L’Articolo 4 del Regolamento (UE) 2024/1689 — il cosiddetto AI Act — è la disposizione più trasversale dell’intera normativa europea sull’intelligenza artificiale. Non riguarda solo chi sviluppa sistemi di IA o chi li distribuisce: si applica a qualsiasi organizzazione che utilizzi un sistema di IA, dal chatbot aziendale al software di analisi predittiva. Se la vostra azienda usa ChatGPT, Copilot, Gemini o qualsiasi altro strumento basato sull’IA, l’Articolo 4 vi riguarda direttamente.
À retenir
- L'Articolo 4 è in vigore dal 2 febbraio 2025 — non ci sono periodi di grazia
- Si applica a tutte le aziende che utilizzano sistemi di IA, indipendentemente dalla dimensione
- Richiede di garantire un 'livello sufficiente di alfabetizzazione in materia di IA' al personale
- Le sanzioni per inadempimento raggiungono i 15 milioni di euro o il 3% del fatturato globale
Vedi anche la nostra guida completa all’AI Act — 7 capitoli dettagliati.
Cosa dice esattamente l’Articolo 4
Il testo dell’Articolo 4 del Regolamento IA è breve ma di portata vastissima:
«I fornitori e i deployer di sistemi di IA adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale e di altre persone che si occupano del funzionamento e dell’utilizzo dei sistemi di IA per loro conto, tenendo conto delle loro conoscenze tecniche, della loro esperienza, del contesto di utilizzo e delle persone o dei gruppi di persone su cui il sistema di IA deve essere utilizzato.»
In termini concreti, l’obbligo di formazione IA stabilito dall’Articolo 4 del regolamento IA richiede tre cose:
- Identificare chi nell’organizzazione utilizza, gestisce o è esposto a sistemi di IA
- Formare queste persone in modo proporzionato al loro ruolo e al contesto d’uso
- Documentare le misure adottate per poterle dimostrare in caso di controllo
Il Regolamento non prescrive un programma specifico né un certificato obbligatorio. Lascia alle aziende la responsabilità di definire il livello di formazione adeguato — ma richiede che questo livello sia dimostrabile.
A chi si applica l’obbligo di formazione IA
L’Articolo 4 si rivolge a due categorie di soggetti:
Fornitori (providers). Chi sviluppa o commercializza sistemi di IA. Per loro, l’obbligo include la formazione del personale tecnico, dei team di supporto e di chiunque intervenga nel ciclo di vita del sistema.
Deployer (utilizzatori professionali). Chi utilizza sistemi di IA nell’ambito della propria attività professionale. Questa è la categoria che riguarda la maggior parte delle aziende italiane: se la vostra azienda ha adottato strumenti di IA generativa, di automazione o di analisi basata sull’IA, siete deployer ai sensi del Regolamento.
78%
delle aziende italiane non ha ancora avviato un percorso strutturato di adeguamento al Regolamento IA
Source : Osservatorio Artificial Intelligence, Politecnico di Milano, 2025
L’obbligo non distingue tra grandi imprese e PMI. Una piccola o media impresa che utilizza ChatGPT per redigere e-mail commerciali ha lo stesso obbligo di formazione di una multinazionale che impiega sistemi di IA per la selezione del personale. Ciò che cambia è la profondità della formazione richiesta, che deve essere proporzionata al rischio e al contesto d’uso.
Cosa significa “livello sufficiente di alfabetizzazione IA”
Il Regolamento utilizza l’espressione «livello sufficiente di alfabetizzazione in materia di IA» senza definirla in modo rigido. Il Considerando 20 del Regolamento chiarisce tuttavia che l’alfabetizzazione IA comprende:
- Comprendere il funzionamento dei sistemi di IA utilizzati — non a livello tecnico profondo, ma sufficiente per un uso consapevole
- Riconoscere i limiti dell’IA: allucinazioni, bias, errori sistematici
- Conoscere i rischi per la protezione dei dati, la riservatezza e la sicurezza — un tema che si interseca con la gestione dei rischi IA in azienda
- Applicare le regole d’uso definite dall’organizzazione
- Esercitare un pensiero critico sui risultati prodotti dall’IA
Il livello deve essere calibrato su tre fattori specifici indicati nell’Articolo 4: le conoscenze tecniche della persona, la sua esperienza e il contesto di utilizzo. Un responsabile HR che utilizza un sistema di IA per il processo di selezione ha bisogno di una formazione più approfondita rispetto a un dipendente che usa un assistente IA per redigere bozze di testo.
L’espressione “nella misura del possibile” non è una scappatoia. In un contenzioso, l’azienda dovrà dimostrare di aver fatto tutto ciò che era ragionevolmente in suo potere per garantire la formazione del personale. L’assenza totale di formazione non è mai giustificabile.
La cronologia: scadenze e tappe
L’Articolo 4 è in vigore dal 2 febbraio 2025. Non esistono periodi di transizione aggiuntivi — è la prima disposizione del Regolamento IA ad essere diventata applicabile, insieme ai divieti dell’Articolo 5.
Le altre scadenze del Regolamento IA da tenere presenti:
| Data | Obbligo |
|---|---|
| 2 febbraio 2025 | Articolo 4 (formazione IA) + Articolo 5 (pratiche vietate) |
| 2 agosto 2025 | Obblighi per i modelli di IA per finalità generali (GPAI) |
| 2 agosto 2026 | Obblighi completi per i sistemi ad alto rischio + regime sanzionatorio |
| 2 agosto 2027 | Obblighi per i sistemi ad alto rischio integrati in prodotti regolamentati |
Per una panoramica completa delle scadenze e degli obblighi nel contesto italiano, consultate la nostra guida al Regolamento IA per le aziende italiane.
Le sanzioni: cosa si rischia
L’inadempimento dell’Articolo 4 rientra nella fascia sanzionatoria intermedia del Regolamento IA:
- Fino a 15 milioni di euro o il 3 % del fatturato mondiale annuo (il valore più alto), per le grandi imprese
- Per le PMI e le startup, il Regolamento prevede che le sanzioni siano proporzionate, ma non le esclude
15M€
sanzione massima per inadempimento dell'Articolo 4 del Regolamento IA (o il 3% del fatturato globale)
Source : Regolamento (UE) 2024/1689, Articolo 99
In Italia, le autorità competenti per la vigilanza sono l’AgID, il Garante per la protezione dei dati personali e l’ACN. Le prime attività di controllo sistematiche sono attese a partire dal 2026, ma interventi su segnalazione o su iniziativa del Garante sono possibili già oggi — come dimostrato dal precedente del blocco di ChatGPT nel 2023.
Come adeguarsi concretamente: 5 passi
1. Censire gli strumenti di IA utilizzati
Il primo passo è sapere cosa si usa. Mappate tutti gli strumenti di IA presenti nell’organizzazione, inclusi quelli adottati spontaneamente dai dipendenti — il fenomeno del shadow AI rappresenta un rischio specifico di non conformità.
2. Identificare le persone coinvolte
Non solo chi utilizza direttamente gli strumenti, ma anche chi supervisiona, decide o è impattato dai risultati dell’IA. L’Articolo 4 parla di “personale e altre persone che si occupano del funzionamento e dell’utilizzo”.
3. Definire e erogare la formazione
La formazione IA per le aziende deve coprire almeno: funzionamento di base dei sistemi utilizzati, limiti e rischi (allucinazioni, bias, sicurezza dei dati), regole d’uso aziendali e responsabilità individuali. I programmi devono essere differenziati per ruolo e livello di esposizione — un corso specifico su ChatGPT per gli utenti quotidiani, una formazione sulla governance IA per i responsabili.
4. Redigere una policy aziendale sull’IA
La formazione senza regole chiare è incompleta. Una policy aziendale sull’IA definisce: strumenti autorizzati, dati che possono essere trattati, verifiche obbligatorie, responsabilità. È il documento che trasforma la formazione in pratica quotidiana.
5. Documentare e aggiornare
Conservare la prova delle formazioni erogate: partecipanti, contenuti, date, risultati delle valutazioni. L’aggiornamento deve essere periodico — l’IA evolve rapidamente e le competenze acquisite oggi potrebbero essere insufficienti tra sei mesi. Un buon programma di prompt engineering è un investimento che si rinnova nel tempo.
Perché l’Articolo 4 è un’opportunità
L’obbligo di formazione IA non è solo un vincolo normativo. Le aziende che investono nella formazione del personale ottengono tre vantaggi concreti:
- Riduzione dei rischi operativi. Un dipendente formato riconosce un’allucinazione, protegge i dati sensibili e usa l’IA in modo efficace. Chi non è formato commette errori costosi.
- Adozione più rapida e produttiva. La formazione elimina le resistenze e accelera l’integrazione dell’IA nei processi — un tema centrale della trasformazione IA in azienda.
- Vantaggio competitivo. Mentre il 78 % delle aziende italiane non ha ancora avviato un percorso di adeguamento, chi si muove ora costruisce un vantaggio che sarà difficile da colmare.
L’Articolo 4 è in vigore. La formazione del personale è il passo più accessibile e più urgente per la conformità al Regolamento IA. Brain offre programmi di formazione IA strutturati, conformi all’Articolo 4, adattati al contesto italiano e differenziati per settore e ruolo. Scoprite i nostri piani →
La vostra azienda è pronta per l’Articolo 4? Brain accompagna le aziende italiane nella conformità al Regolamento IA — dalla formazione del personale alla governance. Iniziate oggi →
Articoli correlati
AI Act Italia: obblighi + piano conformità (2026)
Regolamento IA per aziende italiane: Articolo 4, AGID, Garante, sanzioni, scadenze e piano di conformità step by step.
AI Act Italia: guida pratica + Articolo 4
Regolamento IA per le aziende italiane — Articolo 4, scadenze, obblighi, sanzioni e indicazioni del Garante in un'unica guida.
Compliance IA in azienda: guida al Regolamento 2026
Adeguate la vostra azienda all'AI Act e al GDPR. Audit, documentazione e formazione obbligatoria in una guida pratica.