"Devo davvero formare il mio personale sull'intelligenza artificiale?" La risposta breve è sì, ed è già un obbligo di legge. L'articolo 4 del Regolamento UE 2024/1689 (l'EU AI Act) impone l'alfabetizzazione AI dal 2 febbraio 2025, e riguarda praticamente ogni azienda che usa strumenti di AI — non solo chi li sviluppa. La buona notizia: l'obbligo è flessibile e proporzionato. Vediamo cosa richiede davvero e come tradurlo in un programma concreto.

Cosa richiede davvero l'Art. 4

Il testo è sintetico ma preciso. Fornitori e deployer di sistemi di AI devono adottare misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione AI del proprio personale e delle altre persone che operano e usano i sistemi di AI per loro conto, tenendo conto delle loro competenze tecniche, esperienza, istruzione e formazione, nonché del contesto d'uso e delle persone su cui i sistemi saranno utilizzati.

Tre punti da non perdere:

  • Riguarda quasi tutti. L'obbligo non è per i soli "big tech": vale sia per il fornitore (chi sviluppa o immette sul mercato un sistema di AI) sia per il deployer (chi lo usa sotto la propria autorità). Se in azienda si usa un chatbot, uno strumento di screening dei CV o un assistente generativo, sei un deployer.
  • È uno standard di mezzi, non di risultato. "Nella misura del possibile" e "livello sufficiente" indicano proporzionalità: non devi trasformare tutti in data scientist, ma mettere ciascuno in condizione di usare l'AI in modo consapevole rispetto al proprio ruolo.
  • Definizione ufficiale. Per l'Art. 3(56), l'alfabetizzazione AI è l'insieme di "competenze, conoscenze e comprensione" che permettono un uso informato dei sistemi di AI e la consapevolezza delle opportunità, dei rischi e dei possibili danni.

L'obbligo è applicabile dal 2 febbraio 2025; i poteri di vigilanza ed enforcement delle autorità nazionali di sorveglianza del mercato decorrono dal 2 agosto 2026.

Cosa cambia con il Digital Omnibus (aggiornamento 2026)

Nel novembre 2025 la Commissione ha proposto, con il pacchetto Digital Omnibus, di alleggerire diversi punti dell'AI Act. Il testo finale — approvato dal Parlamento europeo il 16 giugno 2026 e dal Consiglio il 29 giugno 2026, in attesa di pubblicazione in Gazzetta Ufficiale — attenua l'Art. 4 ma non lo cancella.

La versione originaria proponeva di spostare l'onere sugli Stati membri; l'accordo finale è più moderato: fornitori e deployer restano tenuti ad adottare misure per sostenere lo sviluppo dell'alfabetizzazione AI del personale, con la precisazione che ciò non impone di garantire un livello specifico di competenza per il singolo individuo. Commissione e Stati membri devono affiancare le imprese e pubblicare esempi pratici di conformità.

Il punto operativo per una PMI è semplice: l'obbligo esiste ancora. In più, per chi utilizza sistemi ad alto rischio, resta pieno il dovere — previsto dagli articoli sulla supervisione umana — di formare le persone incaricate di sorvegliare il sistema. In pratica, il programma che descriviamo qui sotto serve comunque.

Come costruire un programma conforme in 5 step

  1. Mappa i ruoli e i sistemi. Parti dall'inventario dei sistemi di AI in uso e associa a ciascuno chi lo usa, chi decide sulla base dei suoi output e chi lo configura. Senza questa mappa non puoi calibrare i contenuti.

  2. Definisci i contenuti minimi per livello. Non tutti hanno bisogno della stessa formazione. Una griglia proporzionata:

    Gruppo Esempio di ruolo Contenuti minimi
    Uso base Chi usa strumenti generativi Cos'è un sistema di AI, rischi (errori, allucinazioni, dati personali), uso responsabile, quando coinvolgere un umano
    Uso decisionale Chi usa l'AI per decisioni su persone (HR, credito) Bias, supervisione umana, diritti degli interessati, limiti del sistema
    Ruoli tecnici Chi sviluppa, integra o configura AI Obblighi AI Act per categoria di rischio, logging, documentazione tecnica
    Governance Management, DPO, compliance Classificazione del rischio, obblighi fornitore/deployer, gestione delle evidenze
  3. Eroga con il formato più adatto. La Commissione ha chiarito che non esiste un formato unico: vanno bene e-learning, sessioni in aula, linee guida interne, onboarding. Conta la pertinenza al contesto, non la forma.

  4. Documenta le evidenze. Non è richiesto un certificato, ma tieni un registro interno: chi è stato formato, su cosa, quando, con quale materiale. In caso di controllo, l'evidenza documentale è ciò che distingue un obbligo rispettato da una dichiarazione di intenti.

  5. Aggiorna con cadenza. L'AI evolve e così i rischi. Fissa una revisione almeno annuale, e una formazione mirata ogni volta che introduci un nuovo sistema o un nuovo caso d'uso rilevante.

Gli errori più comuni

  • Un corso "uguale per tutti" che ignora i ruoli: non è proporzionato e lascia scoperti proprio i profili a rischio più alto.
  • Formare senza documentare. Se non c'è traccia, per l'autorità l'attività non è dimostrabile.
  • Confondere l'alfabetizzazione con l'informativa privacy. Sono cose diverse: l'Art. 4 riguarda la comprensione dei sistemi di AI, non il solo consenso al trattamento dei dati.
  • Fermarsi alla teoria. Serve una competenza operativa: cosa fare quando l'output è dubbio, quando scalare a una persona, come riconoscere un uso improprio.

Da dove partire

Un programma di alfabetizzazione AI efficace nasce da una fotografia onesta: quali sistemi usiamo, chi li tocca, quali rischi corriamo e quali competenze mancano. È esattamente ciò che emerge da un gap assessment indipendente, che trasforma un obbligo normativo in un piano di formazione con priorità, contenuti e responsabili. Se vuoi partire dalle basi, la nostra pagina servizi di formazione descrive come strutturiamo percorsi su misura per le PMI.