 85 dell’AI Act prevede la possibilità per qualsiasi persona fisica o giuridica di presentare un reclamo all’autorità di vigilanza del mercato per violazioni delle disposizioni del regolamento. Questo include l’obbligo di alfabetizzazione. Un dipendente, un cliente, un concorrente: chiunque può segnalare che un’azienda utilizza sistemi AI senza aver garantito le competenze minime al proprio personale.
In Italia, l’autorità competente è l’ACN (Agenzia per la Cybersicurezza Nazionale). La legge 132/2025 ha recepito l’AI Act a livello nazionale, ma il decreto legislativo che definisce le sanzioni applicabili deve ancora essere emanato. Questo non significa che il rischio non esista: significa che il quadro sanzionatorio si sta completando, e chi non è in regola quando diventerà pienamente operativo avrà un problema serio e retroattivo.
Un altro errore comune: pensare che basti acquistare un corso online per essere conformi. L’AI Office della Commissione Europea ha chiarito che far leggere le istruzioni d’uso di un sistema AI al personale non è sufficiente. La formazione deve essere “proattiva”, non un adempimento formale. Se il vostro piano di conformità consiste in un link a un video di due ore che nessuno ha guardato, non siete conformi. Punto.
Infine, un limite reale: nessuno ha ancora chiarito con precisione cosa significhi “livello sufficiente” di alfabetizzazione. Il regolamento lascia margine interpretativo, e questo crea incertezza. Ma l’incertezza non è una scusa per non fare nulla. Chi ha un piano documentato, proporzionato e aggiornato è in una posizione infinitamente migliore di chi non ha nulla, indipendentemente da come verrà interpretato il requisito in futuro.
Domande frequenti sull’obbligo di alfabetizzazione AI
La mia azienda usa solo ChatGPT per scrivere email. Devo comunque adeguarmi?
Si. L’articolo 4 si applica a chiunque utilizzi sistemi di intelligenza artificiale in ambito professionale, indipendentemente dalla complessità del sistema. ChatGPT è un sistema AI. Se i vostri dipendenti lo usano per lavoro, rientrate nel perimetro dell’obbligo. La profondità della formazione sarà proporzionata al rischio (basso, in questo caso), ma l’obbligo c’è.
Esistono sanzioni dirette per la mancata alfabetizzazione?
No, l’AI Act non prevede una sanzione specifica per la violazione dell’articolo 4. Ma la mancata alfabetizzazione funziona come aggravante nella determinazione delle sanzioni per altre violazioni del regolamento. In caso di incidente legato a un sistema AI, l’assenza di un programma formativo documentato peserà sulla valutazione della responsabilità dell’azienda. Le sanzioni dell’AI Act possono arrivare fino a 35 milioni di euro.
Che tipo di documentazione devo produrre?
Non esiste un formato obbligatorio. Le organizzazioni possono mantenere una documentazione interna in forma libera. Quello che serve è poter dimostrare: quali sistemi AI sono in uso, chi è stato formato, su cosa, quando, con quali modalità. Un registro interno delle attività formative, aggiornato periodicamente, è il minimo ragionevole.
I collaboratori esterni e i freelance rientrano nell’obbligo?
Si. L’articolo 4 fa riferimento al “personale” e a “qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per conto” dell’azienda. Questo perimetro include collaboratori esterni, consulenti, fornitori che operano sotto l’autorità dell’organizzazione. Se un freelance usa strumenti AI per produrre lavoro destinato alla vostra azienda, la responsabilità dell’alfabetizzazione ricade su di voi.
Devo nominare un responsabile interno per l’AI literacy?
No, l’AI Act non richiede una figura di governance dedicata (a differenza del DPO previsto dal GDPR). Tuttavia, strutturare un riferimento interno, che sia il responsabile compliance, il responsabile IT o un ruolo dedicato, è una scelta organizzativa che rafforza la capacità dell’azienda di dimostrare l’adeguamento e di mantenerlo nel tempo.
Quanto costa adeguarsi?
Dipende dalla dimensione dell’azienda e dalla complessità dei sistemi AI in uso. Un assessment iniziale con mappatura e piano di alfabetizzazione, per una PMI con 20-50 dipendenti, richiede tipicamente poche giornate di consulenza. Il costo di non fare nulla, in caso di incidente o ispezione, è incomparabilmente più alto.
Se la tua azienda usa sistemi AI e non ha ancora un piano di conformità
Ogni settimana in cui questo obbligo resta ignorato è una settimana in cui la tua azienda accumula rischio. Non rischio teorico. Rischio che si materializza nel momento in cui un sistema AI produce un output sbagliato, un dipendente prende una decisione basata su un algoritmo che non capisce, un cliente segnala un comportamento scorretto all’autorità di vigilanza.
La buona notizia è che adeguarsi non richiede stravolgimenti. Richiede metodo: mappare, pianificare, documentare, aggiornare. Se vuoi capire dove si trova la tua azienda rispetto a questo obbligo e cosa serve concretamente per mettersi in regola, scrivimi a achille@falzone.it o chiamami al 335 83 626 71.