AI literacy: cos’è e chi deve fare la formazione obbligatoria AI Act

Dal 2 febbraio 2025 è entrato in vigore l’obbligo di AI literacy (alfabetizzazione) previsto dall’AI Act europeo; ma la maggior parte delle aziende italiane non ha ancora compreso cosa questo significhi.

Non solo chi sviluppa sistemi di IA, ma anche chi utilizza strumenti come ChatGPT, Claude o altre soluzioni di intelligenza artificiale per le proprie attività professionali, è soggetto all’obbligo di formazione previsto dall’articolo 4 del Regolamento UE 2024/1689 (AI Act). Questo articolo, infatti, impone la formazione in materia di IA a “fornitori” e “deployer” di sistemi di intelligenza artificiale.

Tradotto: se la tua azienda sviluppa, vende o semplicemente utilizza strumenti AI per lavoro, devi garantire che il personale abbia competenze adeguate. 

In questa analisi troverai le risposte concrete che mancano altrove: 

• Chi deve fare questa formazione, 
• Quali competenze sono richieste per essere conformi
• Cosa rischi se non ti adegui
• Come organizzare la formazione senza sprecare tempo e denaro.

Cos’è l’AI literacy

L’AI literacy non è semplicemente “saper usare l’intelligenza artificiale”. L’AI Act fornisce una definizione precisa all’articolo 3, punto 56:

“Le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei rispettivi diritti e obblighi previsti dal presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell’IA e ai possibili danni che essa può causare.”

La definizione normativa si concentra su tre elementi fondamentali:

1. Competenze pratiche per utilizzare i sistemi AI in modo appropriato
2. Conoscenze teoriche sul funzionamento e i limiti della tecnologia
3. Comprensione critica dei rischi e delle implicazioni.

È fondamentale comprendere che il requisito legale non è l’erogazione di un corso, ma il raggiungimento di un risultato dimostrabile: consentire una “diffusione informata” e creare “consapevolezza”. Questo approccio ricalca il principio di “responsabilizzazione” (accountability) del GDPR, secondo cui un’organizzazione non solo deve rispettare le norme, ma deve anche essere in grado di dimostrare la propria conformità.

Le 4 dimensioni dell’alfabetizzazione AI

L’AI literacy richiesta dalla normativa europea si articola su quattro dimensioni interconnesse:

1. Dimensione tecnica: comprendere i principi base del funzionamento dell’IA; cos’è il machine learning, come funziona un algoritmo, perché un chatbot può dare risposte errate, le c.d. “allucinazioni”;
2. Dimensione critica: saper valutare quando fidarsi di un output dell’IA e quando no, riconoscendo i limiti intrinseci della tecnologia e l’importanza della supervisione umana;
3. Dimensione etica: comprendere le implicazioni dell’uso dell’IA su privacy, equità e diritti fondamentali, come gli obblighi di trasparenza o il rischio di discriminazione;
4. Dimensione operativa: saper utilizzare concretamente i sistemi di IA nel proprio contesto lavorativo, rispettando le policy aziendali, le normative e sapendo quando è necessario l’intervento umano.

L’AI Act richiede che la formazione sia calibrata sul ruolo, tenendo conto di “conoscenze tecniche, esperienza, istruzione e formazione” preesistenti del personale.

Chi è obbligato alla formazione AI Act

L’articolo 4 dell’AI Act stabilisce un obbligo per fornitori e deployer. Ma chi sono esattamente questi soggetti?  

Il fornitore (provider) è definito all’articolo 3, punto 3, come chi “sviluppa un sistema di IA […] al fine di immetterli sul mercato o metterli in servizio con il proprio nome o marchio“. In pratica, sei un fornitore se sviluppi software con IA, crei chatbot per clienti o offri servizi basati su IA con il tuo brand.  

Il deployer (utilizzatore) è definito all’articolo 3, punto 4, come chi “utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale“. 

Questo significa che non ogni uso professionale di ChatGPT rende automaticamente un’azienda un “deployer”. La linea di demarcazione è fondamentale:

• Un singolo dipendente che usa la versione pubblica di un’IA generativa per cercare idee agisce come utente finale
• Un’azienda che integra le API di un modello IA nel proprio sistema di assistenza clienti, definisce policy interne per il suo utilizzo e lo presenta come parte del proprio servizio, sta agendo “sotto la propria autorità” e diventa a tutti gli effetti un deployer, con tutti gli obblighi che ne conseguono.

L’obbligo di alfabetizzazione si applica a tutti, dal freelance alla multinazionale, che utilizzano sistemi di IA in un contesto professionale strutturato.

Come cambia la formazione in base al livello di rischio del sistema AI

Stabilito chi deve formarsi, arriviamo al punto centrale: non tutti devono imparare le stesse cose. 

L’AI Act calibra gli obblighi formativi in base al potenziale impatto del sistema AI sui diritti fondamentali delle persone.

È una logica di proporzionalità che attraversa tutto il regolamento: chi usa un filtro antispam con AI non può avere gli stessi obblighi di chi gestisce sistemi di recruiting automatizzato. La classificazione del rischio determina profondità, contenuti e documentazione della formazione richiesta. Vediamo come funziona questo meccanismo.

L’AI Act distingue tra sistemi a rischio minimo, limitato e alto. Più è alto il rischio, più approfondita deve essere la formazione.

I sistemi ad alto rischio secondo l’Allegato III

L’Allegato III dell’AI Act elenca otto categorie di sistemi considerati ad alto rischio:

1. Identificazione biometrica e categorizzazione delle persone
2. Gestione di infrastrutture critiche come reti elettriche, idriche, trasporti
3. Istruzione e formazione professionale: valutazione studenti, accesso all’istruzione
4. Occupazione e gestione lavoratori: recruiting, decisioni su promozioni e licenziamenti
5. Accesso a servizi essenziali: valutazione creditizia, servizi assicurativi, sussidi pubblici
6. Applicazione della legge: valutazione rischio recidiva, analisi prove
7. Migrazione e controllo frontiere
8. Amministrazione della giustizia

Se la tua azienda utilizza un sistema di IA che rientra in una di queste categorie, la formazione deve essere sostanzialmente più approfondita. Il personale deve comprendere i requisiti specifici del Regolamento, come la gestione del rischio (Art. 9), la sorveglianza umana qualificata (Art. 14) e la valutazione d’impatto sui diritti fondamentali (Art. 27).  

Sistemi a rischio limitato e minimo

La maggior parte delle aziende utilizza sistemi a rischio limitato (chatbot, IA generativa per contenuti) o a rischio minimo (filtri antispam).  

• Per i sistemi a rischio limitato, l’obbligo principale è la trasparenza (Art. 50): informare gli utenti che stanno interagendo con un sistema di IA. La formazione deve quindi coprire come e quando fornire queste informazioni, in aggiunta alla consapevolezza di base sui rischi dello strumento.
• Per i sistemi a rischio minimo, l’obbligo formativo dell’articolo 4 si applica comunque se utilizzati professionalmente, sebbene con un’intensità minore, focalizzandosi sulla consapevolezza generale e sull’uso responsabile.

Contenuti della formazione AI literacy obbligatoria

Un programma formativo conforme e difendibile dovrebbe essere differenziato per ruolo e basato su quattro aree di competenza fondamentali:

1. Comprensione generale dell’IA: cosa sono i modelli linguistici, come funzionano, quali sono i loro limiti. Ad esempio non hanno accesso a informazioni in tempo reale, possono generare contenuti non veritieri
2. Consapevolezza di rischi e limitazioni: riconoscere i bias, le “allucinazioni”, i rischi per la privacy e la sicurezza dei dati. Il personale deve sapere quali informazioni sensibili non devono mai essere inserite in un prompt
3. Conoscenza del quadro normativo: comprendere le responsabilità legali derivanti dall’AI Act e la sua interazione con il GDPR. Sapere quando coinvolgere il DPO o l’ufficio legale
4. Competenze per la supervisione umana: l’AI Act insiste sul principio che l’umano deve sempre poter controllare e correggere le decisioni dell’IA. La formazione deve fornire le competenze critiche per non fidarsi ciecamente dell’output algoritmico, il c.d. automation bias.

Differenze di formazione per ruolo aziendale

Queste competenze devono essere adattate ai diversi ruoli aziendali:

• Management e C-Suite: formazione strategica su governance, gestione del rischio e responsabilità legali dell’organizzazione
• Operatori quotidiani (es. marketing, customer service): competenze pratiche per riconoscere output problematici, conoscere le procedure di escalation e gestire correttamente i dati
• Sviluppatori, se l’azienda è “fornitore”: formazione tecnica approfondita su equità algoritmica, mitigazione dei bias e requisiti di documentazione tecnica

Un’attenzione particolare merita il personale HR che utilizza AI nel recruiting. L’Allegato III classifica questi sistemi di AI come ad alto rischio, richiedendo competenze specifiche su equità, non discriminazione e diritti dei candidati. La formazione deve coprire come l’AI può perpetuare o amplificare bias esistenti, come garantire trasparenza nel processo di selezione, come documentare le decisioni per eventuali contestazioni.

Le FAQ precisano che anche per ruoli amministrativi o di supporto che interagiscono occasionalmente con sistemi AI è necessaria una formazione base. L’obiettivo è creare una cultura aziendale consapevole dove tutti comprendono opportunità e rischi dell’AI, indipendentemente dal livello di utilizzo diretto.

Tempistiche e scadenze AI Act 2025-2027

Il Regolamento (UE) 2024/1689, entrato in vigore il 1° agosto 2024, ha un’applicazione graduale. Ora che siamo ad fine 2025, diverse scadenze sono state raggiunte, rendendo la conformità una priorità non più rimandabile: 

• 2 febbraio 2025: sono entrati in vigore il divieto per i sistemi di IA vietati (Art. 5) e l’obbligo di alfabetizzazione in materia di IA (Art. 4). Le aziende che non si sono ancora adeguate sono già non conformi.  
• 2 agosto 2025: da questa data, si applicano le norme sui modelli di IA per finalità generali (GPAI). Inoltre, le strutture di governance, come l’Ufficio per l’IA e le autorità nazionali competenti, diventano pienamente operative, e le norme sulle sanzioni devono essere stabilite dagli Stati membri.  
• 2 agosto 2026: il Regolamento diventerà pienamente applicabile nella sua interezza, compresi tutti i requisiti per i sistemi ad alto rischio.  
• 2 agosto 2027: si applicheranno i requisiti ai sistemi ad alto rischio già immessi sul mercato o utilizzati da autorità pubbliche.  

Il tempo per “aspettare e vedere” è finito. Con l’obbligo di formazione già in vigore e le autorità di controllo ormai operative, ogni azienda che utilizza IA deve agire immediatamente.

Sanzioni e conseguenze del mancato adempimento

L’articolo 4 sull’alfabetizzazione non prevede una sanzione pecuniaria diretta per la sua violazione. Questo ha portato alcuni a sottovalutare l’obbligo. È un errore grave.  

L’assenza di una sanzione diretta non significa assenza di conseguenze. Se un sistema di IA causa un danno come ad esempio, una decisione discriminatoria, e l’indagine rivela che il personale non era adeguatamente formato, la mancata alfabetizzazione diventa un fattore aggravante che può portare all’applicazione delle sanzioni massime per la violazione sostanziale.  

Ora che le norme sulle sanzioni sono operative dal 2 agosto 2025, le autorità di controllo hanno gli strumenti per agire. Nel determinare l’importo di una sanzione, valuteranno criteri come la “gravità della violazione” e il “grado di responsabilità”. La mancanza di un programma formativo solido è una chiara prova di negligenza.  

L’esperienza con il GDPR lo conferma: sebbene la formazione non avesse sanzioni dirette, la sua assenza è stata un elemento centrale in molti procedimenti sanzionatori. Il Garante Privacy italiano ha più volte ribadito che la formazione è “una misura di sicurezza che deve essere messa in atto e, in un’ottica di Privacy by design, deve precedere il trattamento“.  

Oltre alle sanzioni, i costi della non conformità includono:

• Danni reputazionali: un’azienda sanzionata per uso scorretto dell’IA perde la fiducia dei clienti e vede crollare il valore del brand
• Perdita di opportunità di business: molti bandi e grandi aziende richiederanno la conformità all’AI Act come requisito per i fornitori.
• Responsabilità civili: un candidato discriminato o un cliente danneggiato da un’IA può fare causa per danni.

Ma il costo più subdolo è la perdita di competitività. Mentre i concorrenti che hanno investito in AI literacy innovano consapevolmente, chi non si è formato usa l’AI in modo superficiale o, peggio, la evita per paura. Oggi l’AI è un elemento differenziante, e rimanere indietro equivale a una lenta uscita dal mercato.

Cosa fare subito per essere conforme: piano d’azione in 3 step

Con l’obbligo di alfabetizzazione AI già in vigore e le autorità di controllo operative, ogni azienda che utilizza IA deve muoversi immediatamente. Ecco un piano d’azione in tre passaggi.

1. Mappatura dei Sistemi AI: la prima cosa da fare è un censimento completo di tutti i sistemi di IA utilizzati in azienda, anche quelli non formalmente approvati. Questa mappatura deve identificare quali sistemi sono in uso, chi li utilizza, per quali scopi e, soprattutto, classificarli secondo il livello di rischio previsto dall’AI Act (minimo, limitato, alto). Questa analisi è il fondamento per definire l’ambito degli obblighi e prioritizzare gli interventi; 
2. Identificazione del personale da formare: sulla base della mappatura, è necessario identificare tutto il personale che richiede formazione. L’articolo 4 si applica al “personale” e a “qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto”. Questo perimetro è ampio e, come chiarito dalle linee guida della Commissione, può includere anche collaboratori esterni o fornitori che operano sotto l’autorità dell’azienda;
3. Pianificazione e documentazione del percorso formativo:  con l’obbligo di alfabetizzazione in vigore da febbraio 2025, è imperativo non solo avviare la formazione, ma anche documentarla meticolosamente. Un piano credibile deve definire obiettivi formativi specifici per ogni ruolo, modalità di erogazione e sistemi di verifica dell’apprendimento. L’AI Office ha indicato che la formazione deve essere “proattiva” e non un mero adempimento formale. La documentazione di questo processo è la prova tangibile della conformità e l’incarnazione del principio di accountability. Per chi non ha ancora iniziato, è consigliabile partire con una formazione di base per tutto il personale e procedere con moduli specialistici

L’approccio strategico alla formazione AI di Legal for Digital

Legal for Digital, forte dell’esperienza maturata con numerose di aziende digitali nell’ambito del GDPR, ha sviluppato un approccio alla formazione AI che va oltre il mero adempimento normativo.

La formazione non deve essere vista come un costo di compliance ma come investimento strategico. Un team formato sull’AI literacy non solo evita sanzioni, ma utilizza la tecnologia in modo più consapevole ed efficace, riducendo errori e massimizzando i benefici. È la differenza tra subire l’AI Act e trasformarlo in vantaggio competitivo.

L’esperienza nel legal tech insegna che ogni obbligo normativo nasconde un’opportunità. Come il GDPR è diventato per molte aziende l’occasione per riorganizzare e valorizzare la gestione dati, l’AI Act può essere il catalizzatore per una trasformazione digitale consapevole.

La chiave è personalizzare la formazione al contesto specifico dell’azienda, integrando:

• I principi normativi dell’AI Act
• Le specificità del settore di appartenenza
• I sistemi AI effettivamente utilizzati
• La cultura aziendale esistente

Solo un approccio integrato, che consideri aspetti legali, tecnici e organizzativi, può garantire una formazione che sia al tempo stesso conforme alla normativa e utile al business. Perché alla fine, come recita la filosofia di Legal for Digital, la legge deve essere al servizio delle performance aziendali, non un ostacolo da aggirare.

L’AI literacy dal 2 febbraio 2025 è legge europea, con tutto ciò che questo comporta in termini di obblighi e responsabilità.

Abbiamo visto chi deve formarsi (praticamente tutti coloro che usano AI professionalmente), cosa deve imparare (dalle basi tecniche alla supervisione umana), quali sono i rischi del non conformarsi (non solo sanzioni dirette, ma responsabilità aggravate in caso di problemi).

L’AI Act ci fa capire chiaramente che l’intelligenza artificiale è troppo potente per essere usata senza consapevolezza. L’alfabetizzazione è la condizione minima per un utilizzo responsabile di tecnologie che possono amplificare sia le opportunità che i rischi.

Per le aziende italiane, già in ritardo su molti fronti della digitalizzazione, questo è un momento di scelta: subire passivamente l’ennesimo obbligo normativo o cogliere l’occasione per costruire competenze che saranno sempre più differenzianti sul mercato?

Il tempo per decidere è ora. Chi aspetta la prima sanzione per agire ha già perso.