AI Literacy (AI Act): l’obbligo di formazione sull’Intelligenza Artificiale per le aziende che usano l’IA

L’AI Act (Regolamento europeo sull’Intelligenza Artificiale 2024/1689) non riguarda solo chi sviluppa sistemi complessi: introduce anche un obbligo generale spesso ignorato, ma già centrale per la compliance aziendale. Si tratta dell’AI literacy prevista dall'art. 4 , cioè l’obbligo per le organizzazioni di garantire che chi usa l’IA abbia un livello adeguato di competenza.

Cos’è l’AI literacy prevista dall’AI Act

L’AI literacy è la capacità, per chi lavora in azienda, di usare strumenti di Intelligenza Artificiale in modo:

• consapevole

• corretto

• sicuro

• conforme alle regole

• proporzionato al rischio

Non significa “sapere cos’è ChatGPT”: significa capire limiti, rischi, obblighi e responsabilità collegati all’uso dell’IA.

AI Act e AI literacy: l’obbligo è già vigente?

Sì: l’AI Act è un Regolamento UE, quindi è direttamente applicabile e non richiede una legge italiana per esistere.

L’obbligo di AI literacy è tra quelli che incidono da subito sulla governance interna, perché riguarda l’organizzazione e la gestione dei rischi, non solo i sistemi “ad alto rischio”.

A chi si rivolge l’obbligo di AI literacy

Aziende che usano IA (anche tramite fornitori)

L’obbligo riguarda tutte le aziende che:

• adottano strumenti di IA in processi interni

• acquistano software con funzioni di IA integrate

• usano piattaforme che automatizzano decisioni o analisi

• offrono servizi al pubblico basati su IA

È quindi un obbligo che si applica anche quando l’azienda non “sviluppa IA”, ma la utilizza come utente.

Pubbliche amministrazioni e enti

L’obbligo vale anche per PA e enti pubblici che impiegano IA in attività amministrative, selezione, gestione utenti o servizi digitali.

Chi deve formarsi in azienda: non solo IT

Persone che usano l’IA nei processi operativi

Devono formarsi tutti coloro che utilizzano sistemi IA, ad esempio:

• HR (selezione e valutazione candidati)

• customer care (chatbot e assistenza automatizzata)

• marketing (profilazione, segmentazione, contenuti)

• amministrazione (automazione documentale)

• ufficio legale (analisi testi, supporto contrattuale)

Manager e responsabili che decidono come usare l’IA

Sono coinvolti anche:

• dirigenti

• responsabili di funzione

• project manager

• procurement (scelta fornitori e piattaforme)

Funzioni di controllo e compliance

Devono essere formati anche:

• DPO e team privacy

• compliance e risk management

• cybersecurity

• audit interno

Cosa deve includere una formazione corretta (tecnica + legale)

Formazione tecnica minima (per capire cosa fa davvero l’IA)

Una AI literacy efficace deve includere almeno:

• differenza tra IA generativa e sistemi decisionali

• limiti dell’IA (errori, bias, allucinazioni)

• controllo umano e verifica degli output

• gestione corretta dei prompt

• rischi legati ai dati inseriti nei tool

Formazione giuridica e organizzativa (AI Act + GDPR + responsabilità)

Serve anche una parte dedicata a:

• obblighi dell’AI Act per aziende utilizzatrici

• rischi privacy e GDPR (dati personali e dati sensibili)

• discriminazione e bias nei processi HR e decisionali

• trasparenza verso clienti, utenti e dipendenti

• responsabilità aziendale e accountability

• regole interne e policy di utilizzo

Rischi e conseguenze se la formazione è assente o insufficiente

L’errore più comune è trattare l’AI literacy come un adempimento “di facciata”.In realtà la formazione è parte integrante della gestione del rischio.

Una formazione insufficiente può portare a:

• uso improprio dell’IA in processi delicati (HR, scoring, selezione)

• trattamento illecito di dati personali (anche solo copiandoli in un tool)

• output discriminatori o non verificati

• decisioni aziendali basate su risultati inattendibili

• contestazioni, audit e responsabilità organizzativa

In caso di problemi, la mancanza di AI literacy diventa un elemento chiave:non formare significa non aver gestito correttamente il rischio.

Come rendere l’azienda conforme: percorso pratico

1) Mappatura degli strumenti IA utilizzati

Inclusi:

• strumenti “ufficiali”

• strumenti usati informalmente dai dipendenti

2) Identificazione dei ruoli coinvolti e del livello di rischio

Non tutti devono avere la stessa formazione: serve un approccio per livelli.

3) Piano formativo differenziato per funzioni

Esempio:

• base per tutti

• avanzato per HR / compliance / IT

• specialistico per chi gestisce fornitori o sistemi critici

4) Policy interna sull’uso dell’IA

La formazione deve essere accompagnata da:

• regole operative

• divieti chiari

• procedure di escalation e controllo

5) Aggiornamento periodico

L’AI literacy non è “una volta e basta”: strumenti e rischi cambiano continuamente.

Conclusione: AI literacy come obbligo e come protezione aziendale

L’AI literacy prevista dall’AI Act è un obbligo che riguarda tutte le aziende che usano Intelligenza Artificiale, anche in modo non “tecnico”.Una formazione corretta deve unire:

• comprensione tecnologica

• consapevolezza giuridica

• gestione organizzativa del rischio

Per le aziende, non è solo compliance: è anche il modo più efficace per evitare errori, incidenti, contestazioni e danni reputazionali.

Nota sugli sviluppi futuri: Digital Omnibus e D.O. AI

È utile segnalare che, a livello europeo, sono in discussione alcuni progetti (tra cui il Digital Omnibus e il D.O. AI) che potrebbero portare nei prossimi mesi novità, razionalizzazioni e possibili semplificazioni del quadro normativo UE in materia digitale e di intelligenza artificiale.Al momento, però, si tratta solo di proposte/progetti: fino a quando non saranno approvati e pubblicati in forma definitiva, l’AI Act resta il riferimento pienamente vigente e operativo.