L'AI Act impone alle aziende di garantire un livello sufficiente di competenza in IA per tutti i collaboratori. Chi è coinvolto, quali prove fornire, quali sanzioni si applicano.
L’Articolo 4 del Regolamento Europeo sull’Intelligenza Artificiale (Regolamento 2024/1689, noto come “AI Act”) viene spesso erroneamente riassunto come una semplice raccomandazione. In realtà si tratta di un obbligo giuridico vincolante, applicabile dal 2 agosto 2025.
Articolo 4 — Règlement (UE) 2024/1689
I fornitori e i deployer dei sistemi di IA adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale e di altre persone che si occupano del funzionamento e dell’utilizzo dei sistemi di IA per loro conto, tenendo conto delle loro conoscenze tecniche, della loro esperienza, della loro istruzione e formazione, nonché del contesto in cui i sistemi di IA sono destinati a essere utilizzati e delle persone o dei gruppi di persone sui quali i sistemi di IA sono destinati a essere utilizzati.
Questo testo è denso. Analizziamolo.
L’Articolo 4 si rivolge a due categorie di attori:
Qualsiasi soggetto che sviluppa un sistema di IA o un modello di IA per finalità generali e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio. Questo include editori di software, startup IA e aziende che sviluppano strumenti interni basati sull’IA.
Qualsiasi persona fisica o giuridica che utilizza un sistema di IA sotto la propria autorità. In pratica, questo include qualsiasi azienda che utilizzi strumenti di IA nelle proprie operazioni quotidiane — da ChatGPT a un sistema di scoring automatizzato.
Questo è il punto cruciale: non serve sviluppare IA per essere coinvolti. Se i tuoi team utilizzano strumenti di IA — anche strumenti di terze parti come assistenti conversazionali, strumenti di generazione di contenuti o sistemi di analisi automatizzata — sei un deployer ai sensi del regolamento.
In pratica, questo significa che la quasi totalità delle aziende europee è coinvolta. In Italia, dalle grandi banche come Intesa Sanpaolo e UniCredit fino alle PMI che utilizzano strumenti di IA integrati nei loro software gestionali — tutti rientrano nel perimetro.
Il regolamento non prescrive un programma di formazione standardizzato. Richiede un livello sufficiente di alfabetizzazione in IA (AI literacy), definito all’Articolo 3(56) come:
Articolo 3, paragrafo 56 — Règlement (UE) 2024/1689
Le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei rispettivi diritti e obblighi nel quadro del presente regolamento, di procedere a un impiego informato dei sistemi di IA, nonché di acquisire consapevolezza delle opportunità e dei rischi dell’IA e dei possibili danni che può causare.
Concretamente, valutare il livello di competenza dei tuoi collaboratori significa verificare che comprendano:
Il livello atteso non è uniforme. L’Articolo 4 precisa che la formazione deve tenere conto delle “conoscenze tecniche, dell’esperienza, dell’istruzione e della formazione” di ciascuna persona, nonché del “contesto in cui i sistemi di IA sono destinati a essere utilizzati”. Uno sviluppatore IA e un addetto al servizio clienti non avranno le stesse esigenze di sviluppo delle competenze.
Il regolamento impone di “adottare misure” per garantire questo livello di competenza. In caso di controllo o contenzioso, l’azienda dovrà dimostrare di aver effettivamente agito. È qui che il concetto di prove documentate diventa essenziale.
Sebbene le modalità precise di audit non siano ancora state completamente definite dalle autorità nazionali competenti — in Italia in particolare dal Garante per la protezione dei dati personali, dall’AgID (Agenzia per l’Italia Digitale) e dall’ACN (Agenzia per la Cybersicurezza Nazionale) — diversi elementi probatori si delineano come indispensabili:
Il Considerando 20 del regolamento fornisce ulteriori indicazioni:
Considerando 20 — Règlement (UE) 2024/1689
Le misure di alfabetizzazione in materia di IA […] dovrebbero essere concepite e, se del caso, adattate al contesto in cui i sistemi di IA sono utilizzati. […] I fornitori e i deployer possono anche assicurarsi che il personale tecnico disponga della formazione e delle competenze necessarie.
In altre parole, una formazione generica erogata una sola volta non sarà sufficiente. Il regolamento si aspetta un approccio contestualizzato, misurabile e continuo.
📄AI Act Articolo 4: l'obbligo di formazione sull'IA spiegato→A differenza di altre disposizioni dell’AI Act che si applicano progressivamente, l’Articolo 4 è applicabile dal 2 agosto 2025. Il calendario completo:
| Data | Disposizione |
|---|---|
| 1 febbraio 2025 | Divieto delle pratiche IA vietate (Articolo 5) |
| 2 agosto 2025 | Articolo 4 — Obbligo di competenza in IA |
| 2 agosto 2025 | Obblighi per i modelli di IA per finalità generali |
| 2 agosto 2026 | Obblighi per i sistemi di IA ad alto rischio |
Le aziende che non hanno ancora avviato un’iniziativa per formare l’insieme dei propri collaboratori sono quindi tecnicamente già in ritardo.
Prima di formare, bisogna sapere cosa viene utilizzato. Realizza un inventario completo di tutti i sistemi di IA impiegati nella tua organizzazione. Includi gli strumenti ufficiali, ma anche gli usi informali (il famoso “shadow IT” dell’IA).
Non tutti i collaboratori sono esposti allo stesso modo. Segmenta per:
Stabilisci chiaramente cosa ogni profilo deve sapere. Questo quadro servirà come base per valutare il livello sufficiente di competenza in IA richiesto dal regolamento.
Implementa percorsi formativi adeguati e misura i risultati. Un punteggio di competenza individuale o di team permette di monitorare i progressi e di dimostrare lo sforzo di conformità.
Costruisci un fascicolo di conformità che includa: programmi formativi, tassi di partecipazione, risultati delle valutazioni e aggiornamenti regolari. Queste prove documentate saranno il tuo miglior alleato in caso di ispezione.
📄Audit IA in azienda: guida pratica passo dopo passo→L’Articolo 4 rientra nel livello intermedio di sanzioni previste dall’AI Act. La non conformità può comportare sanzioni fino a 15 milioni di euro o il 3% del fatturato annuo mondiale (prevalendo l’importo più elevato).
Ma al di là delle sanzioni economiche, il rischio reputazionale è considerevole. Non aver formato i propri team sull’IA quando la normativa lo richiede è un segnale di immaturità organizzativa che né clienti, né regolatori, né partner tollereranno a lungo.
L’Articolo 4 è unico nel panorama normativo europeo per diversi motivi:
È anche la disposizione più accessibile per iniziare il percorso di conformità con l’AI Act. Ancora prima di classificare i sistemi o documentare i modelli, puoi — e devi — cominciare dallo sviluppo delle competenze dei tuoi team.
Ce que ça implique pour vous
L’Articolo 4 rende la formazione di tutti i collaboratori un obbligo di legge, non un’opzione. Le aziende devono poter dimostrare, prove alla mano, che il proprio personale raggiunge un livello sufficiente di competenza in IA — con valutazioni misurabili, documentazione rigorosa e monitoraggio continuo. L’obbligo è in vigore dal 2 agosto 2025. Ogni giorno senza azione è un giorno di non conformità.