L'AI Act non è solo per le big tech
Se in azienda qualcuno usa ChatGPT, Copilot, Gemini o strumenti simili per lavoro, la tua azienda è quasi certamente un deployer. E per i deployer l'obbligo di alfabetizzazione AI è già in vigore dal 2 febbraio 2025 — con enforcement pieno e gran parte delle sanzioni in maturazione verso agosto 2026.
Non è un tema da rimandare al consulente. È una decisione di direzione: governare l'uso dell'AI, non lasciarlo alla buona volontà dei singoli.
Sei un deployer?
Rispondi sì o no.
- In azienda qualcuno usa ChatGPT, Copilot, Gemini o strumenti simili per scrivere, riassumere, analizzare o produrre contenuti?
- L'AI è usata in processi professionali — anche solo da singoli reparti o singoli manager?
- I dipendenti possono inserire dati, documenti, email, contratti o report in strumenti AI?
- Non hai ancora una policy d'uso, una formazione documentata e responsabilità chiare?
Un solo «sì» e l'obbligo ti riguarda. «Deployer» (art. 3.4) è chiunque usi un sistema di AI nei propri processi professionali — non serve svilupparla, basta usarla.
Cosa dice davvero l'art. 4
L'art. 4 dell'AI Act introduce l'obbligo di alfabetizzazione AI: già in vigore dal 2 febbraio 2025 per tutti i deployer, indipendentemente dal livello di rischio. Non chiede «fai un corso»: chiede competenza adeguata al ruolo, al contesto d'uso e ai rischi concreti.
In termini operativi, alfabetizzazione significa:
- capire cosa può e non può fare un sistema AI;
- conoscere i rischi su dati, riservatezza, errori e bias;
- sapere quando l'output va verificato;
- distinguere usi ammessi, usi vietati e usi da autorizzare;
- mantenere il controllo umano sui processi rilevanti;
- documentare formazione, regole e responsabilità.
Il punto non è bloccare l'AI. È usarla con metodo.
In vigore ora, enforcement imminente
L'obbligo è già attivo; l'enforcement pieno e gran parte delle sanzioni maturano verso agosto 2026. Oggi è il momento per mettersi in regola — prima che il tema diventi urgente, costoso e difensivo.
L'art. 99 prevede, per le violazioni rilevanti, sanzioni fino a 15 milioni di euro o 3% del fatturato mondiale; per le PMI si applica l'importo minore. Per un'azienda da 10 milioni di fatturato, l'esposizione può arrivare a circa 300.000 €. Non serve fare terrorismo: serve prendere atto che l'AI è già nei processi, e che ora va governata.
Da noi c'è un secondo strato
La Legge n. 132/2025, in vigore dal 10 ottobre 2025, aggiunge obblighi settoriali sopra l'AI Act UE — incluso il dovere di informare i lavoratori sull'uso dell'AI. Il quadro è a doppio strato:
- AI Act europeo — obbligo di alfabetizzazione AI per i deployer;
- normativa italiana — obblighi aggiuntivi, incluso informare i lavoratori.
Per una PMI significa una cosa concreta: non basta acquistare uno strumento o lasciarlo usare ai team. Serve un impianto minimo di governance.
La checklist minima
Usala come primo controllo interno.
- Policy d'uso AI — strumenti ammessi, dati da non inserire, attività da approvare, output da verificare, responsabili per reparto.
- Formazione documentata — chi, su cosa, quando, con quale profondità, per quali ruoli.
- Ruoli e responsabilità — chi decide, chi approva, chi controlla; un responsabile della governance AI.
- Registro degli usi AI — strumento, reparto, finalità, dati trattati, controllo umano, stato (autorizzato / in valutazione / da sospendere).
Alfabetizzazione del team in quattro passi
Mappa gli usi reali
DirezionePrima di formare, scopri cosa succede davvero: quali strumenti, per quali attività, con quali dati, con quale supervisione. Parti dai processi veri, non dalla teoria.
Dividi i livelli
HR / FormazioneBase per tutti gli utenti: principi, rischi su dati e riservatezza, controllo degli output, regole aziendali. Avanzato per chi decide e integra l'AI: valutazione strumenti, responsabilità del deployer, governance.
Collega la formazione ai ruoli
RepartiL'alfabetizzazione è proporzionata: HR, Finance, Marketing, Commerciale e Direzione hanno rischi diversi. La domanda non è «abbiamo fatto formazione?» ma «ciascuno ha quella giusta per l'uso che fa?».
Documenta tutto
ComplianceProgramma, materiali, partecipanti, date, ruoli, attestazioni. La documentazione non è un archivio morto: è la prova che l'azienda ha preso controllo del tema.
Non serve burocrazia. Serve che ogni persona abbia la formazione giusta per l'uso che fa dell'AI — e che resti tracciata.
Governare l'AI, non subirla
Le aziende stanno valutando l'AI, ma incontrano due ostacoli concreti. Secondo ISTAT 2025, tra le imprese che la valutano:
Sono due facce dello stesso problema. Senza competenze, l'AI resta sperimentazione casuale; senza governance, diventa rischio. L'alfabetizzazione riduce il rischio e crea valore: chiarisce dove usare l'AI, protegge dati e know-how, abilita decisioni più rapide — porta l'azienda da uso spontaneo a uso controllato.
La checklist compilabile + il piano formativo
Te li mando via email, in versione editabile da usare con il tuo team.
Sono Michele Pastorello. Ho lavorato 13 anni nell'industria, tra Argo Tractors e John Deere, con un MBA CUOA. Dal 2020 costruisco sistemi di automazione per l'impresa — prima dall'interno, poi su prodotti e workflow AI proprietari. Advisor indipendente: ti preparo a governare l'AI, non ti vendo software.
Fonti: EU AI Act (Reg. UE 2024/1689), artt. 3, 4, 99 · FAQ Commissione UE su AI literacy · Legge italiana n. 132/2025 · ISTAT «Imprese e ICT 2025» · Osservatorio Artificial Intelligence, Politecnico di Milano. Materiale informativo, non consulenza legale.
L'obbligo lo chiudi in una giornata.
Il workshop Bottega 19 è la giornata operativa per mettere il team in regola e costruire la governance: obblighi AI Act per deployer, alfabetizzazione per ruoli, policy, registro, responsabilità — su casi concreti della tua azienda.
Guarda i workshop →