L'alfabetizzazione AI non è un corso da comprare: è un obbligo che hai già (Art. 4)

Serie "Alfabetizzazione AI per chi lavora", episodio finale | Il quadro normativo: Art. 4 AI Act

Questo articolo è stato preparato con l'assistenza dell'AI: una delle automazioni che gestisce il mio sito ne ha scritto la prima versione, io ho verificato fonti e numeri, e la responsabilità di quello che leggi è mia. Lo dichiaro in apertura perché è il tema esatto di questa serie: usare l'AI sapendo cosa si sta facendo, e risponderne.

2 febbraio 2025. È la data in cui è diventato applicabile l'articolo 4 dell'AI Act, quello che chiede a chi usa l'AI nel lavoro di garantire "un livello sufficiente di alfabetizzazione" alle persone che la usano. Non il 2 agosto 2026, la data che vedi in tutti i titoli. Febbraio 2025. L'obbligo di alfabetizzazione AI esiste da 16+ mesi.

Eppure, quando il tema esce in una call con una PMI o con un altro freelancer, la reazione è quasi sempre la stessa: "quale obbligo?".

Nelle scorse settimane ho pubblicato quattro articoli sulle quattro competenze che compongono l'alfabetizzazione AI: la delega, la descrizione, il discernimento e la diligenza. Questo è il pezzo che chiude la serie. E risponde alla domanda che tiene insieme tutto: perché dovresti occupartene adesso, e cosa chiede esattamente la legge.

AI Act articolo 4: cosa dice davvero il testo

L'articolo 4 del Regolamento UE 2024/1689 è una frase sola. La riporto quasi per intero perché è più corta di qualsiasi riassunto:

I fornitori e i deployer dei sistemi di IA adottano misure per garantire nel miglior modo possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale, nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione, nonché il contesto in cui i sistemi di IA devono essere utilizzati.

Tre cose da notare in questa frase.

1) "Fornitori e deployer". Non solo chi sviluppa AI: anche chi la usa. Deployer, nel linguaggio del regolamento, è chiunque utilizzi un sistema di AI sotto la propria autorità nell'ambito di un'attività professionale. Una PMI che usa ChatGPT per le email commerciali è un deployer. Un freelancer che usa Claude per preparare bozze di contratti è un deployer. Io, con le automazioni che gestiscono questo sito, sono un deployer.

2) "Misure per garantire nel miglior modo possibile". Non c'è scritto "corso di 40 ore", non c'è scritto "certificazione". C'è scritto misure, proporzionate al contesto. È un obbligo di mezzi, non di risultato: devi poter dimostrare di averci lavorato seriamente.

3) "Prendendo in considerazione conoscenze, esperienza, formazione e contesto". La formazione fotocopia, uguale per tutti, non risponde al testo. Il commerciale che usa l'AI per scrivere preventivi e lo sviluppatore che la usa per il codice hanno bisogno di alfabetizzazioni diverse. La norma lo dice esplicitamente.

Il punto è questo: l'articolo 4 non è una norma scritta per le big tech. È scritta per chiunque metta l'AI dentro un processo di lavoro. Cioè, nel 2026, quasi tutti.

A chi si applica (anche a chi usa "solo ChatGPT")

Qui casca la maggior parte delle obiezioni che sento. Le prendo una per una.

"Io uso solo ChatGPT, mica sviluppo AI." L'obbligo vale per i deployer, e usare uno strumento di AI generativa in azienda è esattamente il caso coperto. Non serve avere un sistema proprietario: basta usarne uno.

"Vale solo per i sistemi ad alto rischio." No. L'articolo 4 sta nel Capo I del regolamento, le disposizioni generali: si applica a prescindere dalla classe di rischio del sistema. Chatbot, assistenti di scrittura, strumenti di analisi: dentro tutto.

"Siamo una microimpresa, ci sarà un'esenzione." Per l'articolo 4 no. Il principio di proporzionalità aiuta (le misure di una microimpresa non devono essere quelle di una banca), ma l'obbligo in sé non ha soglie dimensionali.

E c'è un dettaglio che quasi nessuno nota: il testo parla anche di "qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto". La Commissione europea, nelle sue FAQ ufficiali sull'AI literacy, chiarisce che la platea include collaboratori esterni e fornitori di servizi. Se la tua agenzia esterna usa l'AI per produrre contenuti a tuo nome, l'alfabetizzazione di quelle persone è un tema tuo, non solo loro.

Vale anche la pena leggere come il regolamento definisce l'alfabetizzazione, perché la definizione è più ampia di "saper usare lo strumento". All'articolo 3 si parla di competenze, conoscenze e comprensione che permettono un uso informato dei sistemi di AI, insieme alla consapevolezza delle opportunità, dei rischi e dei possibili danni. Tre componenti, non una. Saper scrivere un prompt copre la prima. La consapevolezza dei rischi (allucinazioni, dati che escono dal perimetro, bias) e dei possibili danni è un'altra cosa, e nella mia esperienza è la parte che manca quasi ovunque: nelle aziende che incontro, la pratica c'è, la comprensione di dove l'AI può far male no.

Formazione AI obbligatoria: cosa significa "livello sufficiente"

La domanda vera non è "devo fare un corso?". La domanda è: cosa devono saper fare le persone che usano l'AI nel mio processo, e come lo dimostro?

Sul "come lo dimostro" la Commissione è stata più concreta di quanto ci si aspettasse. Nelle FAQ scrive due cose utili:

1) Non serve nessun certificato. Nessun bollino, nessun ente accreditato, nessun esame.

2) Basta tenere un registro interno delle attività di formazione e delle altre iniziative di orientamento. Documentare, non certificare.

Tradotto in pratica: un documento interno che dice chi usa quali strumenti, che formazione ha ricevuto, quando, e su cosa, è già una risposta seria all'articolo 4. Non è burocrazia pesante. È il tipo di documento che si scrive in mezza giornata e si aggiorna quando cambia qualcosa.

Per dare un'idea di cosa contiene un registro del genere, questo è lo scheletro che uso io:

1) Persona o ruolo: chi usa l'AI, anche se "chi" sei solo tu.

2) Strumenti e processi coperti: quale sistema, dentro quale attività, con che tipo di dati.

3) Attività di alfabetizzazione: cosa è stato fatto (sessione interna, corso, affiancamento, linee guida scritte), in che data, su quali contenuti.

4) Prossima revisione: quando il registro va riaperto. Un nuovo strumento in azienda o una persona nuova nel processo sono i trigger tipici.

Quattro voci. Chi vuole può aggiungere il livello di partenza di ogni persona (il criterio "conoscenze, esperienza, formazione" del testo), ma già così il documento fa il suo lavoro: dimostrare che le misure esistono e non sono casuali.

Sul fronte vigilanza, le date contano: il controllo pubblico sull'articolo 4 parte il 2 agosto 2026, con le autorità nazionali di vigilanza che a quel punto potranno sanzionare sulla base delle leggi dei singoli Stati membri. Da oggi mancano 51 giorni. Ma ragionare solo in termini di multe è guardare il dito. Il rischio concreto, per una PMI italiana, passa prima da altre porte: il cliente enterprise che in fase di audit chiede evidenze sull'uso dell'AI nella filiera, il contratto che impone garanzie di compliance, il contenzioso dove l'assenza di formazione documentata diventa un argomento contro di te. Si misurerà in contratti persi, prima che in sanzioni.

Le quattro competenze: il framework 4D come risposta all'obbligo

Qui la serie si chiude sul punto di partenza. L'articolo 4 dice "alfabetizzazione sufficiente" ma non fornisce un programma. Il programma serve, e per costruirlo io sono partito dal framework 4D di AI Fluency sviluppato dai professori Rick Dakan (Ringling College) e Joseph Feller (University College Cork) insieme ad Anthropic: la cornice concettuale è loro, il contenuto di questi articoli è mio, costruito sui processi che ho in produzione.

Le quattro competenze, e i quattro articoli della serie:

1) Delegation: decidere cosa affidare a una macchina e cosa no. È la competenza che previene l'errore più costoso, cioè delegare all'AI una decisione che richiedeva giudizio umano. Ed è anche quella che l'articolo 4 implica quando parla di "contesto in cui i sistemi devono essere utilizzati".

2) Description: comunicare con chiarezza il problema, dare contesto, sapere cosa non mettere in un prompt. La competenza che separa chi ottiene risultati utili da chi conclude che "l'AI non funziona".

3) Discernment: valutare l'output prima di fidarsene. Riconoscere le allucinazioni, verificare i numeri, accorgersi del contesto mancante. Senza questa, le altre tre producono solo errori più veloci.

4) Diligence: usare l'AI in modo trasparente e risponderne. È il ponte diretto verso gli obblighi di trasparenza dell'articolo 50, quelli che diventano pienamente applicabili ad agosto.

Il motivo per cui questo framework regge come risposta all'articolo 4 è che non è legato a uno strumento. I tool cambiano ogni sei mesi, le quattro competenze no. E i criteri che la norma elenca (conoscenze tecniche, esperienza, contesto d'uso, persone coinvolte) si mappano in modo naturale su una formazione costruita per ruolo e per processo, non su un corso generico uguale per tutti.

Da dove cominciare: quattro mosse concrete

Se hai letto fin qui e l'articolo 4 ti riguarda (probabile), questa è la sequenza che ha senso. Non serve un consulente per le prime quattro mosse: serve mezza giornata.

1) Censisci gli strumenti. Chi usa cosa, per quale processo, con quali dati. Sembra banale, non lo è: quando ho fatto il censimento sul mio sistema pensavo di avere 4 sistemi AI da registrare, alla fine erano 20. Il collo di bottiglia non è la complessità, è la visibilità: l'AI entra nei processi un pezzo alla volta e nessuno tiene il conto.

2) Mappa il gap per ruolo. Per ogni persona (o per te stesso, se lavori da solo): cosa usa, cosa sa, cosa le manca rispetto al contesto reale. Il criterio non è "sa usare ChatGPT" ma "sa quando non fidarsi dell'output che riguarda il suo lavoro".

3) Forma sul contesto, non sull'astratto. La formazione che risponde all'articolo 4 è quella costruita sui casi d'uso veri: i tuoi preventivi, le tue email, i tuoi documenti. Un'ora sul processo reale vale più di un corso registrato da 8 ore sul prompt engineering. Nel mio sistema, per esempio, ogni contenuto generato con l'AI passa da una checklist di verifica prima di uscire: link testati, numeri controllati contro la fonte, claim temporali verificati contro le date reali. Quella checklist è formazione applicata al contesto, ed è nata dagli errori, non da un manuale.

4) Documenta in un registro interno. Data, persone, contenuti, strumenti coperti. È esattamente ciò che la Commissione indica come sufficiente. Quel registro è la differenza tra "abbiamo fatto formazione" e "possiamo dimostrarlo".

Per il quadro generale degli altri obblighi (trasparenza, GDPR, ruoli), il punto di partenza resta la guida alla compliance AI Act per freelancer e PMI che tengo aggiornata su questo sito.

Cosa c'entra il 2 agosto, allora

Se l'obbligo di alfabetizzazione è in vigore da febbraio 2025, perché tutti parlano del 2 agosto 2026? Perché quella è la data in cui il grosso del regolamento diventa pienamente applicabile, compresi gli obblighi di trasparenza dell'articolo 50, e in cui parte la vigilanza. È la scadenza che trasforma il "prima o poi" in "adesso".

C'è anche un modo diverso di guardare la stessa scadenza. Chi sistema l'alfabetizzazione adesso, con calma e sui propri processi, arriva ad agosto con un registro in mano e zero urgenza. Chi aspetta la vigilanza la affronterà di corsa, comprando il primo corso generico disponibile, che è esattamente il tipo di misura che il testo dell'articolo 4 scoraggia. Chi già lavora sulle competenze ha un vantaggio concreto su chi aspetta che diventi un'emergenza.

Il mio consiglio operativo è di non trattare le due cose come progetti separati. L'alfabetizzazione (già dovuta) e la trasparenza (dovuta tra 51 giorni) condividono lo stesso fondamento: sapere dove l'AI tocca i tuoi processi. Il censimento del punto 1 serve a entrambe.

Se vuoi capire dove sei messo rispetto all'AI Act, ho costruito un self-check di sette domande: due minuti, risultato indicativo, non è un parere legale. Ti dice quali aree del tuo uso dell'AI sono esposte e in che ordine ha senso sistemarle. È lo stesso schema di ragionamento che uso nei progetti reali, ridotto all'osso.

La serie finisce qui. Quattro competenze, un obbligo, un registro da tenere. Niente di spettacolare, e infatti è proprio questo il punto: l'alfabetizzazione AI non è un progetto straordinario da rimandare a quando ci sarà tempo. È manutenzione ordinaria del modo in cui si lavora. L'obbligo esiste da 16+ mesi. La competenza conviene a prescindere.