Articolo 4 AI Act: cosa cambia per le PMI italiane nel 2026
L'articolo 4 dell'AI Act è in vigore dal febbraio 2025. Cosa significa concretamente per una PMI italiana nel 2026, quali sono i rischi reali, e cosa devi fare per essere a posto.
L'articolo 4 dell'AI Act è la norma che fa rumore in più aziende italiane. Non perché sia particolarmente complessa — anzi, sta in poche righe — ma perché tocca chiunque oggi usi anche solo ChatGPT in azienda. E sono praticamente tutti.
A un anno dalla sua entrata in vigore (2 febbraio 2025), nel 2026 abbiamo le idee più chiare su come si applica davvero in Italia, quali sono i rischi reali per chi non si muove, e cosa basta fare in concreto per essere a posto.
TL;DR
- L'articolo 4 obbliga ogni azienda che usa o sviluppa sistemi AI a garantire un livello sufficiente di AI literacy al proprio personale.
- "Sufficiente" non è definito quantitativamente nella norma: spetta all'azienda dimostrare di aver fatto un percorso ragionevole.
- Le sanzioni dirette per la violazione dell'art. 4 non sono ancora state irrogate in Italia, ma il rischio operativo si concretizza nel momento in cui un dipendente compie un errore con l'AI: a quel punto l'azienda deve provare di averlo formato, altrimenti la responsabilità ricade interamente su di lei.
- Per essere a posto basta un percorso documentato di 3-5 ore per dipendente, comprensivo di formazione, valutazione e attestato individuale.
Cosa dice davvero l'articolo 4
Il testo del Regolamento UE 2024/1689 (AI Act) all'articolo 4 stabilisce che:
"I fornitori e i deployer di sistemi di IA garantiscono, nella misura massima possibile, un livello sufficiente di alfabetizzazione in materia di IA al proprio personale e ad altre persone che si occupano del funzionamento e dell'utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, l'esperienza, l'istruzione e la formazione, e il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati."
Tradotto in linguaggio normale: se in azienda usate o fornite AI, le persone che ci lavorano (dipendenti, collaboratori, anche fornitori esterni quando agiscono per conto vostro) devono avere un livello di consapevolezza adeguato. La parola chiave è adeguato al contesto: un commerciale che usa Copilot per scrivere offerte non ha bisogno della stessa formazione di un data scientist che addestra modelli.
Chi è "deployer" secondo l'AI Act
L'errore più frequente è pensare "non sviluppo AI, non mi riguarda". Il regolamento distingue tra:
- Provider — chi sviluppa o mette sul mercato un sistema AI (OpenAI, Microsoft, Google, ma anche una software house italiana che sviluppa un modello custom).
- Deployer — chi usa un sistema AI sviluppato da altri nell'ambito della propria attività professionale.
Nel 2026 praticamente ogni PMI italiana è almeno un deployer. Esempi:
- Un commerciale usa ChatGPT per scrivere proposte? L'azienda è deployer.
- Il marketing lavora con Copilot in Word/Excel? Deployer.
- Il tuo CRM (HubSpot, Salesforce, Zoho) ha funzionalità AI attive? Deployer.
- Sul sito hai un chatbot? Deployer.
- Le tue Google Ads o Meta Ads usano Performance Max o Advantage+ (che sono AI)? Deployer.
- L'HR usa un tool di screening CV con AI? Deployer.
Se rispondi sì anche a uno solo di questi, l'articolo 4 si applica a te.
Cosa significa "alfabetizzazione sufficiente" in concreto
La norma non fissa un numero di ore minime, né un programma obbligatorio. Spetta all'azienda dimostrare di aver costruito un percorso ragionevole. Sulla base della prassi che si è consolidata in Italia nel primo anno di applicazione, un percorso minimo accettabile copre questi temi:
- Cos'è l'AI — concetti base, differenza tra AI generativa, machine learning, sistemi predittivi.
- Come funziona, in linea di massima — dati di addestramento, allucinazioni, bias.
- Quali rischi comporta — privacy, proprietà intellettuale, discriminazioni algoritmiche, errori sistematici.
- Quali regole si applicano — cenni essenziali su AI Act, GDPR e responsabilità.
- Cosa fare e cosa non fare — best practice operative per il proprio ruolo.
A seconda del livello di responsabilità della persona, la profondità di ogni tema varia. Un dipendente operativo ha bisogno di 2-3 ore; un manager o un decision maker di 4-6 ore.
I rischi reali per chi non si muove
Spesso ci viene chiesto: "Ma davvero arriva il garante se non formo nessuno?" La risposta onesta è: probabilmente no, in modo proattivo. L'art. 4 non è oggetto di controlli a tappeto in questo momento.
I rischi reali sono però altri, e tutti già documentati su casi italiani concreti del 2025-2026.
Rischio reputazionale e clienti. Sempre più clienti grandi (banche, assicurazioni, PA) chiedono in fase di RFP o gara una dichiarazione AI Act: il cliente vuole sapere come la PMI fornitrice gestisce i propri sistemi AI. Senza un percorso documentato, sei tagliato fuori.
Rischio in caso di incidente. Se un dipendente incolla dati sensibili di un cliente in ChatGPT (succede ogni giorno) e si crea un data breach, l'art. 4 entra di prepotenza nella valutazione di colpa: l'azienda non può difendersi dicendo "non sapevo" se non ha formato il personale. La responsabilità si sposta dalla persona all'organizzazione.
Rischio in caso di danno a terzi. Se l'AI fa un errore (es. uno screening CV discriminatorio, una valutazione sbagliata, un'offerta commerciale con allucinazione che il cliente prende per buona) e il danno arriva in tribunale, chi non ha un piano di alfabetizzazione documentato è difficilmente difendibile.
Sanzioni dirette. Per l'art. 4 specifico le sanzioni dirette del regolamento partono da 15 milioni di euro o il 3% del fatturato annuo globale, applicabile dal 2 agosto 2026. Per una PMI italiana si traduce nel parametro percentuale: 3% del fatturato è una cifra significativa.
Come dimostrare l'alfabetizzazione: cosa serve davvero
Per essere "a posto" su un controllo o su una richiesta di un cliente serve avere:
- Un registro formativo: chi ha fatto cosa e quando.
- Attestati individuali per ogni persona formata, con data, ore, contenuti, esito.
- Materiali del percorso (slide, registrazioni, contenuti e-learning) archiviati e accessibili.
- Un documento di policy AI interno che esplicita cosa l'azienda permette e cosa vieta.
Il pezzo critico sono gli attestati individuali: una formazione "fatta in plenaria senza tracciamento" non vale nulla in caso di contestazione. Serve sapere chi ha fatto il corso, quando, e che ha effettivamente compreso i contenuti (di solito con un quiz finale).
Quanto tempo e quanto costa, in Italia, nel 2026
Le opzioni sul mercato italiano oggi sono tre:
Soluzione 1 — fai-da-te. Mandi le persone su qualche corso gratuito YouTube o LinkedIn Learning. Costo: zero. Problema: nessun attestato individuale tracciato, nessuna garanzia di copertura completa, in caso di controllo non vale nulla.
Soluzione 2 — formazione in aula. Chiami un consulente o un docente che fa una giornata in azienda. Costo: 1.500-3.500 € a giornata, copri 20-30 persone. Problema: scalabilità, tracciamento, pochi nuovi assunti formati dopo l'evento.
Soluzione 3 — corso e-learning con tracciamento. Acquisti un percorso strutturato che ogni dipendente fa nei propri tempi, con quiz finale e attestato automatico. Costo: 100-200 € a licenza per soluzioni serie. Vantaggi: scalabilità, tracciamento certo, riassegnabile a nuovi assunti.
Per le PMI italiane la soluzione 3 è quella che bilancia meglio costi, robustezza giuridica e onere di gestione.
Cosa fare entro fine 2026
Se la tua azienda non ha ancora fatto nulla, queste sono le 4 azioni da chiudere entro l'anno:
- Mappa chi usa AI, anche di rimbalzo. Probabilmente sono più persone di quante pensi.
- Scegli un percorso formativo con attestato individuale tracciato. Non importa quale, importa che sia documentato.
- Scrivi una policy AI interna di una pagina, con cosa è permesso e cosa no (template gratuiti reperibili online, oppure chiedi a un consulente).
- Archivia tutto in una cartella accessibile, con le date, gli attestati e i materiali.
Quattro passi. Tre mesi se ti muovi, una settimana se sei già strutturato.
Vuoi metterti in regola velocemente?
IA in Azienda è il corso e-learning AI Act pensato per le PMI italiane: 24 moduli da 8-12 minuti ciascuno, quiz finale, attestato individuale verificabile pubblicamente. Si attiva in 24 ore, ogni dipendente lo fa nei propri tempi.
Scopri il corso AI Act · Vedi i pacchetti per la tua azienda