La rilevanza cruciale e sottovalutata dell'alfabetizzazione in materia di IA

L'alfabetizzazione all'IA nel Q&A dell'AI Office

L'alfabetizzazione in materia di intelligenza artificiale rappresenta il pilastro fondamentale, seppur ancora trascurato, dell'intero impianto regolatorio europeo in materia di IA. Per la prima volta infatti il Regolamento (UE) 2024/1689 (c.d. "AI Act") dedica un articolo specifico alla “alfabetizzazione” chiamando a rispondere di tale obbligo sia i fornitori che i deployer: ciò in ragione del fatto che, in ottica antropocentrica, il vantaggio dell’IA si può avere solo se coloro che immettono il sistema sul mercato (i provider) e coloro che lo utilizzano (i deployer) sono capaci e consapevoli.

Il contesto normativo europeo: dalla strategia sull'IA al Regolamento 2024/1689

L'alfabetizzazione all’ IA si inserisce in un articolato quadro normativo e strategico che l'Unione Europea ha progressivamente costruito a partire dal 2018.
La Comunicazione della Commissione del 25 aprile 2018, "Artificial Intelligence for Europe" (COM (2018) 237), individuava già nella formazione e nell'acquisizione di competenze uno dei tre pilastri della strategia europea sull'IA, accanto agli investimenti e al quadro etico-normativo.

Il Piano coordinato sull'intelligenza artificiale, adottato con la Comunicazione (COM (2018) 795), del 7 dicembre 2018 e successivamente aggiornato con la Comunicazione (COM (2021) 205), del 21 aprile 2021, ha ulteriormente rafforzato l'enfasi sulle competenze, prevedendo azioni specifiche per "migliorare e adeguare le competenze per lo sviluppo, l'applicazione e l'uso dell'IA lungo l'intero arco della vita".

Parallelamente, il Libro bianco sull'intelligenza artificiale (COM (2020) 65), del 19 febbraio 2020, sottolineava come "la fiducia nell'IA dipende non solo dalla conformità giuridica, ma anche dalla comprensione delle sue capacità e limitazioni da parte di tutti gli attori della catena del valore".

Questa visione ha trovato poi definitiva concretizzazione normativa nell'art. 4 del Regolamento 2024/1689 (c.d. AI ACT).

I fondamenti giuridici dell'obbligo di alfabetizzazione: analisi dell'art. 4 AI Act

La definizione di "alfabetizzazione in materia di IA" è fornita dall'art. 3, punto 56, del Regolamento che fa riferimento a quelle:

"competenze, conoscenze e comprensione che consentono ai fornitori, agli utilizzatori e alle persone interessate, tenendo conto dei loro rispettivi diritti e obblighi nel contesto del presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell'IA e ai possibili danni che essa può causare".

Questa definizione rivela tre dimensioni essenziali dell'alfabetizzazione:

• La dimensione cognitiva: comprensione dei meccanismi fondamentali dell'IA, delle sue capacità e limitazioni tecniche;
• La dimensione normativa: conoscenza dei diritti e obblighi derivanti dal Regolamento (in raccordo le altre discipline connesse, es GDPR, NIS 2 ecc.)
• La dimensione etica e sociale: consapevolezza degli impatti dell'IA su diritti fondamentali, discriminazioni potenziali e implicazioni sociali più ampie.

L'articolo 4 del Regolamento, rubricato "Alfabetizzazione in materia di IA" sancisce poi che fornitori e deployer devono adottare

"misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione, nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati".

Si tratta dunque di una norma di portata generale applicabile a tutti i fornitori e utilizzatori di sistemi di IA, indipendentemente dal livello di rischio del sistema.

Tale universalità rappresenta una scelta legislativa significativa: mentre la maggior parte degli obblighi dell'AI Act si concentra sui sistemi ad alto rischio (definiti dall'art. 6 e elencati nell'Allegato III), l'alfabetizzazione viene imposta trasversalmente.

La ratio dell'obbligo si rinviene nel Considerando 127 del Regolamento, che evidenzia come

"un livello adeguato di alfabetizzazione in materia di IA dovrebbe consentire a fornitori, deployer e personale interessato di prendere decisioni informate riguardo ai sistemi di IA e di comprenderne i rischi e le opportunità".

Il Considerando prosegue sottolineando che

"le misure di alfabetizzazione dovrebbero essere proporzionate al ruolo degli attori coinvolti e al livello di rischio dei sistemi".

L'intervento dell'AI Office: analisi del Q&A di agosto 2025

In un nostro precedente contributo abbiamo analizzato la portata e l'impatto dell'obbligo generale di alfabetizzazione introdotto dall'art. 4 del Regolamento 2024/1689 (c.d. "AI Act").

L'AI Office della Commissione Europea è poi intervenuto sul tema pubblicando in primavera una serie di Q&A: queste ultime, aggiornate ad agosto 2025, sono adesso disponibili sul portale dell'Ufficio IA (questo il link diretto)

Vediamo allora i punti salienti: 

AI Literacy: contenuto dell'obbligo e target di riferimento

In primo luogo le Q&A chiariscono il target di soggetti cui si applica l'art. 4, nel cui novero rientra il personale che si occupa del sistema di IA, compresi coloro che, pur non essendo dipendenti diretti, si occupano del loro funzionamento ed uso per conto dei fornitori/distributori.

Il riferimento, in tal caso, è a tutti quei soggetti che, seppure in senso lato, rientrano nell'ambito organizzativo (es: appaltatori, fornitori di servizi, clienti che agiscono in qualità di utilizzatori professionali).

Questa interpretazione estensiva è coerente con il principio di responsabilizzazione (accountability) che permea l'intero AI Act e trova precedenti nell'art. 24 GDPR relativo alla responsabilità del titolare del trattamento.

Fornitori ed utilizzatori dei sistemi di IA non sono però obbligati a misurare formalmente le conoscenze dei dipendenti in materia di IA attraverso test o certificazioni standardizzate; tuttavia, tenuto conto di conoscenze tecniche, esperienza, istruzione e formazione, devono comunque garantirne un livello sufficiente, documentabile e verificabile.

Come conformarsi all'art. 4: il principio di flessibilità e proporzionalità

L’applicazione della norma deve seguire criteri di flessibilità e proporzionalità.

Tenuto conto dell'ampiezza dell'argomento e della rapida evoluzione tecnologica che caratterizza la materia, l'Ufficio AI non impone requisiti rigorosi e corsi di formazione obbligatori standardizzati, ma contempla una serie di contenuti minimi da tenere in considerazione nella definizione dei programmi di alfabetizzazione che possano dirsi conformi all'art. 4.

Questo approccio riflette il principio di proporzionalità sancito dall'art. 5, par. 4, TUE e ribadito nel Considerando 127 dell'AI Act: "Le misure di alfabetizzazione dovrebbero essere commisurate al ruolo degli attori coinvolti, all'importanza del contesto di utilizzo e al livello di rischio associato al sistema di IA".

Fornitori e utilizzatori di sistemi di AI dovrebbero quindi:

• garantire una generale comprensione dell'IA all'interno dell'organizzazione, includendo nozioni fondamentali su machine learning, deep learning, sistemi di raccomandazione, elaborazione del linguaggio naturale e visione artificiale, nei limiti di quanto rilevante per l'attività svolta;
• a seconda del ruolo rivestito dall'organizzazione (fornitore ex art. 16, utilizzatore ex art. 26) e del livello di rischio associato ai sistemi (minimo, limitato ex art. 50, alto rischio ex artt. 6 e Allegato III), modulare le misure atte a garantire la piena consapevolezza dei dipendenti circa la gestione dei sistemi. In presenza di sistemi ad alto rischio, ad esempio, potrebbe rendersi necessaria l'adozione di misure aggiuntive quali: formazione sulla valutazione della conformità (artt. 43-44), comprensione dei requisiti di trasparenza e informazione (art. 13), capacità di condurre sorveglianza umana (art. 14), conoscenza degli obblighi di conservazione della documentazione tecnica (art. 11) e dei log (art. 12);
• in linea con un approccio risk-based (Considerando 13), promuovere iniziative di alfabetizzazione che tengano conto del diverso grado di esperienza del personale, nonché del settore di operatività, degli scopi perseguiti e dei soggetti nei cui confronti i sistemi di IA verranno utilizzati. Particolare attenzione deve essere prestata quando i sistemi impattano su categorie vulnerabili (minori, persone con disabilità) o su diritti fondamentali quali il diritto alla non discriminazione (art. 21 Carta dei diritti fondamentali UE), alla protezione dei dati personali (art. 8 Carta) e alla tutela giurisdizionale effettiva (art. 47 Carta).

Non esiste quindi un approccio unico all'alfabetizzazione ("one size fits all"), né sono previsti requisiti specifici per determinati settori: il contenuto delle iniziative di formazione va calibrato sul contesto concreto in cui opera l'organizzazione, tenendo conto del livello di rischio dei sistemi di IA implementati o utilizzati. Questa flessibilità non deve però tradursi in arbitrarietà: le scelte organizzative devono essere ragionevoli, documentate e dimostrabili in sede di vigilanza (art. 74).

Per la stessa ragione, anche il semplice affidamento nelle istruzioni per l'uso dei sistemi di IA (art. 13) potrebbe risultare insufficiente.

Il responsabile dell'organizzazione che implementi sistemi di IA ad alto rischio, ad esempio, sarà tenuto a garantire un'adeguata formazione del personale che se ne occupa e quindi l'adozione di misure ulteriori rispetto a quelle ivi contenute. In questi casi, inoltre, l'obbligo di alfabetizzazione si estende anche nei confronti dei fornitori di servizi e degli appaltatori che agiscono per conto del responsabile dell'implementazione e che – al pari dei dipendenti diretti – devono possedere adeguate competenze in materia di IA.

Il Q&A chiarisce poi che il possesso di una laurea pertinente (es: informatica, ingegneria, data science) o di esperienza professionale documentata nello sviluppo dell'IA è tendenzialmente ritenuto sufficiente a considerare il soggetto come competente in materia, purché si tenga sempre conto del tipo di strumento specifico in questione e delle qualifiche effettivamente possedute dall'addetto. L'organizzazione dovrebbe inoltre considerare quali altre informazioni – ad esempio aspetti etici, legali e di impatto sociale – potrebbero essere necessarie ai dipendenti e metterle a disposizione di questi ultimi attraverso sessioni formative, materiali informativi o accesso a consulenza specialistica.

Le organizzazioni non sono comunque tenute a rilasciare alcun certificato formale che attesti le azioni intraprese per conformarsi all'obbligo di alfabetizzazione, ma è fortemente consigliato tenere un registro interno dei corsi di formazione e/o delle altre iniziative di orientamento implementate. Tale documentazione, pur non obbligatoria ex lege, potrebbe rivelarsi essenziale in sede di verifica da parte delle autorità di vigilanza nazionali (art. 74) o per dimostrare l'adempimento degli obblighi in caso di contenzioso.

Non è invece prevista la presenza di una struttura di governance specifica dedicata all'alfabetizzazione (diversamente, ad esempio, dal Data Protection Officer previsto dagli artt. 37-39 GDPR), ma le organizzazioni sono libere di designare referenti interni o istituire comitati ad hoc per coordinare le iniziative formative.

L'applicazione dell'art. 4: tempistiche, vigilanza e sanzioni

L'obbligo di alfabetizzazione è già applicabile dal 1° febbraio 2025, come stabilito dall'art. 113, par. 2, del Regolamento 2024/1689.

Si tratta di una delle disposizioni con applicabilità anticipata rispetto al termine generale del 2 agosto 2026 (art. 113, par. 1), unitamente al divieto di pratiche vietate (art. 5, applicabile dal 2 febbraio 2025) e agli obblighi relativi ai modelli di IA per finalità generali (artt. 53-56, applicabili dal 2 agosto 2025).

Le norme in materia di supervisione e applicazione (enforcement) si applicheranno dal 2 agosto 2026, ossia dalla data a partire dalla quale le autorità nazionali competenti, designate ai sensi dell'art. 70, inizieranno a vigilare circa l'effettivo rispetto dell'art. 4.

Questo differimento temporale tra entrata in vigore dell'obbligo e attivazione della vigilanza configura un periodo transitorio durante il quale le organizzazioni dovrebbero proattivamente implementare programmi di alfabetizzazione, sfruttando il margine temporale per strutturare iniziative efficaci.

I singoli Stati membri era poi chiamati ad adottare leggi nazionali di recepimento (art. 101): l’Italia per prima ha emanato la legge 132/2025. Al momento però le sanzioni applicabili sono demandate ad un decreto legislativo da emanare e l’autorità competente è l’ACN

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA