Dal 2 febbraio 2025 l’obbligo è operativo. L’Art. 4 dell’AI Act impone a chi sviluppa o utilizza sistemi di intelligenza artificiale di garantire un livello adeguato di AI literacy al personale che li usa. Non è una raccomandazione. È un obbligo normativo che vale anche per la tua azienda.
Il punto è che i tuoi dipendenti stanno già usando ChatGPT, Copilot, Gemini. Lo fanno per scrivere email, riassumere documenti, preparare presentazioni. Spesso senza che tu lo sappia, e quasi sempre senza nessuna formazione strutturata.
Questo crea due problemi paralleli: uno di compliance rispetto al regolamento europeo, uno operativo legato a come i dati aziendali finiscono dentro modelli pubblici. Entrambi richiedono una risposta concreta.
Cosa dice davvero l’Art. 4 dell’AI Act
L’articolo è breve e per questo ingannevole. Stabilisce che fornitori e deployer di sistemi di IA devono adottare misure per assicurare, nella misura possibile, un livello sufficiente di alfabetizzazione sull’IA del proprio personale e di chiunque utilizzi questi sistemi per loro conto.
Tradotto: se in azienda qualcuno usa ChatGPT per fare il proprio lavoro, sei tu il deployer. La responsabilità è tua. Non del fornitore del modello, non del singolo dipendente che ha aperto un account gratuito sul browser.
La norma non dettaglia contenuti minimi né formati. Lascia margini interpretativi, ma chiede prova di aver agito. In caso di controllo o contenzioso, dovrai dimostrare quali misure hai adottato, su chi, con quali contenuti.
Cosa significa “alfabetizzazione” in concreto
AI literacy non vuol dire trasformare ogni impiegato in un ingegnere del machine learning. Significa metterlo in condizione di usare gli strumenti con consapevolezza dei rischi, dei limiti e delle implicazioni legali. È una formazione operativa, non accademica.
I contenuti minimi che porto in aula
- Come funzionano i modelli generativi e perché sbagliano (allucinazioni, bias, dati di addestramento).
- Cosa si può e cosa non si deve inserire nei prompt: dati personali, segreti industriali, informazioni sensibili.
- Differenza tra versioni consumer e versioni enterprise dei principali strumenti.
- Verifica e validazione degli output prima di usarli in contesti decisionali o verso clienti.
- Riferimenti normativi: AI Act, GDPR, eventuali policy aziendali interne.
Il livello di approfondimento cambia a seconda del ruolo. Un responsabile marketing ha bisogni diversi da un addetto amministrativo. La formazione efficace parte da una mappatura degli usi reali, non da un programma standard calato dall’alto.
Perché la formazione fai-da-te non basta
Il video tutorial su YouTube non è formazione tracciabile. La chat interna in cui qualcuno spiega come scrivere un prompt non lascia evidenza documentale. In caso di ispezione, queste cose non valgono nulla.
Serve un percorso strutturato con registro presenze, materiali datati, test di verifica. È esattamente lo stesso principio che applichi alla formazione sulla sicurezza sul lavoro: non basta averla fatta, devi poterla dimostrare.
Come imposto un percorso di formazione AI in azienda
Parto sempre da un assessment iniziale: chi usa cosa, per quali attività, con quali strumenti. Spesso emerge una shadow AI significativa, dipendenti che usano account personali su strumenti gratuiti, fuori da ogni controllo IT.
Da lì costruisco moduli differenziati per funzione aziendale. Direzione, HR, marketing, amministrazione, vendite hanno esigenze e rischi diversi. La parte normativa è comune, quella operativa va calibrata.
Chiudo con una policy aziendale scritta che definisce regole d’uso, strumenti autorizzati, dati che non possono mai essere inseriti nei prompt. È il documento che ti tutela e che dà ai dipendenti un riferimento chiaro su cosa possono fare.
Il rischio che vedo più sottovalutato
Molti imprenditori pensano che l’AI Act sia un problema da grandi gruppi. Non è così. La norma si applica a chiunque utilizzi sistemi di IA in contesto professionale, indipendentemente dalle dimensioni.
La sanzione non è l’unica preoccupazione. Il rischio reputazionale, la perdita di dati strategici finiti dentro un modello pubblico, una causa con un cliente per output errati: sono scenari concreti che vedo già accadere. Agire ora costa molto meno che gestire le conseguenze dopo.
Domande frequenti
L’obbligo dell’Art. 4 vale anche per le piccole imprese?
Sì. L’AI Act non prevede esenzioni dimensionali per l’obbligo di alfabetizzazione. Vale per la microimpresa con cinque dipendenti come per la multinazionale. Cambia la proporzionalità delle misure adottate, non l’esistenza dell’obbligo. Se nella tua azienda qualcuno usa strumenti di IA generativa per lavoro, devi formarlo.
Quanto dura un percorso di formazione AI conforme all’Art. 4?
Dipende dal numero di funzioni coinvolte e dal livello di partenza. Per una PMI tipo lavoro su un percorso di 8-16 ore complessive distribuite su più moduli, con sessioni differenziate per ruolo. L’obiettivo è la consapevolezza operativa, non la copertura enciclopedica. Il tempo va calibrato su come gli strumenti vengono effettivamente usati nei processi.
Cosa succede se non formo i dipendenti e c’è un controllo?
Le sanzioni dell’AI Act per le violazioni più gravi arrivano fino a 35 milioni di euro o al 7% del fatturato globale. Per l’Art. 4 le autorità nazionali stanno definendo i regimi sanzionatori, ma il principio è chiaro: dovrai dimostrare di aver adottato misure ragionevoli. Senza documentazione, la posizione è indifendibile.
Posso usare un corso online standard per coprire l’obbligo?
Un corso generico è meglio di niente, ma raramente basta. L’Art. 4 chiede misure proporzionate al contesto d’uso. Se in azienda ChatGPT viene usato sui dati clienti, serve una formazione che affronti specificamente quel rischio. Combino sempre una base comune con moduli verticali sugli usi reali rilevati in fase di assessment.
Come si differenzia la formazione per ruolo?
Chi prende decisioni con il supporto dell’IA ha bisogno di capire bias e limiti dei modelli. Chi gestisce dati personali deve conoscere i confini GDPR-AI Act. Chi produce contenuti per clienti deve saper validare gli output e gestire i diritti d’autore. Una formazione indifferenziata appiattisce tutto e non serve a nessuno in modo concreto.
Parliamone prima che diventi un’urgenza
Se in azienda i tuoi dipendenti usano già strumenti di IA generativa, sei dentro l’ambito dell’Art. 4. La domanda non è se formarli, ma con quale percorso e in che tempi.
Ogni realtà ha caratteristiche diverse: numero di persone, funzioni coinvolte, strumenti autorizzati, livello di esposizione al rischio. Un confronto iniziale serve proprio a capire dove sei oggi e cosa ha senso fare nel tuo caso specifico.
Non vendo pacchetti standard. Se ritengo che la tua situazione si risolva con una policy interna e poche ore di formazione, te lo dico. Scrivimi dalla pagina contatti e organizziamo una prima chiamata.