PrivantAI
AI Act8 min di lettura

AI Literacy obbligatoria: cosa richiede davvero l'Art. 4 dell'AI Act

Dal 2 febbraio 2025 la formazione AI per il personale è legge. Cosa significa in pratica, quante ore servono, cosa includere nei moduli e come registrare tutto.

GS

Giacomo Simonelli

Founder & Senior AI Engineer

·

Se nella tua azienda qualcuno usa ChatGPT, Copilot, un CRM con AI o uno strumento di analytics che gira un modello in background, sei già dentro l'ambito dell'Art. 4 dell'AI Act. Da febbraio 2025 hai l'obbligo di garantire un livello sufficiente di AI Literacy al tuo personale. La maggior parte delle PMI italiane non lo sa, e quelle che lo sanno spesso lo confondono con un corso generico di sensibilizzazione. Non è la stessa cosa.

L'Art. 4 è breve, due paragrafi. Ma la sua interpretazione operativa è già stata chiarita dalle linee guida della Commissione europea pubblicate a fine 2025 e dalle prime ispezioni avviate dalle autorità nazionali in Spagna e Germania. Il messaggio è chiaro: la formazione deve essere documentata, tracciabile, e proporzionata al ruolo. Non basta inviare un PDF e chiedere una firma di lettura.

Cosa dice esattamente l'Art. 4

Il testo è sintetico ma sostanziale. I provider e i deployer di sistemi AI devono adottare misure per garantire, nella massima misura possibile, un livello sufficiente di AI Literacy del proprio personale e di altre persone che si occupano del funzionamento e dell'uso dei sistemi AI per loro conto. Devono tenere conto delle conoscenze tecniche, dell'esperienza, dell'istruzione, della formazione delle persone, e del contesto in cui i sistemi vengono usati.

Tre concetti chiave. Primo: AI Literacy non significa diventare data scientist, ma capire cosa fa il sistema, cosa non fa, e dove si trovano i suoi limiti. Secondo: l'obbligo è proporzionato. Un addetto reception che usa una mailbox con classificazione AI riceve formazione diversa da un HR manager che usa un sistema di screening CV. Terzo: l'obbligo è continuo. Non è un corso una tantum nel 2025: va aggiornato quando cambiano i sistemi o il contesto.

Quante ore di formazione servono davvero

Non c'è un numero fisso nella norma. Le prime indicazioni delle autorità nazionali e le bozze di codici di condotta convergono però su una soglia operativa minima: 2-4 ore di formazione base per il personale generico, 6-8 ore per chi supervisiona o usa sistemi ad alto rischio, formazione specialistica per i ruoli tecnici.

  • Personale generico (chi usa ChatGPT, Copilot, automazioni di base): 2-4 ore di formazione base + 1 aggiornamento annuale di un'ora. Include rischi, privacy, riconoscimento di output errati.
  • Personale che gestisce processi con AI (HR, marketing, customer care, amministrazione): 6-8 ore con focus su casi d'uso specifici del ruolo, gestione errori, escalation.
  • Responsabili o supervisori di sistemi ad alto rischio: 12-16 ore con focus su classificazione del rischio, supervisione umana attiva, gestione incidenti, registri delle decisioni.
  • Ruoli tecnici (sviluppatori, data engineer, IT): formazione tecnica continua, non assimilabile alla AI Literacy generale.

Cosa includere nei moduli formativi

Il contenuto minimo che funziona — e che regge a un'ispezione — è strutturato su sei aree. Le elenchiamo nell'ordine in cui le insegniamo durante le sessioni di formazione operativa con i nostri clienti.

  1. Cos'è un sistema AI e cosa non lo è. Distinzione tra automazione tradizionale (RPA, script) e AI probabilistica (modelli generativi). Concetti base di hallucination, bias, drift.
  2. Quali tool AI sono autorizzati in azienda e quali no. Lista esplicita degli strumenti approvati con la relativa policy d'uso. Cosa fare se serve un tool non in lista.
  3. Cosa non si può mettere dentro un prompt. Dati personali di terzi, informazioni riservate, codice proprietario, dati protetti da NDA. Esempi pratici di prompt da non scrivere mai.
  4. Come riconoscere un output non affidabile. Tecniche base di verifica: cross-check, citazioni inventate, errori numerici, allucinazioni di fatti.
  5. Quando l'AI decide e quando decide l'umano. Il principio di supervisione umana: cosa significa, quali decisioni non possono essere delegate, come si documenta.
  6. Cosa fare in caso di incidente. Procedura di escalation: chi avvisare entro 24 ore, quali informazioni preservare, come bloccare l'uso del tool coinvolto.

La formazione AI funziona quando il personale, sei mesi dopo, sa rispondere a una domanda concreta: 'posso mettere questo dato in questo tool, sì o no?'. Se sa rispondere, hai fatto un buon corso. Se non sa, hai sprecato un pomeriggio.

PrivantAI, note dalle sessioni di formazione 2025

Il registro formativo: il documento che ti salva l'ispezione

Senza documentazione, la formazione non esiste. Le linee guida sono chiare: il deployer deve essere in grado di dimostrare, su richiesta dell'autorità, di aver erogato AI Literacy adeguata. Un registro formativo strutturato copre il requisito con un singolo documento. Ecco le colonne minime che usiamo nel template che condividiamo con i clienti.

  • Nome e cognome partecipante
  • Ruolo aziendale e funzione
  • Sistemi AI usati nel ruolo (lista specifica)
  • Data e durata della formazione
  • Modulo erogato (titolo e versione)
  • Erogatore (interno o esterno, con nominativo)
  • Esito della verifica finale (test, breve quiz, o attestazione)
  • Data del prossimo aggiornamento previsto

Il registro va conservato per tutto il periodo in cui la persona opera nel ruolo, più almeno tre anni dopo la conclusione del rapporto. Va aggiornato ogni volta che cambia il sistema AI usato, il ruolo della persona, o quando si verifica un incidente che richiede formazione correttiva. Un foglio elettronico strutturato è sufficiente: non serve un LMS dedicato per le PMI sotto i cento dipendenti.

Quattro errori che vediamo ricorrenti

Nelle prime sessioni di assessment con nuovi clienti, troviamo sistematicamente gli stessi quattro errori. Vale la pena evitarli prima di iniziare.

  • Confondere AI Literacy con security awareness. Il corso annuale di cybersecurity non copre l'Art. 4. Serve un modulo dedicato all'AI, con contenuti specifici sui sistemi usati in azienda.
  • Erogare lo stesso corso a tutti. La proporzionalità è esplicita nella norma: il personale generico e chi supervisiona sistemi ad alto rischio devono ricevere percorsi diversi.
  • Non documentare. La formazione c'è stata, ma non c'è traccia. In un'ispezione equivale a non averla erogata. Il registro è obbligatorio quanto la formazione stessa.
  • Affidarsi solo a video preregistrati senza verifica di comprensione. Le linee guida richiedono un livello sufficiente di literacy: senza un test o un confronto, non puoi dimostrarlo.

L'Art. 4 è la norma più semplice dell'AI Act e quella più frequentemente ignorata. Non richiede investimenti tecnici, non richiede certificazioni, non richiede consulenze legali multimilionarie. Richiede tempo organizzato bene: una mezza giornata di docenza, un registro tenuto in ordine, e un aggiornamento annuale. Se vuoi mettere in piedi un percorso di AI Literacy proporzionato alla tua PMI, parliamone in una chiamata gratuita di 30 minuti: vediamo cosa hai già fatto, cosa manca, e quale percorso minimo ti porta in conformità entro la fine del trimestre.

Parliamo del tuo caso, non di teoria

Se questo articolo ti ha fatto pensare "sta succedendo anche a noi", l'audit gratuito è il primo passo. 45 minuti, zero impegno, una mappa concreta dei rischi nella tua azienda.

Prenota l'audit gratuito

Articoli correlati

Radar Shadow AI, newsletter mensile

Una volta al mese: caso del mese (data leak AI accaduto in EU), checklist DPO, novità AI Act/NIS2. 800-1000 parole, 3 minuti di lettura.

Radar AI · 1 mail al mese

Insights AI Act, casi reali, niente promo. Letta in 5 minuti, scritta dal team di PrivantAI.

1 email al mese. Insights AI Act + 1 caso reale. Cancellabile in 1 click.

Discovery gratuita30 min con il team PrivantAI
Prenota