L’articolo 4 del Regolamento (UE) 2024/1689 (AI Act) è in vigore dal 2 febbraio 2025. È, fra gli obblighi organizzativi generali, l’unico che si applica già in modo orizzontale a tutti gli operatori — fornitori e deployer — indipendentemente dal livello di rischio dei sistemi di IA utilizzati. Eppure, a quattordici mesi dalla sua entrata in vigore, resta l’obbligo meno compreso e più trascurato dell’intero Regolamento.
Non è una preoccupazione astratta. I poteri di supervisione e applicazione delle autorità nazionali competenti diventano operativi dal 2 agosto 2026 in poi. Le organizzazioni che non hanno ancora adottato alcuna misura per conformarsi all’art. 4 dispongono di una finestra temporale che si restringe.
Questo articolo fornisce un toolkit pratico: cosa l’obbligo richiede effettivamente, cosa non richiede e — soprattutto — cosa fare lunedì mattina.
Cosa dice effettivamente l’articolo 4
L’art. 4 dispone:
I fornitori e i deployer dei sistemi di IA adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale e di altre persone che si occupano del funzionamento e dell’utilizzo dei sistemi di IA per loro conto, tenendo conto delle loro conoscenze tecniche, della loro esperienza, istruzione e formazione, nonché del contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati.
Tre elementi meritano attenzione.
Ambito soggettivo. L’obbligo si applica sia ai fornitori sia ai deployer. Copre non solo i dipendenti ma anche altre persone che si occupano del funzionamento e dell’utilizzo dei sistemi di IA per loro conto — il che include collaboratori esterni, team in outsourcing e chiunque agisca sotto l’autorità dell’organizzazione.
Standard. L’obbligo non è assoluto: richiede misure per garantire l’AI literacy nella misura del possibile. Si tratta di un obbligo di condotta diligente, non della garanzia di un risultato specifico per ogni individuo.
Proporzionalità. Le misure devono tenere conto di quattro fattori: conoscenze tecniche, esperienza, istruzione e formazione delle persone coinvolte, contesto d’uso e persone o gruppi sui quali i sistemi di IA saranno utilizzati. Un approccio uniforme per tutti non soddisfa l’obbligo.
Cosa NON è l’AI literacy
Le Q&A ufficiali della Commissione europea sull’AI Act e le indicazioni dell’AI Office confermano che l’AI literacy ai sensi dell’art. 4 non è:
- un requisito di certificazione o qualificazione formale;
- un requisito di nomina di un “AI officer” o ruolo di governance dedicato;
- un programma formativo obbligatorio con contenuti uniformi per tutto il personale;
- un adempimento una tantum (un singolo webinar non è sufficiente);
- limitata al personale tecnico — si estende a chiunque sia coinvolto nel funzionamento o nell’utilizzo dei sistemi di IA.
Quello che è: uno sforzo continuo, proporzionato e consapevole del rischio per assicurare che le persone che interagiscono con i sistemi di IA nell’organizzazione — dal management agli utenti operativi — comprendano i sistemi a sufficienza per usarli in modo appropriato, riconoscerne i limiti e identificare i potenziali rischi.
Il Digital Omnibus: da “ensure” a “promote”
Proposta della Commissione (Digital Omnibus, novembre 2025): l'obbligo viene spostato dai fornitori e deployer alla Commissione e agli Stati membri, che dovrebbero promuovere l'AI literacy attraverso iniziative sistemiche.
Posizione del Parlamento europeo (26 marzo 2026): l'obbligo è mantenuto in capo a fornitori e deployer, ma la formulazione del Parlamento attenua lo standard originario, orientandolo verso una logica di supporto e promozione dell'AI literacy piuttosto che di garanzia di un risultato specifico. Fornitori e deployer devono adottare misure per sostenere il miglioramento dell'AI literacy del proprio personale, tenendo conto delle conoscenze tecniche, dell'esperienza, del contesto d'uso e delle persone coinvolte. Un nuovo paragrafo assegna un ruolo più marcato alla Commissione e agli Stati membri nell'incoraggiare e facilitare questi sforzi.
Effetto: la posizione del Parlamento allontana l'obbligo da uno standard più vicino all'obbligazione di risultato e lo orienta verso un'obbligazione di condotta diligente, accompagnata da un più forte supporto istituzionale. Questo non elimina l'obbligo — ne ricalibra sia lo standard sia l'architettura istituzionale. Il testo finale sarà determinato nei negoziati interistituzionali (triloghi), il cui avvio è atteso nella primavera 2026.
Indipendentemente dall’esito dei negoziati sul Digital Omnibus, il testo attuale dell’art. 4 è in vigore e applicabile. Le organizzazioni non dovrebbero attendere il testo finale dell’Omnibus per agire.
Piano di implementazione in 30 giorni
Per le organizzazioni che non hanno ancora affrontato il tema dell’AI literacy, il piano seguente fornisce un percorso strutturato dall’obbligo all’azione.
| Settimana | Azione | Cosa comporta | Output |
|---|---|---|---|
| Settimana 1 | Censimento dei sistemi AI | Identificare tutti i sistemi di IA in uso nell'organizzazione — inclusi gli strumenti adottati informalmente da singoli team o dipendenti (shadow AI) | Registro dei sistemi AI con responsabile, finalità e gruppo di utenti |
| Settimana 2 | Individuazione dei ruoli esposti | Mappare quali ruoli, team e persone interagiscono con ciascun sistema di IA — inclusi collaboratori esterni e team in outsourcing che operano per conto dell'organizzazione | Matrice ruoli-sistemi |
| Settimana 3 | Gap analysis delle competenze | Valutare il livello attuale di AI literacy per ciascun ruolo rispetto ai criteri di proporzionalità dell'art. 4 (conoscenze tecniche, esperienza, contesto, persone coinvolte) | Report delle carenze con aree prioritarie |
| Settimana 4 | Micro-piano formativo e tracciamento evidenze | Definire misure formative differenziate per ruolo; istituire un sistema di tracciamento per sessioni, materiali e presenze; programmare la revisione periodica | Piano formativo, registro delle evidenze, calendario di revisione |
Matrice ruoli-competenze
L’AI literacy non è uguale per ogni ruolo. La matrice che segue illustra — come punto di partenza — le competenze minime che diverse funzioni aziendali dovrebbero sviluppare, in misura proporzionata alla loro interazione con i sistemi di IA e al rischio associato.
| Ruolo | Uso tipico dell'IA | Livello di rischio | Competenze minime | Misura consigliata |
|---|---|---|---|---|
| Management / Vertice | Decisioni strategiche sull'adozione dell'IA; responsabilità | Alto | Quadro di rischio dell'AI Act; implicazioni di responsabilità; principi di governance; considerazioni etiche | Briefing dedicato su obblighi normativi ed esposizione organizzativa |
| HR / Reclutamento | Screening CV, valutazione candidati, workforce analytics | Alto | Classificazione ad alto rischio (Allegato III); rischi di bias e discriminazione; art. 22 GDPR; requisiti di sorveglianza umana | Formazione settoriale con scenari pratici; revisione periodica al cambio degli strumenti |
| Legale / Compliance / DPO | Ricerca assistita da IA, analisi documentale, valutazione rischi | Medio | Obblighi AI Act per categoria di rischio; intersezione GDPR; doveri di trasparenza e documentazione | Formazione normativa approfondita; workshop interfunzionali con IT e business |
| Marketing / Comunicazione | Generazione contenuti, personalizzazione, analytics | Medio | Etichettatura contenuti AI (art. 50); implicazioni copyright e IP; basi di protezione dati | Linee guida pratiche su disclosure dei contenuti AI e flussi di revisione |
| Customer service | Chatbot AI, risposte automatizzate, sentiment analysis | Medio | Obblighi di trasparenza (art. 50(1)); protocolli di escalation; limiti degli output AI; gestione di dati sensibili | Formazione operativa su quando e come scalare a un umano; riconoscimento degli errori dell'IA |
| IT / Engineering | Integrazione AI, deployment, monitoraggio, data pipeline | Medio–Alto | Requisiti tecnici per sistemi ad alto rischio (artt. 9–15); logging e monitoraggio; cybersecurity (art. 15); governance dei dati (art. 10) | Workshop tecnici sui requisiti AI Act; integrazione con pratiche DevOps/MLOps esistenti |
| Tutto il restante personale | Uso generale di strumenti AI (assistenti di scrittura, traduzione, sintesi) | Basso | Comprensione di base di cosa i sistemi AI possono e non possono fare; consapevolezza della policy AI aziendale; riconoscimento che gli output AI richiedono verifica | Breve sessione informativa; policy interna sull'uso dell'IA; FAQ o guida di riferimento accessibile |
Questa matrice è illustrativa e va adattata ai sistemi specifici, ai ruoli e al profilo di rischio di ciascuna organizzazione.
Pacchetto minimo di evidenze
La Commissione europea ha chiarito che la conformità all’art. 4 non richiede certificazioni o qualificazioni formali. Tuttavia, l’organizzazione deve poter dimostrare le misure adottate — coerentemente con il principio di responsabilizzazione (accountability) che sottende sia l’AI Act sia il GDPR. Quanto segue costituisce un pacchetto minimo di evidenze.
2. Mappa delle persone coinvolte nel funzionamento e nell'utilizzo dei sistemi di IA (inclusi collaboratori esterni e team in outsourcing)
3. Piano formativo differenziato, proporzionato al ruolo, al rischio e al contesto d'uso
4. Registro delle sessioni formative, dei materiali erogati, delle istruzioni fornite e delle presenze
5. Verbale di revisione periodica con data, responsabile e aggiornamenti attivati da variazioni nei sistemi o nei casi d'uso
Queste registrazioni possono assumere la forma di registri interni di formazione, briefing documentati, linee guida interne o qualsiasi altro formato che consenta all’organizzazione di dimostrare la propria condotta diligente. L’AI Act non impone alcun modello specifico.
Errori da evitare
| Errore | Perché è un problema |
|---|---|
| Fare un singolo webinar generico e considerare l'obbligo adempiuto | L'art. 4 richiede misure proporzionate e differenziate. Un evento una tantum con contenuti uniformi non soddisfa i criteri di proporzionalità. |
| Formare tutto il personale in modo identico indipendentemente dal ruolo e dall'interazione con l'IA | L'obbligo richiede esplicitamente di tenere conto delle conoscenze tecniche, dell'esperienza e del contesto d'uso. Un selezionatore HR che usa un tool AI di screening ha bisogno di competenze diverse da un responsabile marketing che usa un assistente di scrittura. |
| Ignorare collaboratori esterni, team in outsourcing e persone che operano per conto dell'organizzazione | L'art. 4 copre "altre persone che si occupano del funzionamento e dell'utilizzo dei sistemi di IA per loro conto" — non solo i dipendenti. |
| Trattare l'AI literacy come un adempimento isolato | L'AI literacy è la precondizione operativa per la sorveglianza umana (artt. 14, 26(2)), l'uso informato (art. 26(1)), la gestione del rischio (art. 9) e la trasparenza interna. Senza di essa, nessun altro obbligo dell'AI Act può essere effettivamente attuato. |
| Non aggiornare la formazione quando cambiano i sistemi AI o i casi d'uso | L'AI literacy non è una fotografia — è un processo continuo e adattivo. Quando l'organizzazione adotta un nuovo strumento AI, ne modifica uno esistente o ne cambia il contesto d'uso, la valutazione delle competenze deve essere aggiornata di conseguenza. |
AI literacy e gli altri obblighi dell’AI Act
L’AI literacy non è un requisito isolato. È il livello fondamentale da cui dipendono gli altri obblighi dell’AI Act. La Commissione europea ha espressamente collegato l’art. 4 agli obblighi di trasparenza e sorveglianza umana — in particolare per i sistemi di IA ad alto rischio e per i deployer ai sensi dell’art. 26.
Senza AI literacy, la sorveglianza umana non può funzionare nella pratica: per i deployer di sistemi ad alto rischio, l’art. 26(2) richiede che la sorveglianza sia affidata a persone fisiche con la competenza, la formazione e l’autorità necessarie. Si tratta di un’espressione specifica e più esigente dell’obbligo generale di AI literacy, applicata al contesto a più alto rischio. Senza AI literacy, l’uso informato (art. 26(1)) è una finzione: un deployer non può utilizzare un sistema conformemente alle istruzioni del fornitore se il suo personale non comprende tali istruzioni. Senza AI literacy, la gestione del rischio è incompleta: la capacità di identificare, valutare e mitigare i rischi presuppone la comprensione del funzionamento del sistema e dei suoi limiti. Senza AI literacy, la trasparenza (art. 50) è una mera etichetta: comunicare che un sistema è basato sull’IA è privo di significato se le persone responsabili dell’interazione non sono in grado di spiegare cosa il sistema fa e cosa non fa.
Le Q&A della Commissione confermano inoltre che, per i sistemi ad alto rischio, possono essere necessarie misure aggiuntive rispetto all’obbligo generale di AI literacy — rafforzando l’architettura proporzionata e basata sul rischio dell’AI Act.
Cinque domande da fare subito al fornitore del sistema AI
2. Quali sono i suoi limiti noti e le sue modalità di errore?
3. Quali istruzioni per l'uso sono disponibili?
4. Quali rischi richiedono sorveglianza umana e quali protocolli di escalation sono raccomandati?
5. Quali log, output di monitoraggio o evidenze di conformità genera il sistema?
Queste domande traducono i criteri di proporzionalità dell’art. 4 in una conversazione immediatamente operativa con il fornitore. Le risposte informeranno la gap analysis delle competenze, il piano formativo e il pacchetto di evidenze.
Registro AI literacy: un template minimale
La struttura seguente — adattabile a qualsiasi formato (foglio di calcolo, database interno, semplice documento) — fornisce un punto di partenza per documentare le misure di AI literacy in modo coerente con le indicazioni della Commissione.
| Sistema AI | Funzione aziendale | Persone coinvolte | Misura adottata | Data review |
|---|---|---|---|---|
| es. Chatbot AI — customer service | Assistenza clienti | 12 operatori + 2 team leader | Formazione operativa (2h) + protocollo di escalation + linee guida interne | 15/07/2026 |
| es. Tool AI di screening — reclutamento | HR | 3 selezionatori + responsabile HR | Formazione settoriale (4h) + sessione su bias + briefing art. 22 GDPR | 15/07/2026 |
| es. Assistente di scrittura — uso generale | Tutti i reparti | Tutto il personale (85 persone) | Sessione informativa (30 min) + policy uso IA + FAQ interne | 15/10/2026 |
Questo template è illustrativo. Il formato va adattato alle pratiche documentali dell’organizzazione.
Risorse
Hub operativi
- AI Hub — Orientamento normativo e operativo — l’AI Act in chiave giuridica: trova il tuo ruolo, classifica il tuo sistema, individua i tuoi obblighi
- AI Act Hub — Ruoli degli operatori e obblighi — mappa dei sei operatori dell’AI Act, meccanismi di trasformazione del ruolo, cascata degli obblighi
- GDPR & AI Hub — Intersezioni operative — basi giuridiche per il trattamento dei dati nei sistemi di IA, decisioni automatizzate, DPIA, profilazione
Strumenti e risorse
- Self-Assessment Tool — autovalutazione degli obblighi AI Act
- AI Compliance Tools — strumenti per la conformità IA
- NicFab Newsletter — aggiornamento settimanale su privacy, protezione dati, IA e cybersecurity (ogni martedì)
Approfondimenti
- AI a scuola: classificazione del rischio nell’AI Act — matrice pratica per gli strumenti AI nelle scuole europee
- AI Ethics in Classrooms: quando i principi incontrano il diritto — dimensioni etiche dell’IA nell’istruzione attraverso una lente giuridica
- Sorveglianza umana e Legal Prompting nell’AI Act — il principio di sorveglianza umana e il suo ambito oltre i sistemi ad alto rischio
Nota conclusiva
L’AI literacy non è una formalità. È la condizione senza la quale ogni altro obbligo dell’AI Act — sorveglianza umana, uso informato, gestione del rischio, trasparenza — resta un esercizio sulla carta. L’obbligo è già in vigore. I poteri di enforcement delle autorità nazionali saranno operativi tra meno di quattro mesi. Per le imprese la domanda non è più se agire, ma quanto rapidamente possono passare dalla consapevolezza all’implementazione.
Questo post fa parte della serie dedicata all’implementazione dell’AI Act. Per aggiornamenti in tempo reale, segui il blog e iscriviti alla NicFab Newsletter.