AI Literacy obbligatoria: l'adempimento dell'AI Act che la tua azienda ha già saltato

C'è un obbligo dell'AI Act che la maggior parte delle imprese italiane sta ignorando, ed è già scaduto. È l'AI Literacy: l'articolo 4 del Regolamento UE 2024/1689 impone a chi fornisce o usa sistemi di intelligenza artificiale di garantire un "livello sufficiente di alfabetizzazione in materia di IA" del personale. Questo obbligo è in vigore dal 2 febbraio 2025.

Non è una scadenza futura. È un adempimento del passato che molte aziende non hanno ancora affrontato. E dal 2 agosto 2026 le autorità nazionali iniziano la vigilanza, con potere sanzionatorio.

Il punto che sfugge: se i tuoi dipendenti usano ChatGPT, Copilot, Gemini o qualunque altro strumento AI per lavoro, la tua azienda è soggetta all'obbligo. Anche se "non fai AI". La Commissione UE lo ha chiarito esplicitamente.

Questa guida spiega cosa prevede l'art. 4, chi è coinvolto, cosa fare concretamente per mettersi in regola e come finanziare la formazione.

Cosa dice l'articolo 4 dell'AI Act

L'art. 4 del Regolamento UE 2024/1689 stabilisce che fornitori e deployer di sistemi di IA adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione in materia di IA del proprio personale e di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto.

La definizione di AI literacy è all'art. 3(56): l'insieme di competenze, conoscenze e consapevolezze necessarie per utilizzare i sistemi di IA in modo informato, riconoscendone opportunità, rischi e potenziali pregiudizi.

Tre caratteristiche rendono questo obbligo diverso dagli altri dell'AI Act:

1. Si applica a prescindere dal livello di rischio del sistema AI. Non importa se usi un sistema ad alto rischio o un semplice chatbot: l'obbligo c'è
2. Riguarda sia i fornitori sia i deployer. Sviluppi AI o la usi soltanto, sei comunque coinvolto
3. È già in vigore dal 2 febbraio 2025, con applicabilità anticipata rispetto al termine generale dell'AI Act (art. 113)

Per il quadro completo dell'AI Act dopo il riordino del Digital Omnibus: AI Act 2026 dopo il Digital Omnibus.

Le date che contano

• 2 febbraio 2025: l'obbligo di AI literacy entra in vigore. Da questa data le imprese devono già aver definito e attuato programmi di alfabetizzazione
• 2 agosto 2026: le autorità nazionali di vigilanza del mercato iniziano a vigilare sull'effettivo rispetto dell'art. 4, con potere di applicare sanzioni proporzionate

Tra le due date c'è un periodo transitorio: l'obbligo esiste ma le sanzioni non sono ancora applicate. Quel periodo finisce ad agosto 2026. Chi non si è mosso ha pochi mesi.

Chi è coinvolto: praticamente tutti

L'errore più diffuso è pensare "noi non facciamo AI". Quasi tutte le aziende, anche piccole, usano sistemi AI senza saperlo.

La Commissione UE, nelle FAQ ufficiali sull'AI literacy, è stata esplicita: anche le organizzazioni i cui dipendenti usano ChatGPT devono definire e attuare programmi di AI literacy.

Sei coinvolto se la tua azienda usa, tra l'altro:

• Assistenti AI generativi: ChatGPT, Microsoft Copilot, Google Gemini, Claude
• AI integrata in software esistenti: funzioni AI dentro CRM, gestionali, suite office, tool di marketing automation
• AI nei processi HR: filtraggio CV, screening candidati
• AI nel customer service: chatbot, assistenti virtuali
• AI nel marketing: generazione contenuti, analisi predittiva, targeting
• AI gestionale: scoring, previsioni, sistemi di raccomandazione

Considera anche la shadow AI: i dipendenti che usano account personali di strumenti AI per lavoro. Anche quell'uso, se avviene nell'ambito dell'attività professionale, rientra nel perimetro dell'obbligo.

In pratica: se hai personale che interagisce con sistemi AI per conto dell'azienda, l'art. 4 si applica.

Cosa significa "livello sufficiente di alfabetizzazione"

L'AI Act non impone un corso specifico né un formato obbligatorio. Stabilisce un principio di proporzionalità (Considerando 127): le misure devono essere commisurate al ruolo delle persone coinvolte, al contesto di utilizzo e al livello di rischio dei sistemi.

L'AI Office della Commissione, nelle Q&A pubblicate, ha chiarito i contenuti minimi. Un programma di AI literacy dovrebbe come minimo:

• Garantire una comprensione generale dell'IA all'interno dell'organizzazione: nozioni di base su machine learning, deep learning, elaborazione del linguaggio naturale, sistemi di raccomandazione, nei limiti di quanto rilevante per l'attività
• Far comprendere i rischi dei sistemi AI usati e le misure per mitigarli
• Calibrare la formazione sul ruolo dell'organizzazione: considerare se si agisce come fornitore o come deployer
• Personalizzare i contenuti in base a conoscenze tecniche, esperienza e formazione dei destinatari, e al contesto d'uso
• Includere aspetti etici e legali: l'AI Act stesso deve essere oggetto di formazione

Punto chiarito dall'AI Office: una formazione strutturata non è formalmente obbligatoria, ma il semplice rinvio alle istruzioni d'uso dei sistemi è considerato insufficiente. Serve almeno la realizzazione e condivisione di materiali informativi adeguati, con linguaggio comprensibile anche a personale non tecnico.

Il principio: la formazione proporzionata al ruolo

Un corso generico uguale per tutti non basta. La formazione va differenziata per ruolo, perché ogni funzione ha esposizioni e rischi diversi.

Top management e CdA

• Rischi legali e strategici dell'AI
• Quadro normativo (AI Act, NIS2, GDPR)
• Governance dell'AI, responsabilità decisionale
• L'AI literacy va integrata negli obiettivi strategici dell'organizzazione

Funzione HR

• Bias algoritmico nei sistemi di screening
• AI Act e sistemi HR ad alto rischio (Allegato III)
• Trattamento dati dei candidati (intersezione con GDPR)

Funzione IT e sviluppo

• Funzionamento dei modelli, limiti tecnici
• Sicurezza dei sistemi AI, cybersecurity
• Se l'azienda sviluppa o personalizza modelli: obblighi del provider

Marketing e comunicazione

• Trasparenza sui contenuti generati da AI (art. 50 AI Act, scadenza 2 agosto 2026)
• Watermarking, etichettatura deepfake
• Rischi reputazionali e di disinformazione

Personale operativo che usa AI

• Riconoscere quando si interagisce con un sistema AI
• Valutare criticamente l'affidabilità degli output
• Evitare l'affidamento eccessivo, riconoscere allucinazioni ed errori
• Protezione dei dati aziendali inseriti nei prompt

Il principio cardine che attraversa tutti i ruoli: la supervisione umana. L'algoritmo affianca il giudizio, non lo sostituisce. Chi omette le verifiche resta responsabile degli errori.

Come mettersi in regola: roadmap in 6 step

Step 1: Mappare i sistemi AI in uso (1-2 settimane)

• Inventario di tool AI espliciti (ChatGPT, Copilot, Gemini, tool verticali)
• Inventario della shadow AI (account personali usati per lavoro, plug-in AI dentro software)
• Per ogni sistema: chi lo usa, per cosa, con quale esposizione

Step 2: Assessment delle competenze esistenti (1-2 settimane)

• Valutare il livello di alfabetizzazione AI attuale per ruolo e funzione
• Identificare i gap

Step 3: Progettare il programma formativo (2-3 settimane)

• Percorsi differenziati per ruolo (management, HR, IT, marketing, operativi)
• Mix di formati: aula, e-learning, workshop, guide pratiche, simulazioni
• Contenuti su nozioni AI + rischi + etica + AI Act
• Spunti dal Living Repository dell'AI literacy della Commissione UE

Step 4: Erogare la formazione

• Per una PMI tipica, un percorso base è di 2-6 ore per ruolo
• Commitment esplicito del top management (senza, i programmi formativi falliscono)

Step 5: Documentare tutto (fondamentale)

• Registro presenze, attestati, materiali distribuiti
• Programma formativo formalizzato
• Politica interna sull'uso dell'AI
• La vigilanza ad agosto 2026 verificherà su documentazione: ciò che non è documentato, ai fini del controllo, non esiste

Step 6: Aggiornamento continuo

• L'AI literacy non è un evento una tantum
• Formazione continua per nuovi assunti e per l'evoluzione degli strumenti
• Aggiornamento della politica interna

L'AI literacy come parte della governance AI integrata

L'AI literacy non vive isolata. Si integra con almeno tre altri impianti:

• AI Act, obblighi di trasparenza (art. 50): chi forma il marketing sull'AI literacy lo prepara anche all'etichettatura dei contenuti AI in scadenza il 2 agosto 2026
• NIS2: la formazione cyber del personale e del CdA (richiesta dall'art. 23 D.Lgs. 138/2024) si combina con l'AI literacy in un unico piano formativo. Vedi: NIS2 per PMI italiane: cosa fare entro ottobre 2026
• GDPR: la consapevolezza sul trattamento dei dati nei sistemi AI è AI literacy e compliance privacy insieme
• Codice della Crisi d'Impresa: l'uso di AI e business intelligence per gli assetti organizzativi adeguati (artt. 3 e 2086 c.c.) richiede personale alfabetizzato

Costruire un piano formativo unico che copra AI literacy + cyber awareness + privacy è più efficiente che gestire tre percorsi separati. Il Playbook di Compliance AI gratuito aiuta a inquadrare la governance integrata AI Act + NIS2 + GDPR.

Come finanziare la formazione AI literacy

La formazione AI literacy è un costo, ma è largamente finanziabile. Strumenti utilizzabili:

• Fondi paritetici interprofessionali (Fondimpresa, Fondirigenti, Fon.Coop e altri): finanziano piani formativi aziendali, AI literacy inclusa. Per i dirigenti, esistono avvisi dedicati alla formazione su intelligenza artificiale
• Competenze & Innovazione Lombardia: percorsi di formazione e accompagnamento strategico, AI tra le competenze finanziabili. Vedi: Competenze e Innovazione Lombardia: guida al bando
• Sviluppo Competenze PMI Mezzogiorno: formazione per le PMI del Sud. Vedi: Sviluppo competenze PMI Mezzogiorno: guida alla formazione
• Voucher Digitali I4.0 Camere di Commercio: alcuni voucher provinciali includono la formazione sulle tecnologie digitali e AI
• Bandi regionali di formazione continua, variabili per territorio

Per il quadro completo degli incentivi AI: Incentivi AI per le imprese italiane 2026.

L'AI literacy come vantaggio competitivo

Ridurre l'AI literacy a un adempimento è un errore strategico. Un personale formato:

• Usa meglio gli strumenti AI: maggiore produttività reale, meno errori da affidamento cieco
• Protegge i dati aziendali: meno rischi di inserire informazioni riservate in prompt non sicuri
• Riconosce le allucinazioni: meno decisioni basate su output AI errati
• Identifica i bias: meno rischi legali e reputazionali, soprattutto in HR e customer-facing
• Costruisce fiducia: clienti e partner valutano la maturità AI dei fornitori

L'AI Act mette al centro un principio: senza competenze non può esserci fiducia nella tecnologia. L'azienda che forma davvero il personale non sta solo evitando una sanzione, sta costruendo capacità.

Tre casi pratici

Caso 1: Studio professionale 8 persone che usa ChatGPT

• Convinzione iniziale: "non facciamo AI"
• Realtà: il personale usa ChatGPT per bozze e ricerche
• Obbligo: pienamente soggetto all'art. 4 dal 2 febbraio 2025
• Cosa fa: programma base di 3-4 ore (cos'è l'AI, rischi, allucinazioni, protezione dati, AI Act), registro e attestati, politica interna sull'uso
• Costo: 2-5K, finanziabile con fondi interprofessionali

Caso 2: PMI manifatturiera 60 dipendenti con AI in HR e produzione

• Sistemi: screening CV automatizzato, AI predittiva in produzione
• Cosa fa: percorsi differenziati (management, HR su bias, IT, operativi), 4-8 ore per ruolo
• Documentazione completa, politica AI, integrazione con piano cyber NIS2
• Costo: 8-15K, in parte finanziabile

Caso 3: Agenzia marketing 15 persone con generative AI intensiva

• Sistemi: ChatGPT, Midjourney, suite AI
• Cosa fa: AI literacy + preparazione all'art. 50 (trasparenza contenuti AI, scadenza 2 agosto 2026), formazione su watermarking e disclosure
• Costo: 5-10K

FAQ

L'obbligo di AI literacy è già scaduto?

L'obbligo è in vigore dal 2 febbraio 2025. Non c'è una "scadenza" per adempiere: l'obbligo è già attivo. Le imprese che non hanno programmi di AI literacy sono già in difetto. La vigilanza delle autorità nazionali parte dal 2 agosto 2026.

La mia azienda usa solo ChatGPT. Sono soggetto?

Sì. La Commissione UE ha chiarito esplicitamente che anche le organizzazioni i cui dipendenti usano ChatGPT devono attuare programmi di AI literacy.

Devo fare un corso specifico obbligatorio?

L'AI Act non impone un corso né un formato. Impone un risultato: un livello sufficiente di alfabetizzazione, proporzionato al ruolo. Però il semplice rinvio alle istruzioni d'uso è considerato insufficiente: serve almeno la condivisione di materiali formativi adeguati.

Quanto deve durare la formazione?

Non c'è una durata minima di legge. Per una PMI tipica, un percorso base efficace va da 2 a 6 ore per ruolo, con contenuti differenziati. La proporzionalità è il criterio guida.

Chi vigila e chi sanziona?

La vigilanza sull'art. 4 è delle autorità nazionali di vigilanza del mercato (in Italia, nel quadro della Legge 132/2025, il ruolo di vigilanza AI è dell'ACN). La vigilanza inizia il 2 agosto 2026, con sanzioni proporzionate alla gravità.

La formazione va documentata?

Sì, è fondamentale. La vigilanza verifica su documentazione: registro presenze, attestati, materiali distribuiti, programma formativo, politica interna sull'uso dell'AI. Ciò che non è documentato non è dimostrabile.

L'AI literacy riguarda solo il reparto IT?

No. L'AI impatta tutte le funzioni. La formazione va differenziata per ruolo (management, HR, marketing, operativi), non confinata all'IT.

Posso finanziare la formazione AI literacy?

Sì, con i fondi paritetici interprofessionali (Fondimpresa, Fondirigenti e altri), con bandi regionali di formazione (Competenze & Innovazione Lombardia, Sviluppo Competenze PMI Mezzogiorno) e in alcuni casi con voucher digitali camerali.

Cosa è la "shadow AI" e perché conta?

È l'uso, da parte dei dipendenti, di strumenti AI tramite account personali per attività di lavoro. Anche quell'uso rientra nel perimetro dell'art. 4, e va mappato e governato.

AI literacy e formazione NIS2 sono la stessa cosa?

No, ma si integrano. La NIS2 richiede formazione cyber per personale e CdA; l'AI literacy richiede alfabetizzazione AI. Conviene costruire un piano formativo unico che copra entrambe, più la consapevolezza GDPR.

Normativa di riferimento

• Regolamento (UE) 2024/1689 (AI Act), art. 4 - alfabetizzazione in materia di IA
• Regolamento (UE) 2024/1689, art. 3(56) - definizione di AI literacy
• Regolamento (UE) 2024/1689, art. 113 - calendario di applicazione (par. 2: applicabilità anticipata)
• AI Office, Q&A sull'AI literacy e Living Repository della Commissione UE
• L. 23 settembre 2025, n. 132 - designazione autorità italiane (ACN vigilanza, AgID notifica)
• Considerando 127 AI Act - principio di proporzionalità delle misure