In sintesi. L’Articolo 4 del Regolamento (UE) 2024/1689 (EU AI Act) impone a chi sviluppa o utilizza sistemi di intelligenza artificiale in azienda di garantire un livello sufficiente di AI literacy al personale. È in vigore dal 2 febbraio 2025. La responsabilità è in capo al datore di lavoro. Si applica a tutte le PMI italiane che usano AI per finalità lavorative — inclusi ChatGPT, Claude, Copilot, Gemini.
Il 2 febbraio 2025 è entrato in applicazione l’Art. 4 del Regolamento (UE) 2024/1689 — comunemente noto come EU AI Act. È la prima norma europea che impone obblighi espliciti alle organizzazioni che utilizzano sistemi di intelligenza artificiale, e riguarda anche le PMI italiane. Senza eccezioni legate alla dimensione aziendale.
Nonostante ne parlino ormai in molti, il contenuto concreto dell’obbligo rimane spesso confuso. Questo articolo prova a fare chiarezza, punto per punto, su cosa la norma chiede davvero, a chi si applica, e cosa un’azienda può fare oggi — non in teoria, ma in pratica — per essere in regola.
Cosa dice l’Art. 4
Il testo dell’articolo è breve, e questo è parte del problema: obbliga chi sviluppa o utilizza sistemi di AI a garantire “un livello sufficiente di alfabetizzazione in materia di AI” al proprio personale e agli altri soggetti che si occupano, a qualunque titolo, del funzionamento e dell’uso di tali sistemi.
Tre elementi vanno letti con attenzione. Il primo è l’ambito soggettivo: l’obbligo ricade sia sui provider (chi sviluppa o mette sul mercato un sistema di AI) sia sui deployer (chi lo utilizza nel proprio lavoro). La stragrande maggioranza delle aziende italiane non svilupperà mai un sistema di AI, ma quasi tutte ne utilizzeranno uno o più. Quindi quasi tutte ricadono nella seconda categoria.
Il secondo elemento è l’ambito oggettivo: riguarda il “personale” e “altri soggetti” che lavorano con il sistema. Non solo dipendenti tecnici. Non solo chi ha l’AI nella job description. Chiunque, nella sua attività lavorativa, usi un sistema di AI per prendere decisioni, generare contenuti, analizzare informazioni.
Il terzo elemento è la formula — “livello sufficiente di alfabetizzazione” — e qui sta la parte interessante per le PMI, perché è una formula aperta. La norma non impone un numero di ore, un programma standard, un fornitore accreditato. Chiede un risultato, e lascia alle imprese la responsabilità di raggiungerlo in modo proporzionato al rischio e all’uso concreto.
A chi si applica, concretamente
Un’interpretazione minimale suggerirebbe che l’obbligo riguardi solo le aziende che integrano sistemi di AI nei propri prodotti. Questa lettura è sbagliata. L’Art. 4 si applica a tutte le organizzazioni che utilizzano sistemi di AI per finalità lavorative — e questo include l’uso di strumenti generalisti come ChatGPT, Claude, Copilot o Gemini quando impiegati nel contesto professionale.
Se in azienda qualcuno usa uno di questi strumenti per scrivere email a clienti, preparare documenti, analizzare dati, generare contenuti marketing, rispondere a richieste di supporto — l’azienda è un deployer, e l’obbligo si applica. Non conta che lo strumento sia gratuito. Non conta che sia stato installato autonomamente dal dipendente. Conta l’uso professionale.
Questa è la prima sorpresa per molte PMI: l’obbligo non arriva con un contratto SaaS enterprise, arriva con l’ingresso silenzioso dell’AI nel lavoro quotidiano, spesso prima che l’azienda se ne renda conto.
Cosa significa “AI Literacy” nell’AI Act
L’Art. 3 del Regolamento definisce l’alfabetizzazione in materia di AI come le “competenze, conoscenze e comprensione” che permettono di impiegare in modo informato sistemi di AI, essere consapevoli delle loro opportunità e dei loro rischi, e riconoscere i possibili danni. La definizione è ampia, ma si può articolare in quattro aree operative:
Comprensione tecnologica — capire, a un livello funzionale e non tecnico, come funziona un sistema di AI. Perché a volte produce output errati. Perché due richieste simili possono dare risultati diversi. Questa comprensione non richiede di diventare programmatori; richiede di smettere di trattare l’AI come una scatola magica di cui non si discute il funzionamento.
Conoscenza applicativa — sapere riconoscere, nel proprio lavoro, quali compiti sono candidati all’uso dell’AI e quali no. Riconoscere un uso appropriato da uno inappropriato. Sapere come inserire correttamente l’AI in un processo esistente.
Pensiero critico — la capacità di non fidarsi mai di un output dell’AI senza verificarlo. Riconoscere le allucinazioni, i bias, le informazioni datate. Mantenere la responsabilità della decisione finale in capo all’essere umano.
Conformità normativa — conoscere le regole che si applicano all’uso dell’AI nel proprio contesto lavorativo. Quelle europee (AI Act, GDPR, norme settoriali) e quelle aziendali (policy interne, vincoli contrattuali).
Un’azienda in regola con l’Art. 4 è un’azienda in cui le persone che usano sistemi di AI hanno competenze dimostrabili in queste quattro aree, in modo proporzionato al loro ruolo.
Cosa devono fare le PMI in pratica
L’assenza di un programma prescritto è insieme un’opportunità e un rischio. Opportunità, perché permette a ciascuna impresa di adottare una soluzione proporzionata. Rischio, perché lascia spazio all’interpretazione minimalista — e chi oggi sottovaluta l’obbligo potrebbe trovarsi impreparato in caso di verifica.
Le azioni concrete sono essenzialmente quattro.
Prima azione: fare una mappa degli usi effettivi. Non delle licenze acquistate, ma degli strumenti effettivamente utilizzati, anche quelli introdotti autonomamente dai dipendenti. La maggior parte delle PMI scopre, quando fa questo esercizio, di avere un’esposizione molto più ampia di quanto pensasse.
Seconda azione: definire una policy d’uso minimale. Cosa è permesso, cosa richiede autorizzazione, cosa è vietato. Come gestire i dati aziendali riservati. Come documentare l’uso dell’AI quando produce output che entrano in decisioni rilevanti. Questo documento non deve essere lungo o complicato; deve esistere e essere conosciuto dai dipendenti.
Terza azione: formare in modo documentato. La formazione deve coprire le quattro aree dell’AI Literacy e deve essere proporzionata al ruolo — il magazziniere e il direttore commerciale hanno bisogni diversi. La formazione deve produrre tracce: registri delle presenze, materiali consegnati, eventualmente certificazioni riconoscibili.
Quarta azione: mantenere un registro. Chi ha partecipato a che cosa, quando, con quali risultati. È questo il materiale che, in caso di audit, dimostra che l’obbligo è stato preso sul serio.
Errori comuni
Primo errore: confondere AI Literacy con training su uno strumento specifico. Un corso sull’uso di Copilot non è, da solo, conforme all’Art. 4. Può farne parte, ma non lo esaurisce.
Secondo errore: affidarsi a webinar gratuiti di mezz’ora. Sono utili come introduzione, ma non producono né competenze documentate né tracce sufficienti per dimostrare conformità.
Terzo errore: delegare al solo reparto IT. L’AI Literacy è un tema trasversale, e riguarda il reparto IT tanto quanto l’amministrazione, il commerciale, il marketing, la produzione. Un approccio solo tecnico non copre il requisito.
Quarto errore: considerarsi in regola perché l’azienda non usa “vere” applicazioni di AI. Se qualcuno in azienda apre ChatGPT nel browser per scrivere una lettera a un cliente, l’AI è in uso, e l’obbligo si applica.
Come dimostrare conformità in caso di audit
Non esiste ancora, al momento in cui scrivo, una procedura standard di audit sull’Art. 4. Ma dall’analogia con il GDPR e con la prassi delle autorità di vigilanza europee, si può ragionevolmente prevedere quali elementi saranno richiesti: una policy scritta, un piano formativo documentato, registri delle attività di formazione, evidenza di aggiornamento periodico, una figura aziendale responsabile del tema.
Conviene preparare questi elementi adesso, non quando arriverà la richiesta.
Dove iniziare
Il punto di partenza più utile, per una PMI che oggi non ha ancora fatto nulla, è una mappatura onesta dell’esistente: cosa si usa davvero, da chi, per quali attività. Da quella mappa nasce naturalmente una policy, e dalla policy un piano formativo proporzionato.
L’Art. 4 non è un adempimento burocratico isolato. È la prima tessera di un mosaico normativo che nei prossimi due anni si completerà con gli obblighi sui sistemi ad alto rischio. Le aziende che oggi affrontano il tema con serietà non stanno solo mettendosi in regola: stanno preparando il terreno per quello che arriverà.