Dal 2 febbraio 2025, alcune regole del nuovo Regolamento europeo sull’intelligenza artificiale entrano davvero in gioco. Non sono consigli, né linee guida: sono obblighi veri e propri che toccano subito le aziende italiane, senza bisogno di passaggi o adattamenti a livello nazionale. Il Regolamento UE 2024/1689, pubblicato in Gazzetta Ufficiale il 12 luglio 2024, è già in vigore dal 1° agosto 2024 e verrà applicato a tappe fino al 2 agosto 2026. Ma due articoli partono subito, da febbraio: l’articolo 5, che vieta alcune pratiche precise di intelligenza artificiale, e l’articolo 4, che impone alle aziende di formare il personale.
Basta usare ChatGPT per scrivere mail o strumenti di analisi dati basati su AI per rientrare nella normativa. E occhio alle multe: si arriva fino a 35 milioni di euro o il 7% del fatturato globale annuo, scegliendo la cifra più alta.
Formazione obbligatoria sull’intelligenza artificiale: cosa cambia davvero
L’articolo 4 del Regolamento rende chiara una cosa: chi lavora con l’intelligenza artificiale deve capirne abbastanza per usarla in modo responsabile. Qui si parla proprio di “AI literacy”, alfabetizzazione digitale specifica sull’AI. Sembra un termine tecnico, ma vuol dire una cosa semplice: serve sapere come funzionano questi strumenti, quali sono i rischi, come riconoscere errori e limiti e come prendere decisioni informate quando si lavora con l’AI.
Ma chi sono i soggetti coinvolti? Da una parte ci sono i fornitori: persone, aziende, enti pubblici, chiunque sviluppa sistemi o modelli di intelligenza artificiale, o li fa sviluppare, e poi li mette sul mercato col proprio nome, sia a pagamento che gratuitamente. Dall’altra parte ci sono i deployer: quelli che usano operativamente i sistemi AI sotto la propria responsabilità, tranne quando lo fanno solo per scopi personali, fuori dal lavoro.
Facciamo un esempio pratico. Se la tua azienda usa ChatGPT, Copilot, Gemini o altri strumenti di AI per lavorare, siete deployer. Se invece sviluppate in casa soluzioni di AI, siete fornitori. In entrambi i casi, la legge dice che dovete formare chi li usa.
Ma che significa, davvero, “alfabetizzazione AI”? Non basta una panoramica generica. Chi lavora con questi sistemi deve conoscere le basi di come funzionano, capire quando l’AI può essere utile e quando invece rischia di non esserlo, valutare rischi e benefici, sapere cosa fare se qualcosa va storto. Bisogna imparare a leggere gli output dell’AI con occhio critico, essere consapevoli dei limiti e dei possibili errori, conoscere le regole in materia di privacy e sicurezza, e affrontare anche i temi etici, come il rischio di bias e discriminazioni.
La legge dice che la formazione va calibrata in base a chi deve riceverla e a come usa l’AI. Un social media manager che sfrutta l’AI per scrivere post ha bisogno di un tipo di formazione molto diverso rispetto a uno sviluppatore che integra modelli di machine learning nei software aziendali. Bisogna considerare l’esperienza tecnica, il contesto d’uso, il tipo di sistema, e il pubblico su cui il sistema avrà effetto.
Cosa deve coprire, quindi, la formazione? Le basi dell’intelligenza artificiale, come funziona il sistema specifico che si usa sul lavoro, quali sono i suoi limiti, come gestire in modo sicuro i dati che entrano e quelli che escono, le regole da rispettare, cosa fare se l’output è sbagliato o inappropriato, e le procedure da seguire in caso di problemi. Bisogna anche imparare quando è il caso di “alzare la mano” e chiedere aiuto.
Il Regolamento chiarisce che chi lavora con l’AI deve sapere cosa fa, come applicare le misure tecniche giuste, come interpretare i risultati. E chi subisce decisioni prese con l’aiuto dell’AI ha il diritto di capire in che modo queste decisioni lo riguardano.
L’obbligo di formazione non riguarda solo i dipendenti. Anche consulenti esterni, collaboratori, e persino fornitori che usano sistemi AI per conto dell’azienda devono essere formati. La responsabilità rimane sempre in capo all’azienda che fornisce o utilizza il sistema.
Non ci sono multe automatiche se non si rispetta l’articolo 4, ma ignorare l’obbligo è rischioso. Se succede un danno e si scopre che chi usava l’AI non era formato, la responsabilità ricade sull’azienda. Le assicurazioni potrebbero rifiutare di coprire i danni se manca la formazione. E clienti o partner potrebbero pretendere la prova che l’azienda sia in regola.
Per questo serve documentare tutto: chi ha frequentato i corsi, quando, su quali argomenti, con quali risultati. Molte aziende stanno già creando registri di formazione sull’AI, simili a quelli previsti per la sicurezza sul lavoro o la privacy. Perché, alla fine, la formazione non è solo un obbligo: è anche una tutela concreta contro i rischi dell’intelligenza artificiale.
Secondo obbligo: vietato usare sistemi a rischio inaccettabile
L’articolo 5 del Regolamento è chiarissimo: alcuni usi dell’intelligenza artificiale sono illegali nell’Unione europea, punto. Nessuno può svilupparli, venderli o usarli. La lista dei divieti è precisa e si basa sul rispetto dei diritti fondamentali dei cittadini.
Primo esempio: i sistemi di social scoring che danno un punteggio alle persone in base al loro comportamento, allo status sociale o ad altre caratteristiche personali. L’Europa ha guardato cosa succede altrove, dove il punteggio sociale decide chi può lavorare, ottenere un prestito o accedere a certi servizi, e ha detto no. Qui questa pratica non entra proprio.
Vietata anche la manipolazione del comportamento tramite tecniche subliminali, quelle che agiscono “sotto il radar” della coscienza. Se un sistema distorce il comportamento di una persona o di un gruppo, mettendoli a rischio di danni fisici o psicologici, non si può usare. E vale soprattutto quando la tecnologia sfrutta vulnerabilità dovute all’età, a disabilità, o a condizioni socioeconomiche particolari.
Le forze dell’ordine non possono usare sistemi di identificazione biometrica remota in tempo reale negli spazi pubblici. C’è qualche eccezione, ma è limitatissima: minacce terroristiche imminenti, ricerca di vittime o sospetti di reati gravi. Anche in questi casi, serve sempre un’autorizzazione di un giudice. La Commissione europea ha pubblicato delle linee guida il 2 febbraio 2025 per chiarire ogni dettaglio.
Non sono ammessi nemmeno i sistemi di categorizzazione biometrica che cercano di dedurre informazioni sensibili su una persona, come razza, orientamento politico, appartenenza sindacale, orientamento sessuale o convinzioni religiose. Usare dati biometrici per classificare le persone in queste categorie è fuori legge.
Bandito anche il riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole, tranne se c’è una ragione medica o di sicurezza ben documentata. Non si può leggere lo stato d’animo di dipendenti o studenti con l’AI, punto.
Proibite le banche dati di riconoscimento facciale ottenute raccogliendo immagini online o da telecamere senza uno scopo preciso e senza consenso. Prendere foto dei volti delle persone per addestrare sistemi di riconoscimento facciale non è permesso.
Infine, vietati i sistemi che cercano di prevedere se qualcuno commetterà un reato basandosi solo sulla profilazione o sulla personalità, senza elementi oggettivi. L’AI non può decidere chi è un potenziale criminale solo guardando le caratteristiche personali.
Tutti questi divieti scattano dal 2 febbraio 2025. Chi già usava questi sistemi doveva fermarsi, senza eccezioni o tempi supplementari. Chi viola le regole rischia multe pesanti: fino a 35 milioni di euro o il 7% del fatturato annuo globale, a seconda di quale cifra sia più alta.
Come affrontare gli obblighi
Per partire, bisogna fare una mappa di tutti i sistemi di intelligenza artificiale che l’azienda usa. Non si parla solo dei grandi software: anche strumenti comprati da fornitori esterni, programmi con funzionalità AI integrate, modelli creati dentro l’azienda, servizi cloud basati su AI. Tutto va inserito nella lista. Sì, perfino ChatGPT per scrivere email, tool di analisi predittiva, chatbot sul sito, sistemi di raccomandazione prodotti, filtri antispam avanzati, software che aiutano nella selezione dei CV. Nulla va lasciato fuori.
Poi, per ogni sistema che hai trovato, serve capire se rientra tra quelli vietati (articolo 5). Se il sistema fa cose come categorizzazione biometrica, riconoscimento delle emozioni sul lavoro o a scuola, oppure valuta rischi di criminalità solo sulla base della profilazione, va spento subito. Non ci sono scappatoie: la legge non prevede alternative.
Se invece i sistemi sono permessi, bisogna organizzare la formazione. Prima individua chi usa questi strumenti e quanto li usa. Poi pensa a che tipo di formazione serve e adatta i contenuti al ruolo e al sistema. Non basta fare una sessione: bisogna anche controllare che la formazione sia stata davvero compresa, documentare tutto e conservare le prove. Quando cambiano i sistemi o le regole, aggiorna la formazione.
Alcune aziende hanno deciso di scrivere un proprio codice di condotta sull’AI. Il Regolamento lo suggerisce (considerando 20). Un codice interno aiuta a chiarire le policy sull’uso dell’AI, le procedure operative, i ruoli e le responsabilità, e come segnalare eventuali problemi. Diventa uno strumento pratico, non solo per rispettare la legge, ma anche per organizzarsi meglio.
Non vanno dimenticatii contratti con i fornitori di sistemi AI. Vanno rivisti. Ci vogliono clausole che assicurino che il fornitore rispetti l’AI Act. Occhio soprattutto a responsabilità, indennizzi e alla documentazione: serve per dimostrare la conformità se qualcuno fa controlli. Molte aziende stanno già aggiornando i contratti standard proprio per coprire questi punti
Le prossime scadenze
Il 2 agosto 2025 scattano nuove regole. I fornitori di modelli di AI generali, come GPT, Claude, Gemini, Llama, dovranno rispettare obblighi specifici: documentazione tecnica dettagliata, trasparenza sui dati di addestramento, gestione del rischio sistemico, regole sul copyright dei contenuti generati. Si attivano anche le strutture di governance europea e nazionale: l’AI Office europeo e il Consiglio europeo per l’AI coordineranno tutto, mentre le autorità nazionali avranno il potere di fare ispezioni e dare sanzioni.
Il 2 agosto 2026 il Regolamento sarà pienamente operativo. Entrano in vigore gli obblighi per i sistemi ad alto rischio: AI usata per selezionare il personale, valutare il credito, gestire infrastrutture critiche, applicazioni mediche, controllare l’accesso a servizi essenziali. Qui servono valutazioni di conformità, documenti tecnici dettagliati, registrazione nei database europei, gestione continua del rischio, test e trasparenza nelle decisioni.
Il 2 agosto 2027 tocca ai sistemi ad alto rischio già sul mercato prima del Regolamento. Chi già li usa dovrà averli resi conformi entro questa data: aggiornare la documentazione, implementare nuovi controlli, iscrivere i sistemi nei database europei.
Un approccio pratico per le PMI
Le piccole e medie imprese hanno gli stessi obblighi delle grandi aziende. Il Regolamento si applica a tutti indipendentemente dalla dimensione. Ma il principio di proporzionalità permette di calibrare le misure sulla base delle risorse disponibili.Piccole e medie imprese? Gli obblighi sono gli stessi delle grandi. Il Regolamento vale per tutti, a prescindere dalla dimensione. Ma c’è il principio di proporzionalità: ognuno adatta le misure alle proprie risorse.
Per una PMI che usa solo strumenti AI standard comprati sul mercato, la compliance si gestisce senza troppi drammi. Basta controllare che i sistemi non siano tra quelli vietati, organizzare una formazione base per chi li usa, documentare tutto, inserire le clausole di conformità nei contratti con i fornitori e nominare un referente interno per l’AI Act.
Le risorse non mancano. La Commissione europea ha pubblicato linee guida chiare. Regioni e associazioni danno una mano alle PMI. Ci sono corsi di formazione certificati sull’uso responsabile dell’AI, spesso a prezzi accessibili. Molti fornitori di sistemi AI ormai danno ai clienti la documentazione di conformità già pronta.
Formazione e compliance non sono solo obblighi: sono un investimento. Le aziende che dimostrano trasparenza e rispetto delle regole sull’AI conquistano fiducia — clienti e partner lo notano. Alcuni bandi pubblici già chiedono la conformità all’AI Act per partecipare. Insomma, rispettare la legge può diventare un vantaggio competitivo.
Perché questi obblighi sono già operativi?
L’Unione europea ha deciso di partire subito con divieti e formazione, anche se altre regole arriveranno più avanti. Non è una scelta casuale. Qui si parla di diritti fondamentali — la dignità umana viene prima di tutto. Le pratiche vietate dall’articolo 5? Non sono negoziabili. Sono fuori dai valori europei, punto. Non serve aspettare o prendere tempo: quando c’è di mezzo la dignità delle persone, si agisce subito.
La formazione, poi, è il minimo sindacale. Nessuno dovrebbe usare sistemi di AI senza sapere davvero come funzionano, quali limiti hanno o che rischi comportano. Senza una base solida, si rischia di fare danni veri. Per questo il regolamento ha reso obbligatoria la formazione da subito. Non è solo un dettaglio burocratico: è la condizione base per tutto il resto. Se un’azienda usa l’intelligenza artificiale senza aver formato chi la utilizza, sta lavorando in modo irresponsabile, anche se rispetta tutte le altre regole.
Il 13 marzo 2024 il Parlamento europeo ha approvato l’AI Act: 523 voti a favore, 46 contrari, 49 astenuti. È il primo regolamento completo al mondo sull’intelligenza artificiale. L’Unione europea sta dettando gli standard — e, come già visto col GDPR per la privacy, il resto del mondo guarda e spesso si adegua. Le aziende che lavorano su scala internazionale non possono ignorare questi obblighi, anche se non hanno sedi in Europa. Il regolamento vale anche per chi fornisce sistemi AI usati nell’Unione, a prescindere da dove abbia la sede. Per molti, gli standard europei sono già diventati un punto di riferimento globale.
E adesso?
Se nella tua azienda si usa qualunque sistema di intelligenza artificiale, non aspettare. Verifica subito due cose. Primo: nessuno dei sistemi che usi rientra tra le pratiche vietate dall’articolo 5. Se hai strumenti per la categorizzazione biometrica, il riconoscimento delle emozioni o la valutazione del rischio criminalità basata su profilazione, smetti subito e chiedi il parere di un esperto. Secondo: chi usa questi sistemi ha ricevuto una formazione adeguata e documentata? Se la risposta è no, organizza sessioni formative entro i prossimi trenta giorni.
Non trascurare la documentazione. Tieni traccia scritta di tutto: quali sistemi AI usi, chi hai formato, quando e su quali argomenti. Se un’autorità di vigilanza chiede prove di conformità, devi essere pronto a mostrarle. Lo stesso vale se un cliente o un partner vuole garanzie.
Il 2 agosto 2025 entreranno in vigore altri obblighi. Prepararsi ora ti aiuta a gestire meglio il lavoro, senza ritrovarti all’ultimo minuto con l’acqua alla gola. L’AI Act non è un adempimento da spuntare una volta sola. Cambia proprio il modo di gestire la tecnologia in azienda: serve metodo, serve continuità.
