You are here
Articolo 4, AI Act: l'obbligo di AI Literacy

THE INTEGRITY TIMES

ANALISI  ·  NORMATIVA  ·  GOVERNANCE

Regolamentazione AI  ·  Analisi Normativa

Articolo 4, AI Act: l’obbligo di AI Literacy in vigore dal 2 febbraio 2025

Professionisti, docenti e funzionari pubblici sono soggetti all’obbligo di AI Literacy previsto dall’Articolo 4 del Regolamento (UE) 2024/1689. I controlli iniziano il 3 agosto 2026. Cinque mesi per adeguarsi.

The Integrity Times  ·  Analisi Normativa  ·  Marzo 2026  ·  Fonti: GU UE 2024/1689 · AI Office EU · Legge 132/2025

Dal 2 febbraio 2025, chiunque utilizzi sistemi di intelligenza artificiale in ambito professionale è tenuto per legge a dimostrare un livello sufficiente di alfabetizzazione in materia di IA. Non una raccomandazione. Non una buona pratica. Un obbligo giuridico già operativo — sancito dall’Articolo 4 del Regolamento (UE) 2024/1689 — che riguarda docenti, ricercatori, avvocati, ingegneri, commercialisti e funzionari pubblici. I controlli iniziano il 3 agosto 2026. Restano meno di cinque mesi.

1. Il testo che tutti ignorano

Il Regolamento (UE) 2024/1689, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024 e in vigore dal 1° agosto 2024, è universalmente noto come AI Act. Eppure, tra le sue disposizioni già operative, una è rimasta quasi del tutto sotto silenzio nel dibattito professionale italiano: l’Articolo 4.

«I fornitori e i deployer dei sistemi di IA adottano misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto.»

— Articolo 4, Regolamento (UE) 2024/1689 · AI Act

La norma è entrata in applicazione il 2 febbraio 2025, insieme ai divieti per le pratiche vietate previsti dall’Articolo 5. La definizione operativa di «alfabetizzazione in materia di IA» è fornita dall’Articolo 3, punto 56: si tratta delle competenze, conoscenze e comprensione che consentono ai fornitori, agli utilizzatori e alle persone interessate di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità, ai rischi e ai possibili danni che essa può causare.

In Italia, il quadro normativo è stato completato con la Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025. La legge ha designato AgID (Agenzia per l’Italia Digitale) e ACN (Agenzia per la Cybersicurezza Nazionale) quali autorità nazionali competenti. All’ACN spettano i poteri di vigilanza ispettiva e sanzionatoria. Le sanzioni per la violazione dell’obbligo di AI Literacy (Art. 4) possono arrivare fino a 15 milioni di euro o il 3% del fatturato globale. Il massimale assoluto del Regolamento — 35 milioni di euro o il 7% del fatturato globale — si applica alle violazioni più gravi, ovvero le pratiche vietate ai sensi dell’Articolo 5.

2. La mappa delle scadenze

DataMilestone
1 agosto 2024Entrata in vigore dell’AI Act (Reg. UE 2024/1689)
2 febbraio 2025ATTIVOObbligo AI Literacy (Art. 4) — e divieti pratiche vietate (Art. 5)
2 agosto 2025Obblighi GPAI, sanzioni per pratiche vietate, nomina autorità nazionali
10 ottobre 2025Entrata in vigore Legge italiana n. 132/2025
3 agosto 2026VIGILANZAApplicazione generale AI Act — INIZIO SANZIONI
2 agosto 2027Sistemi alto rischio incorporati in prodotti (Art. 6 § 1)

Il punto cruciale, spesso frainteso, riguarda il regime sanzionatorio: l’obbligo di AI Literacy è già giuridicamente vincolante dal 2 febbraio 2025. La vigilanza e l’enforcement formale scatteranno il 3 agosto 2026, con l’applicazione generale del Regolamento. Ma questo non significa che oggi non vi siano conseguenze. Come chiarisce il documento di Q&A dell’AI Office della Commissione Europea (pubblicato il 13 maggio 2025), in caso di incidente causato da formazione inadeguata, la mancanza di AI Literacy diventa un aggravante rilevante in sede sanzionatoria e può fondare responsabilità civile ai sensi dell’Articolo 2043 del Codice Civile.

3. Chi è obbligato: il perimetro si estende a professionisti e accademia

La lettura più comune dell’AI Act tende a circoscriverlo alle imprese tecnologiche e alle grandi aziende. È una lettura errata. Il perimetro soggettivo è molto più ampio, e include categorie che raramente sono entrate nel dibattito pubblico.

L’Articolo 3 distingue tra «fornitore» (chi sviluppa o immette sul mercato un sistema AI) e «deployer» (chi utilizza un sistema AI sotto la propria autorità). Entrambi sono soggetti all’obbligo di AI Literacy. La definizione di deployer esclude solo l’utilizzo per scopi personali e non professionali. Tutto il resto rientra nell’ambito di applicazione.

Categorie professionali direttamente interessate

  • Docenti universitari e ricercatori che utilizzano strumenti AI per la valutazione degli studenti, la revisione di elaborati o la produzione scientifica
  • Avvocati, commercialisti, notai e consulenti del lavoro che impiegano software AI nelle proprie attività di studio e analisi
  • Ingegneri, architetti e professionisti tecnici iscritti ad Albi che usano AI in progettazione, calcolo strutturale o certificazioni
  • Dirigenti e funzionari di enti pubblici, PA, università e istituti di ricerca che adottano sistemi AI nei processi amministrativi o decisionali
  • Appaltatori, fornitori di servizi e collaboratori esterni che operano con sistemi AI per conto di un’organizzazione

Il documento di Q&A dell’AI Office è esplicito: il novero dei soggetti tenuti include «tutti coloro che, seppure in senso lato, rientrano nell’ambito organizzativo», compresi appaltatori e fornitori di servizi che agiscono come utilizzatori professionali. La Legge italiana 132/2025 introduce inoltre, all’Articolo 13, una norma specifica per le professioni intellettuali: l’uso di sistemi AI è ammesso come supporto, con prevalenza del lavoro intellettuale umano, ma richiede piena consapevolezza degli strumenti impiegati.

4. Il caso accademico: quando la ricerca diventa «alto rischio»

L’accademia merita un approfondimento specifico, per ragioni che vanno oltre il semplice obbligo di formazione. Il problema è strutturale e coinvolge la classificazione del rischio dei sistemi AI in uso nelle istituzioni universitarie.

L’Allegato III del Regolamento elenca i casi d’uso classificati come «ad alto rischio». Tra questi, al punto 3, figurano esplicitamente i sistemi AI destinati all’istruzione e formazione professionale.

Sistemi AI ad alto rischio in ambito universitario e formativo (Allegato III, AI Act)

  • Determinare l’accesso o l’ammissione a istituti di istruzione e formazione professionale
  • Valutare i risultati dell’apprendimento degli studenti, inclusi esami e prove
  • Predeterminare il livello di istruzione al quale un individuo potrà accedere
  • Monitorare e rilevare comportamenti vietati degli studenti durante prove d’esame
  • Valutare le competenze acquisite in contesti di formazione continua o professionale

Questo quadro crea un paradosso che le università italiane non hanno ancora affrontato: chi utilizza — anche indirettamente — strumenti AI per supportare decisioni di ammissione, valutazione o progressione accademica, opera con sistemi potenzialmente ad alto rischio, soggetti non solo all’obbligo di AI Literacy dell’Art. 4, ma all’intero impianto di compliance previsto dal Capo III del Regolamento: governance del rischio, documentazione tecnica, supervisione umana, Fundamental Rights Impact Assessment (FRIA) per gli enti pubblici.

La tensione con la libertà di ricerca è reale. Come osservano diversi esperti di diritto accademico europeo, i requisiti di documentazione previsti per i sistemi ad alto rischio possono rappresentare vincoli significativi per la ricerca sperimentale che impiega AI. La questione resta aperta e irrisolta: gli atenei non possono permettersi di aspettare che arrivino orientamenti dall’esterno.

La trasparenza sull’uso dell’IA non è più soltanto un imperativo etico per i ricercatori: è un requisito giuridico. Chi produce conoscenza scientifica con strumenti AI e non è in grado di documentarne l’impiego, non soddisfa gli obblighi di alfabetizzazione previsti dal Regolamento e rischia di compromettere l’integrità stessa della propria ricerca.

— Osservazione editoriale, The Integrity Times

Non si tratta più di etica discrezionale: si tratta di compliance normativa. La distinzione è sostanziale, con implicazioni concrete in termini di responsabilità istituzionale e personale.

5. Cosa dice concretamente l’AI Office: flessibilità sì, ma con traccia

La Commissione Europea ha pubblicato il 13 maggio 2025 un documento di Q&A ufficiale sull’Articolo 4, disponibile sul portale Digital Strategy dell’UE. Il documento chiarisce alcuni punti fondamentali che smontano sia l’allarmismo eccessivo sia — più pericolosamente — il disimpegno.

Chiarimenti operativi dell’AI Office (Q&A, 13 maggio 2025)

  • Non è richiesta una certificazione formale o test standardizzati: basta un livello «sufficiente, documentabile e verificabile» di alfabetizzazione
  • La formazione non è obbligatoria in senso stretto, ma il solo affidamento alle istruzioni d’uso può risultare insufficiente
  • Non è richiesta una struttura di governance specifica (es. AI Officer), ma è fortemente consigliata
  • Le organizzazioni devono mantenere documentazione interna delle attività formative, anche in forma libera
  • L’approccio deve essere flessibile e contestualizzato: le misure variano in base al ruolo, al livello tecnico e al contesto d’uso
  • In caso di incidente, la mancanza di AI Literacy sarà valutata come fattore aggravante nella determinazione delle sanzioni

La parola chiave è proporzionalità: l’alfabetizzazione richiesta a un docente che usa un correttore AI per i temi è diversa da quella richiesta a un direttore di struttura ospedaliera che adotta un sistema di diagnosi assistita. Il principio, tuttavia, è lo stesso: chi usa sistemi AI in contesti professionali deve sapere cosa sta usando, perché lo usa, e quali rischi comporta.

6. Il nodo delle responsabilità: da chi ci si può aspettare vigilanza?

In Italia, l’ACN — Agenzia per la Cybersicurezza Nazionale — è l’autorità di vigilanza del mercato per i sistemi AI, con poteri ispettivi e sanzionatori. AgID gestisce la notifica degli organismi di valutazione della conformità. Il regime sanzionatorio completo diventerà pienamente operativo con l’approvazione del decreto legislativo delegato previsto dalla Legge 132/2025, Articolo 24.

Tre canali di rischio concreto già operativi

  • Responsabilità civile ex art. 2043 c.c.: in caso di danno causato da un sistema AI usato senza adeguata formazione, la mancanza di AI Literacy elimina la possibilità di invocare l’errore scusabile
  • Responsabilità deontologica e disciplinare: per professionisti iscritti ad Albi (avvocati, ingegneri, medici, commercialisti), l’uso negligente di AI senza le competenze richieste può integrare illeciti disciplinari
  • Impatto assicurativo: le assicurazioni possono contestare la copertura per sinistri in cui si dimostri violazione dell’obbligo formativo ex Art. 4 AI Act

Per i commercialisti, la Legge 132/2025 aggiunge una specificità rilevante: alcuni software avanzati di contabilità e adempimento fiscale potrebbero rientrare nella categoria dei sistemi ad alto rischio, in quanto interagiscono con processi obbligatori verso l’Agenzia delle Entrate. La catena di responsabilità si interrompe tuttavia sempre sul professionista utilizzatore: i fornitori software, tramite i propri disclaimer, scaricano ogni responsabilità sull’operatore finale.

7. Cosa fare: un’agenda operativa per professionisti e istituzioni

La domanda pratica è: come ci si adegua? La risposta dipende dal ruolo, ma il framework di base è comune. Non si tratta di corsi su ChatGPT: si tratta di un processo di consapevolezza strutturata e documentata sull’uso dei sistemi AI nella propria attività professionale.

Agenda operativa: 5 azioni prioritarie entro il 3 agosto 2026

  • CENSIMENTO: Mappare tutti i sistemi AI in uso nella propria organizzazione o studio, compresi quelli adottati informalmente («shadow AI»)
  • CLASSIFICAZIONE: Verificare se uno o più di questi sistemi rientrano nelle categorie ad alto rischio dell’Allegato III dell’AI Act
  • FORMAZIONE: Strutturare un percorso di alfabetizzazione proporzionato al ruolo e al contesto d’uso, anche informale, purché documentabile
  • DOCUMENTAZIONE: Conservare traccia delle attività formative e delle policy interne adottate, in qualunque forma
  • GOVERNANCE: Per le istituzioni (università, PA, studi professionali strutturati), valutare l’istituzione di una figura di AI Governance anche senza obbligo formale

Per i docenti e ricercatori, il punto di partenza è diverso ma urgente: le linee guida sull’uso dell’AI in ambito accademico emesse dai singoli atenei non hanno forza di legge e non sostituiscono gli obblighi del Regolamento. Le università, in quanto deployer istituzionali di sistemi AI, hanno obblighi propri, distinti e aggiuntivi rispetto a quelli dei singoli ricercatori. Nessun ateneo italiano ha ancora reso pubblico un piano di compliance AI Act formalmente allineato al Regolamento.

Conclusione: Il silenzio ha un costo

L’AI Act è legge del presente: l’Articolo 4 è operativo da oltre un anno e l’assenza di sanzioni attive fino ad agosto 2026 non significa assenza di rischio — significa che il tempo per adeguarsi si sta esaurendo. Chi opera in ambito professionale, accademico o istituzionale con strumenti AI senza aver avviato alcun percorso di alfabetizzazione sta già commettendo un inadempimento giuridico.

Il paradosso più profondo è questo: le categorie che più ampiamente utilizzano l’AI in modo sofisticato — ricercatori, accademici, professionisti intellettuali — sono anche quelle che meno hanno avuto accesso a una comunicazione chiara e autorevole su questi obblighi. The Integrity Times ritiene che colmare questo vuoto informativo sia un dovere di sistema, non solo una necessità di compliance individuale.

Fonti e riferimenti normativi

  • Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, 13 giugno 2024 — GU L 2024/1689, 12.7.2024 (ELI: data.europa.eu/eli/reg/2024/1689/oj)
  • AI Office, Commissione Europea — Q&A sull’Articolo 4 (AI Literacy), 13 maggio 2025 — digital-strategy.ec.europa.eu
  • Legge 23 settembre 2025, n. 132 — Disposizioni e deleghe al Governo in materia di intelligenza artificiale — GU Serie Generale n. 228 del 29.9.2025
  • Commissione Europea, Linee guida sulle pratiche vietate di IA, 4 febbraio 2025 (ai sensi dell’AI Act)
  • Allegato III, Regolamento (UE) 2024/1689 — Sistemi di IA ad alto rischio: punto 3, Istruzione e formazione professionale
  • Articolo 99 e 100, Regolamento (UE) 2024/1689 — Regime sanzionatorio
  • Articolo 13, Legge 132/2025 — Uso dell’AI nelle professioni intellettuali
  • Articolo 20, Legge 132/2025 — Designazione AgID e ACN quali autorità nazionali

© The Integrity Times  ·  Riproduzione Riservata  ·  www.theintegritytimes.com