Approfondimento Art. 4

Articolo 4 AI Act: alfabetizzazione AI obbligatoria dal 2 febbraio 2025

Cosa significa per aziende italiane, come dimostrarla, sanzioni indirette

L'articolo 4 del Regolamento UE 2024/1689 è in vigore dal 2 febbraio 2025. Obbliga fornitori e deployer di sistemi AI a garantire un livello sufficiente di alfabetizzazione del personale. Questa pagina spiega testo, applicabilità, come dimostrare conformità in caso di controllo ACN.

Vai alla guida AI Act

Testo articolo 4

Cosa dice esattamente l'articolo 4 del Regolamento UE 2024/1689.

"I fornitori e i deployer di sistemi di IA adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale, nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, l'esperienza, l'istruzione e la formazione, nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati."

— Regolamento UE 2024/1689, articolo 4. In vigore dal 2 febbraio 2025.

L'articolo è breve ma denso. Si applica a fornitori e deployer (la definizione include sostanzialmente ogni azienda che sviluppa o usa AI). L'obbligo è di "adottare misure" per garantire un "livello sufficiente di alfabetizzazione". Il perimetro soggettivo include il personale aziendale e qualunque persona che opera con i sistemi AI per conto del fornitore o del deployer (consulenti esterni inclusi).

L'articolo richiede di proporzionare le misure formative a quattro fattori: conoscenze tecniche del personale, esperienza pregressa, livello di istruzione, contesto d'uso del sistema AI. Questa proporzionalità giustifica percorsi differenziati per livello di responsabilità e per ruolo, ma non consente di escludere il personale che usa AI nel quotidiano.

A chi si applica

Tutti i deployer e fornitori, indipendentemente dal livello di rischio del sistema.

A differenza degli obblighi documentali degli artt. 6-49 (che si applicano solo ai sistemi alto rischio dell'allegato III), l'articolo 4 si applica a tutti i sistemi AI senza distinzione di livello di rischio. Significa: anche un'azienda che usa solo ChatGPT in modo informale è tenuta a documentare la formazione del proprio personale.

Il perimetro soggettivo è ampio. Include il personale dipendente (a tempo determinato e indeterminato), i collaboratori esterni che operano sui sistemi AI per conto dell'azienda (consulenti, freelance, agenzie partner), gli interini e gli stagisti che usano AI nelle loro attività. Esclude i destinatari finali esterni (clienti, utenti) per i quali si applicano gli obblighi di trasparenza dell'art. 50.

Per le multinazionali con HQ extra-UE che hanno filiali italiane, l'obbligo si applica al personale che lavora in Italia o che opera sui sistemi AI il cui output è usato nell'Unione. Il principio di territorialità AI Act è particolarmente esteso: se l'output di un sistema AI prodotto fuori UE viene usato nell'Unione, gli obblighi si applicano anche al fornitore extra-UE.

Cosa significa "livello sufficiente"

Una soglia non numerica, ma con criteri operativi consolidati.

Il legislatore europeo ha volutamente evitato una metrica numerica per "livello sufficiente": la rapidità di evoluzione dell'AI avrebbe reso obsoleto qualunque parametro fissato. La normativa richiede invece quattro caratteristiche operative del percorso formativo, su cui la Commissione e ACN sviluppano linee guida.

Strutturazione: programma scritto con obiettivi specifici, non auto-apprendimento informale.
Documentazione: materiali archiviati, registri presenze, evidenze del programma erogato.
Tracciabilità: chi ha completato cosa, quando, con quale risultato individuale al test finale.
Aggiornamento continuo: refresh annuale per mantenere il livello rispetto all'evoluzione del settore.

In assenza di una soglia oraria normativa, la prassi consolidata è 4-8 ore minimo per il livello base, 12-20 ore per il livello operativo, 24-40 ore per il livello avanzato. La proporzionalità all'art. 4 va però giustificata caso per caso nel fascicolo: non è sufficiente "fare le ore", serve dimostrare l'apprendimento.

Come dimostrare conformità

Sei elementi documentali per un fascicolo art. 4 solido.

In caso di controllo ACN o di richiesta di evidenza da parte di clienti enterprise (audit di terza parte), questi sono gli elementi che vanno presenti nel fascicolo. La mancanza di uno o più elementi può portare alla contestazione del 'livello sufficiente'.

Programma formativo scritto

Documento strutturato con obiettivi formativi specifici, contenuti per modulo, durata totale, articolazione delle sessioni, criteri di valutazione. La durata minima raccomandata è 4-8 ore per il livello base, da scalare per ruoli operativi e tecnici.
Materiali didattici archiviati

Slide, dispense, registrazioni delle sessioni live (per documentazione, non come sostituto di formazione), riferimenti normativi consultati. Archiviazione versionata per dimostrare l'evoluzione del percorso nel tempo.
Registri presenze + completamento

Tracciatura individuale: chi ha partecipato, a quali moduli, durata effettiva di partecipazione, completamento del percorso. Per i corsi e-learning serve log della piattaforma (LMS) con timestamp e percentuali completamento.
Test di apprendimento iniziale + finale

Valutazione strutturata pre/post per dimostrare 'evoluzione di competenze'. Il test iniziale stabilisce baseline; il test finale dimostra l'apprendimento. Output documentale: punteggio individuale, soglia di superamento, eventuali re-take.
Evidenze di refresh annuale

L'AI evolve rapidamente: la formazione non è 'una tantum'. Refresher annuali (4-8 ore) con re-test mantengono il fascicolo aggiornato. Senza refresher documentati, il livello sufficiente è considerato decaduto dopo 12-18 mesi.
Certificazione esterna verificabile (raccomandata)

European Digital Credential con sigillo eIDAS è la soluzione ottimale: rilasciata da ente accreditato UE, verificabile online dal portale Europass in 30 secondi, riconosciuta in tutti i 27 paesi. Costituisce prova self-contained nel fascicolo, senza necessità di documenti integrativi.

Sanzioni indirette

L'art. 4 non ha sanzioni dirette, ma è aggravante per le violazioni dell'art. 99.

Il Regolamento non prevede una sanzione pecuniaria specifica per l'inosservanza dell'art. 4. Questo lo rende apparentemente "innocuo" rispetto agli artt. 5 (€35M) o 6-49 (€15M). La realtà operativa è diversa: la mancata alfabetizzazione del personale è considerata aggravante in caso di altre violazioni del Regolamento o del GDPR.

Tre scenari concreti di esposizione indiretta. Primo: incidente con sistema AI alto rischio in azienda con personale non formato. La sanzione AI Act art. 99 (fino €15M) viene irrogata nella fascia massima della soglia, perché l'assenza di alfabetizzazione documentata aggrava la responsabilità. Secondo: leak di dati personali tramite uso improprio di ChatGPT da parte di un dipendente non formato. Sanzione GDPR art. 83 (fino €20M) cumulativa con eventuali sanzioni AI Act per violazioni connesse.

Terzo e meno visibile ma più frequente: la perdita di clienti enterprise che includono la conformità AI Act nei requisiti contrattuali. Fornitori senza fascicolo art. 4 vengono esclusi da bandi e gare, anche senza sanzione formale ACN. È l'esposizione che colpisce per prima le PMI: 12-18 mesi prima della vigilanza piena, già si vedono i primi casi di clienti che richiedono evidenze formative come prerequisito.

In sintesi: l'art. 4 è meno sanzionato direttamente, ma più frequentemente contestato. Costruire un fascicolo formativo solido entro la prima metà del 2026 riduce sia l'esposizione regolamentare sia quella commerciale.

Volete capire dove siete sull'art. 4?

Una call di un'ora per fare il punto: chi è già formato, chi resta scoperto, quale percorso scegliere (corso individuale AIPIA Academy o percorso aziendale Prompti). Costo €240, compensata se accettate il preventivo successivo.

Prenota call audit Vedi percorso formativo

FAQ Articolo 4

Le domande operative più frequenti sull'art. 4.

ChatGPT in azienda è soggetto all'articolo 4?

Sì. L'articolo 4 si applica a fornitori e deployer di sistemi AI di qualunque livello di rischio. ChatGPT (anche in versione personale, Plus, Team o Enterprise) usato in contesto professionale rientra nel perimetro: l'azienda è deployer e ha l'obbligo di garantire l'alfabetizzazione del personale che lo utilizza. Vale anche per Copilot, Claude, Gemini e qualunque altro strumento AI introdotto nei flussi aziendali. La formazione va documentata, tracciata e proporzionata al ruolo.

Quanti livelli di alfabetizzazione richiede la norma?

L'articolo 4 parla di 'livello sufficiente' senza specificare metriche numeriche o livelli predefiniti. La best practice consolidata distingue almeno tre livelli: alfabetizzazione di base per il personale che usa AI in modo occasionale (4-8 ore), alfabetizzazione operativa per chi integra AI nei flussi quotidiani (12-20 ore), alfabetizzazione avanzata per ruoli decisionali e tecnici (24-40 ore). Il fascicolo aziendale deve giustificare la scelta dei livelli applicati e mappare ogni dipendente al livello pertinente al ruolo.

Si può fare e-learning solo o serve formazione live?

L'e-learning puro è considerato insufficiente da ACN come unica modalità: l'art. 4 richiede formazione strutturata, valutabile, con evidenza di apprendimento. Approccio raccomandato: blended learning con e-learning per i fondamenti teorici (asincronia che facilita la copertura di personale ampio) e sessioni live (aula fisica o videocall) per casi pratici, workshop, valutazione del docente. La componente live è essenziale per dimostrare il 'livello sufficiente' e per giustificare il test finale di apprendimento.

Come provare l'alfabetizzazione in caso di controllo ACN?

Il fascicolo formativo richiesto in caso di controllo include: programma formativo scritto con obiettivi e durata, materiali didattici archiviati, registri presenze e completamento per ogni partecipante, test iniziale e finale documentati con risultati individuali, evidenze di refresher annuali, attestati o certificazioni rilasciate. La European Digital Credential con sigillo eIDAS è la forma più solida perché verificabile online da ACN in 30 secondi senza necessità di richieste integrative al fornitore formativo.

Costo medio per formare un dipendente in conformità art. 4?

Range tipico €150-€500 per dipendente, variabile in funzione di profondità del percorso (base, operativo, avanzato), modalità (e-learning, blended, full live), gruppo (singolo vs azienda), erogatore (corso aperto vs percorso dedicato). Esempi: AIPIA Academy €249 a persona per corso individuale 8h con EDC eIDAS; percorso aziendale Prompti per 24-30 partecipanti tipicamente €4.500-€8.500 totali, ovvero €150-€350 a persona, con tutti i deliverable documentali per il fascicolo AI Act inclusi.

Iniziamo da una conversazione di un'ora.

Una call di un'ora per capire le priorità della vostra azienda, valutare il livello di maturità AI e definire l'eventuale percorso. Costo: €240, compensato in caso di accettazione del preventivo successivo.

info@prompti.it

Tutte le call si svolgono in videoconferenza, in italiano, inglese o spagnolo.