Usare l’AI in azienda senza formare i dipendenti è già illegale.
Le scadenze sono chiare: AI Act in vigore dal 1° agosto 2024, obbligo di alfabetizzazione già attivo dal 2 febbraio 2025, piena applicazione il 2 agosto 2026.
Il Consiglio dei Ministri del 10 giugno 2026 ha approvato un nuovo decreto sull’AI Act, ma la vera notizia è molto più vecchia e molto più pericolosa: dal 2 febbraio 2025 usare intelligenza artificiale in contesto lavorativo senza formare il personale è già un’illegalità europea. L’articolo 4 del Regolamento UE impone che fornitori e utilizzatori professionali di sistemi AI garantiscano un livello sufficiente di conoscenze al personale e a chiunque opera per loro conto. Non è un consiglio, non è una buona pratica, è un obbligo normativo con sanzioni fino a 35 milioni di euro.
La regola riguarda tutto ciò che oggi è già diffuso nelle aziende italiane: chatbot usati per scrivere bozze pubblicitarie o tradurre testi, software generativi per creare immagini, sistemi predittivi per l’analisi dati, automazioni integrate nei gestionali, funzioni AI nei CRM (Customer Relationship Mangement). La Commissione Europea ha reso l’obbligo concreto con un esempio chiarissimo: un’azienda i cui dipendenti usano ChatGPT per testi pubblicitari deve informarli sui rischi specifici, comprese le allucinazioni, quegli output plausibili ma completamente errati che sono il tallone d’Achille dei modelli generativi. Chi usa AI al lavoro deve sapere quando lo strumento aiuta, quando può sbagliare, quali dati non può caricare e quando è assolutamente necessaria una verifica umana.
L’AI Act non impone un corso uguale per tutti perché la formazione deve essere calibrata sulle competenze tecniche del personale, sull’esperienza, sull’istruzione, sul contesto d’uso e sulle persone che il sistema può influenzare. Un uso interno a basso rischio come traduzioni automatiche può richiedere istruzioni semplici e regole sui dati. Un sistema AI collegato a selezione del personale, credito, sanità o servizi pubblici richiede formazione mirata, sorveglianza umana attiva e tracciabilità delle decisioni. In Italia le autorità di riferimento sono AgID (l’Agenzia per l’Italia Digitale) per innovazione e casi d’uso sicuri, e ACN (l’Agenzia per la Cybersicurezza Nazionalr) per sicurezza e poteri ispettivi. Nello stesso CdM è passato anche un secondo decreto distinto su AI nelle attività di polizia e responsabilità civile e penale.
Per mettersi in regola le aziende devono mappare i sistemi AI usati, includendo strumenti integrati nei software già acquistati, distinguere tra uso interno e uso verso clienti, individuare chi autorizza e controlla gli output, definire quali dati possono essere inseriti ed quali esclusi assolutamente, e prevedere formazione differenziata per chi usa, chi controlla e chi decide. La soluzione sostenibile per documentare la compliance è un registro interno delle azioni di alfabetizzazione AI collegato agli strumenti usati e alle persone coinvolte.
Il rischio principale per le aziende non è solo normativo ma di processo: usare AI senza sapere chi la usa, per quale finalità e con quali controlli espone a errori decisionali, violazioni di sicurezza e violazioni di riservatezza con conseguenze molto più gravi di una sanzione. L’AI Act non è una formalità legale ma un obbligo di maturità organizzativa, e le aziende italiane non devono aspettare il decreto nazionale perché l’obbligo formativo europeo è già in vigore.
