Con l’evolversi del contesto normativo, le organizzazioni che utilizzano le tecnologie e gli strumenti di intelligenza artificiale (AI) sono chiamate a conformarsi a requisiti in continua trasformazione. Tra questi, non possiamo non menzionare l’AI Act (regolamento (UE) 2024/1689), in vigore dal 1° agosto 2024 e che diventerà applicabile per la maggior parte delle sue previsioni dal 2 agosto 2026 (salvo alcune disposizioni riferite a specifiche categorie).

Nel frattempo, alcuni articoli del Regolamento sono già diventati applicabili a partire dal 2 febbraio 2025, tra cui il divieto inerente le cd. “Prohibited AI” e i doveri in materia di AI Literacy (nella traduzione italiana, “alfabetizzazione in AI”).

Gli stati membri, poi, entro il 2 agosto 2025, dovranno nominare le autorità di vigilanza che saranno, tra l’altro, responsabili dell’applicazione di tale requisito.

Come conformarsi, quindi, ad un obbligo a prima vista così “fumoso”?

Partiamo dalle basi: definizione, obiettivi e soggetti obbligati

L’inclusione di un requisito specifico per l’alfabetizzazione in AI all’interno dell’AI Act sottolinea quanto sia importante, in questo contesto, così come in tanti altri che ci hanno ormai “abituati” ai requisiti formativi (come la data protection o il d.lgs. 231/2001), conoscere e comprendere, prima ancora che implementare, cosa una specifica norma vada a regolare. L’articolo 4 del Regolamento impone infatti ai fornitori e agli utilizzatori di sistemi di intelligenza artificiale di “adottare misure per garantire, nella migliore misura possibile, un livello sufficiente di alfabetizzazione in AI tra il proprio personale e le altre persone coinvolte nell’operazione e nell’uso dei sistemi AI per loro conto, tenendo conto delle loro conoscenze tecniche, esperienza, istruzione e formazione, nonché del contesto in cui i sistemi AI verranno utilizzati e delle persone o gruppi di persone su cui i sistemi AI avranno un impatto”.

L’articolo 3 (56) dell’AI Act definisce il concetto di “alfabetizzazione” come “le competenze, conoscenze e comprensioni che consentono ai fornitori, agli operatori e alle persone interessate, tenendo conto dei rispettivi diritti e obblighi del presente regolamento, di implementare in modo consapevole i sistemi di AI, nonché di acquisire consapevolezza circa le opportunità, i rischi dell’AI e i possibili danni che può causare”. Come stabilito dal Considerando 20 del Regolamento, poi, lo scopo principale della AI Literacy è quello di ottenere benefici maggiori dai sistemi di AI, proteggendo, al contempo, i diritti fondamentali, la salute e la sicurezza assicurando al contempo un controllo democratico e fornendo agli operatori e ai fornitori le nozioni necessarie per adottare decisioni adeguate.

L’AI Literacy è un requisito obbligatorio per i provider (fornitori) e deployer (utilizzatori) di sistemi di AI, indipendentemente dal livello di rischio anche se, va da sé, tale requisito assume particolare rilevanza per i sistemi cd. a “Rischio Elevato”, come ricorda il Considerando 91, che prevede che i deployer debbano garantire che le persone incaricate dell’esecuzione delle “istruzioni per l’uso” e della “supervisione umana” di tali sistemi “possiedano le competenze necessarie, in particolare un livello adeguato di alfabetizzazione in materia di intelligenza artificiale, una formazione appropriata e l’autorità richiesta per adempiere correttamente a tali compiti”. Inoltre, non è necessario che l’alfabetizzazione sia standardizzata ma, anzi, è importante, come ricorda lo stesso Regolamento, che questa sia sviluppata considerando i soggetti che interagiscono o che sono esposti ai sopraindicati sistemi.

Inoltre, perché sia davvero efficace e aderente anche a quelli che sono gli obiettivi ultimi dell’AI Act e dello sviluppo di una cd. “trustworthy AI” l’alfabetizzazione dovrà essere considerata anche come uno strumento di incoraggiamento all’interazione critica e responsabile con i sistemi di AI.

Compreso cosa si intende quando si parla di AI Literacy è importante, tenuto conto della prossima designazione delle Autorità di monitoraggio, nonché delle fisiologiche tempistiche di implementazione di un programma di formazione, iniziare ad impostare un proprio “Piano di alfabetizzazione” sin da ora, così da non dover correre ai ripari sotto scadenza (come purtroppo invece spesso accade con tutte quelle normative ad applicazione “dilazionata” nel tempo).

Un primo passo imprescindibile: l’assessment delle proprie esigenze

Senza un programma ben strutturato, gli sforzi per migliorare l’alfabetizzazione in AI rischiano di essere troppo generici, frammentari, insufficienti o disallineati rispetto alle reali esigenze dell’organizzazione. Perché ciò non accada, bisogna quindi partire, innanzitutto, da un assessment delle proprie esigenze.

In questa fase, è fondamentale considerare i ruoli, le conoscenze tecniche, le esperienze, l’istruzione e la formazione del personale interessato. Ulteriori elementi rilevanti sono il settore, l’ambiente, l’industria in cui l’AI viene utilizzata e implementata, l’impatto sui soggetti interessati e i profili di rischio.

In primo luogo, quindi, è rilevante comprendere se l’organizzatore sia un provider e/o un deployer o, ancora, un importatore e se l’attività di gestione e di utilizzo dei sistemi di AI sia – anche o solo – esternalizzata a terzi.

La seconda fase interessa l’identificazione dei ruoli nell’organizzazione, analizzando le diverse tipologie e livelli di interazione con i sistemi di AI, differenziando ad esempio tra i responsabili delle scelte strategiche e di governance; il personale operativo, che può utilizzare strumenti di AI nella propria attività quotidiana; i tecnici, che possono sviluppare sistemi e/o integrare modelli di AI nei sistemi aziendali, nonché i responsabili dell’area legale e della compliance, il cui compito sarà quello di supportare l’azienda nella conformità normativa al Regolamento e alle altre normative applicabili.

Identificati i ruoli, è poi fondamentale assegnare un livello di formazione proporzionato differenziando, ad esempio, in base ai poteri decisionali che hanno i vari soggetti rispetto all’implementazione dei sistemi e al livello di interazione con gli stessi, e, quindi tra chi deve avere maggiori competenze in merito alla gestione del sistema e chi ai rischi e alla relativa mitigazione.

È poi indispensabile una contestualizzazione dei singoli livelli di AI Literacy rispetto ai rischi, al contesto, al settore e all’ambiente dell’organizzazione.

Da ultimo, ma non meno importante, vanno considerate (i) l’opportunità di implementare un meccanismo di monitoraggio e di rivalutazione periodica delle proprie esigenze, tenuto conto del fatto che non solo gli obiettivi aziendali, ma anche le tecnologie di AI sono in continuo cambiamento (e con esse anche le competenze e le conoscenze richieste), e (ii) la possibilità di richiedere un supporto, già nella fase di analisi preliminare, da parte di soggetti esterni all’azienda, che può concretizzarsi nella collaborazione con consulenti di governance dell’AI, legali o esperti tecnici (anche, o forse meglio, ricorrendo a team con expertise differenziante) che potrebbero offrire una formazione approfondita su determinati argomenti, atti a compensare i fisiologici gap che possono risultare data la necessaria multidisciplinarietà della formazione in materia di AI.

Dalle parole ai fatti: impostare il proprio Piano di AI Literacy

Comprese, quindi, le esigenze alla base del proprio “Piano di alfabetizzazione”, questo andrà reso operativo, procedendo per step, fine tuning e personalizzazioni.

A. Definire il target

Innanzitutto, si dovranno definire chiaramente gli obiettivi di apprendimento per i diversi gruppi e ruoli individuati in sede di assessment.

A tal fine ci si potrà basare su

• Valutazioni formali (es. valutazioni del rischio AI, impatti sulla protezione dei dati, standard minimi di conoscenza aziendale);
• Supporto da parte di esperti;
• Coinvolgimento dei soggetti apicali/manager per identificare le competenze necessarie nei rispettivi team. Questo aspetto è particolarmente importante per far emergere eventuali lacune formative o una mancanza di direzione strategica sull’uso dell’AI nell’organizzazione.

Un approccio efficace potrebbe essere anche una metodologia di formazione delle “prime linee”, in cui alcuni stakeholder ricevono una formazione avanzata per poi trasmetterla ai loro team.

B. Pianificare il contenuto e i metodi formativi da utilizzare

La pianificazione dei contenuti deve concentrarsi su un’erogazione efficace ed efficiente, utilizzando materiali adeguati ai diversi stili di apprendimento e contesti organizzativi, mantenendo coerenza nei messaggi chiave che si vogliono trasmettere, in linea con gli obiettivi di AI governance aziendale.

I punti da affrontare, ferma restando la personalizzazione dei contenuti derivante dall’assessment di cui sopra, non potranno prescindere da almeno tre concetti di base:

• Cosa sia l’AI – affinché i soggetti possano riconoscere i sistemi di AI e comprendere i principi fondamentali che regolano la tecnologia e il suo sviluppo nel tempo;
• Come funziona l’AI – per capire, anche solo a livello “basico”, i metodi di sviluppo dell’AI e le criticità associate a questa fase, come l’importanza di dati di training di qualità, la trasparenza e la “spiegabilità”;
• Cosa un sistema di AI possa e non possa fare –per comprendere i principali benefici e rischi di specifici sistemi di AI e poter quindi decidere, con cognizione di causa, quali utilizzare e per quale fine. Questo dovrebbe anche aiutare a comprendere quando non utilizzare un sistema o, comunque, evitare l’ultra-affidamento a sistemi che ancora oggi, anche nelle versioni più avanzate, presentano criticità (come possono essere le allucinazioni per il caso della AI generativa), o a far emergere anche le principali questioni etiche legate all’uso della AI in determinati contesti.

Definiti i contenuti si devono poi valutare, rifacendosi anche all’esperienza formativa aziendale su altre materie/settori, le modalità di fruizione più adatte ai “gruppi di lavoro” individuati e alle loro specifiche esigenze, considerando, ad esempio:

• Video di formazione, generici o dedicati per singolo team/tematica sicuramente i più semplici da integrare nei sistemi di formazione aziendale già in uso,
• Workshop e webinar “live”, per permettere di discutere casi di studio reali e targetizzare meglio l’apprendimento,
• Esercitazioni e simulazioni, una soluzione ottimale per esercitarsi, in particolare per i casi di rischio elevato, ma probabilmente tra i metodi più time-consuming,

o anche un mix di queste soluzioni.

Senza dimenticare, ovviamente, le opportunità di apprendimento congiunto e di condivisione di best practices che possono derivare dalla partecipazione a tavoli di lavoro e conferenze delle proprie associazioni di settore, nazionali ed europee, o le utilissime risorse rese pubbliche all’interno del forum “European AI Alliance”.

Nell’ambito delle esperienze formative, sarà certamente rilevante, indipendentemente dal metodo adottato, documentare le presenze e attestare la partecipazione della popolazione aziendale (anche attraverso test e verifiche periodiche delle conoscenze acquisite, come approfondito di seguito paragrafo D).

C. Allocare risorse e stabilire una tempistica

Tutto quanto sopra premesso è evidente come, per il successo di un programma di alfabetizzazione in AI, le aziende debbano considerare di dover destinare a quest’ultimo risorse adeguate, in termini di budget, tempo che il personale individuato possa destinare alla formazione e personale (o consulenti esterni) per gestire e monitorare il proprio programma.

Si tratta tuttavia, come ben sappiamo, di risorse limitate: starà quindi all’azienda bilanciare i bisogni formativi con i rischi e gli obiettivi aziendali, magari definendo un ordine di priorità e scalando le metodologie e le tempistiche di formazione a seconda del livello di rischio. Un altro utile strumento potrebbe essere, nella stessa ottica, il ricorso ad un approccio graduale, ad esempio formando prima i team ad alto rischio (es. chi lavora con sistemi AI critici), seguiti dagli altri dipartimenti/funzioni.

Tutto questo senza dimenticare la necessità di aggiornamento, che vale per l’assessment iniziale così come per i contenuti formativi definiti sulla base di quest’ultimo, nonché la correlata definizione della frequenza dei momenti formativi.

D. Misurare gli output e adattare il Piano

Un programma efficace di alfabetizzazione in AI, come peraltro altri programmi formativi (di nuovo, l’esperienza con il GDPR e con le normative nazionali in materia di data protection ci vengono in aiuto) deve avere meccanismi per monitorare e valutare i risultati del programma, anche per verificare se la valutazione fatta inizialmente, in termini di strumenti e risorse allocate, sia stata corretta.

Poiché l’alfabetizzazione in AI si basa su risultati concreti, non può essere misurata in termini di formazione erogata, ma (e, anzi, soprattutto) in termini di competenze realmente acquisite, da verificare tramite test e quiz e una verifica periodica della performance “sul campo”.

Il programma deve rimanere flessibile, aggiornandosi in base a nuove sfide e opportunità. È poi essenziale integrare in esso anche quanto appreso a valle di eventuali incidenti, audit, o feedback dei clienti e degli utilizzatori, per garantirne un costante miglioramento e customizzazione sulla base delle esigenze aziendali.

Non è ancora finita: sfide dell’alfabetizzazione in AI e Implicazioni sanzionatorie

Nonostante l’assenza di standard e di codici di condotta relativi al livello di alfabetizzazione, i provider e deployer devono adottare misure adeguate a garantire un livello sufficiente di competenza. Questa necessità si basa sulla possibilità che, in futuro, vengano definite con maggiore chiarezza le competenze richieste e i benchmark da raggiungere. Da indiscrezioni, risulta che entro la fine del 2025 dovrebbe essere resa disponibile una guida volontaria sull’alfabetizzazione in tema di AI. Inoltre, alcuni esempi di pratiche adeguate sono già stati pubblicati nel mese di febbraio 2025, nell’ambito della condivisione di best practices dell’AI Pact.

Sebbene il Regolamento non preveda sanzioni specifiche con riferimento all’obbligo di AI Literacy è plausibile che questo rilevi nel momento in cui gli enti regolatori vadano a valutare, in futuro, l’adozione e l’ammontare di una sanzione per altre violazioni del Regolamento. L’articolo 99 (7) (g) dell’AI Act prevede che l’importo di una sanzione debba essere commisurato al grado di responsabilità del soggetto e alle misure tecniche e organizzative adottate. Pertanto, l’alfabetizzazione, in quanto misura organizzativa, sarà un elemento rilevante in eventuali considerazioni.

Inoltre, l’articolo 85 del medesimo Regolamento, prevede invece la possibilità di presentare un reclamo all’autorità di vigilanza del mercato nel caso di violazioni di disposizioni di legge sull’intelligenza artificiale tra cui, come indicato in premesse, figura esplicitamente l’obbligo di alfabetizzazione.

Qualche considerazione finale

L’AI Literacy è essenziale per garantire la conformità all’AI Act e favorire un utilizzo sicuro, etico e responsabile delle tecnologie di AI. Un’adeguata comprensione delle proprie esigenze di alfabetizzazione contribuisce non solo ad una gestione efficiente dei rischi, ma anche ad una governance solida, e ad un allineamento appropriato con la realtà operativa dell’organizzazione.

Nella attesa che ulteriori indicazioni e strumenti vengano rese disponibili dalle autorità competenti, è essenziale iniziare a costruire e sviluppare le proprie competenze in tema di intelligenza artificiale, senza ricorrere a soluzioni generaliste o vendute come “miracolose”, ma sempre partendo dalla propria esperienza aziendale, dalle proprie esigenze e dai propri obiettivi.