Il 2 febbraio 2025 sono divenute applicabili alcune disposizioni dell’AI Act.
Oltre alle disposizioni relative alle pratiche di AI vietate, è divenuto applicabile anche l’art. 4 che sancisce l’obbligo di assicurare che il personale e, in generale, le persone che utilizzano sistemi di intelligenza artificiale possiedano un “livello sufficiente di alfabetizzazione in materia di AI”.
A differenza di altri obblighi previsti dall’AI Act, l’obbligo di cui all’art. 4 trova applicazione a prescindere dal livello di rischio che i sistemi di AI presentano e riguarda tanto i fornitori quanto i deployer.
Quale contenuto abbia nello specifico l’obbligo di AI literacy, l’AI Act tuttavia non lo dice.
Già l’AI Office, nell’ambito dell’AI Pact – l’iniziativa tesa a facilitare la compliance all’AI Act da parte delle organizzazioni aderenti – aveva fornito il suo contributo alla definizione dei contenuti dell’obbligo in questione attraverso l’istituzione del c.d. Living Repository (una raccolta delle best practice in materia di AI literacy adottate da organizzazioni di dimensioni diverse e operanti in diversi settori).
Ma i chiarimenti attesi sul contenuto dell’obbligo di AI literacy sono pervenuti soltanto il 12 maggio scorso, con la pubblicazione delle FAQ della Commissione Europea.
L’obbligo di AI literacy è già in vigore. Il primo, fondamentale, chiarimento fornito dalla Commissione è che l’obbligo di AI literacy è già applicabile (ma l’eventuale violazione potrà essere sanzionata soltanto a decorrere dal 2 agosto 2026).
Tutte le organizzazioni che impiegano sistemi di AI, dunque, già devono definire e attuare programmi di AI literacy, comprese – come si premura di specificare la Commissione – le organizzazioni i cui dipendenti usano ChatGPT.
Il concetto di AI literacy. La Commissione ritorna, poi, sul concetto di AI literacy, richiamando la definizione di cui all’art. 3(56) dell’AI Act, ai sensi del quale per AI literacy si intende l’insieme delle competenze, conoscenze e consapevolezze necessarie per utilizzare i sistemi di sistemi di AI in modo informato, riconoscendone allo stesso tempo opportunità, rischi e potenziali pregiudizi.
Non solo dipendenti. Le FAQ ricordano che, come stabilito dall’art. 4 dell’AI Act, l’AI literacy non è richiesta soltanto con riguardo al personale dipendente ma con riguardo a tutte le persone – dipendenti e non – che si occupano per conto di fornitori e deployer del funzionamento e dell’utilizzo dei sistemi di AI. Oltre al personale dipendente, vi rientrano, sulla base delle indicazioni della Commissione, anche appaltatori, fornitori di servizi e clienti, nella misura in cui impieghino sistemi di AI forniti o comunque messi a disposizione dall’organizzazione.
Sul piano contrattuale, sarà particolarmente importante per i deployer prevedere nei contratti con i fornitori di sistemi di AI un obbligo di assistenza nella definizione e attuazione dei programmi di AI literacy richiesti dall’art. 4 dell’AI Act.
Un obbligo “flessibile”. Non sono previsti né saranno previsti requisiti stringenti per i programmi di AI literacy. Ciò che conta è che il programma tenga conto dei seguenti quattro aspetti:
assicurare una comprensione generale dell’AI (e cioè fornire ai destinatari del programma gli strumenti per comprendere cos’è l’AI, come funziona, come viene utilizzata all’interno dell’organizzazione e quali opportunità nonché quali rischi comporta);
calibrare l’alfabetizzazione sul ruolo dell’organizzazione (e cioè considerare se l’organizzazione agisce quale fornitore o quale deployer);
garantire la comprensione dei rischi e delle relative misure atte a mitigarli;
personalizzare il programma, offrendo contenuti differenziati sulla base, da un lato, delle conoscenze tecniche, delle esperienze e del livello di istruzione e formazione dei destinatari e, dall’altro, del contesto in cui i sistemi di AI sono destinati ad essere utilizzati.
Le FAQ precisano che comunque non si può prescindere, nella definizione dei contenuti del programma, dagli aspetti etici e legali (l’AI Act dovrà perciò essere oggetto di formazione).
Nessun requisito di forma è previsto. La Commissione suggerisce di prendere spunto dalle best practice del Living Repository. Tra queste si segnalano in particolare:
differenziazione della formazione in base al ruolo (ad esempio, corsi di formazione generali a tutto il personale e corsi di formazione specifici per singole funzioni aziendali; formazione mirata su architetture algoritmiche, gestione del rischio e compliance normativa per il personale “tecnico” e formazione su concetti di base e casi pratici per il personale “non tecnico”; etc.);
metodologia multicanale (ad esempio, piattaforme di e-learning, webinar, incontri in presenza, etc.);
creazione di framework interni e toolbox (ad esempio, realizzazione di piattaforme per accompagnare i destinatari nell’uso responsabile dell’AI).
Non è neanche previsto un numero di ore minimo né è richiesto l’ottenimento di certificazioni. È però raccomandabile – sottolinea la Commissione – documentare l’erogazione delle attività formative e di ogni altra iniziativa rilevante attraverso un apposito registro interno.
Ovviamente non basta, per adempiere all’obbligo di cui all’art. 4 dell’AI Act, richiedere al personale di prendere visione delle istruzioni d’uso dei sistemi di AI impiegati dall’organizzazione.
Se hai bisogno di assistenza e supporto nell’adempimento dell’obbligo di AI literacy, rivolgiti ai tuoi professionisti di riferimento.
