L’obbligo di formare il personale è già operativo dal febbraio 2025, e con il 2 agosto si avvicina la fase dei controlli.

AI Act

Il 2 agosto entra in vigore gran parte dei regolamenti dell’AI Act, prima legge al mondo dedicata all’IA, voluta dall’Unione Europea. Tra i suoi obiettivi c’è quello di  garantire un livello adeguato di alfabetizzazione sull’intelligenza artificiale ai dipendenti di qualunque azienda che la utilizzi, un obbligo, quello di formazione, già in vigore dal 2 febbraio 2025. Tramite la formazione, il personale deve essere in grado di riconoscere i dati sensibili da non inserire nei sistemi di AI, di verificare le risposte ottenute, specialmente quando trattano temi rilevanti, e di non delegare completamente le decisioni aziendali. L’obiettivo è arginare il fenomeno dello “shadow AI” che, secondo i dati, tocca il 27% dei dipendenti: lavoratori che hanno adottato strumenti AI senza approvazione aziendale, esponendo l’impresa a fughe di dati.

Secondo l’analisi di AIDAPT, startup italiana specializzata nell’Agentic AI, il 65% delle imprese non ha ancora fornito alcuna direttiva ai propri dipendenti sull’uso dell’AI e meno del 20% ha avviato un percorso di alfabetizzazione su queste tecnologie. Il risultato è che una buona fetta delle aziende italiane non è ancora conforme ai requisiti dell’AI Act. Il regolamento prevede sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per le violazioni più gravi, con importi proporzionalmente ridotti per PMI e startup; per gli altri inadempimenti le soglie sono inferiori. Il vero rischio quotidiano, però, non è tanto la multa quanto la diffusione di dati riservati e le  conseguenze  legali che ne derivano.

“Mettersi in regola con l’AI Act protegge l’azienda dalle multe e i clienti dalle fughe di dati. Ma c’è di più: la stessa formazione che rende conformi dà alle persone gli strumenti per usare l’AI con consapevolezza: sapere cosa inserire e cosa no, quando fidarsi e quando verificare. Si lavora meglio e con più sicurezza, e gli errori più comuni si evitano. È un obbligo che, affrontato bene, diventa un vantaggio per tutti. E partire non richiede mesi: per questo abbiamo deciso di fornire alcune linee guida concrete”, commenta Lorenzo Scoppolini Massini, co-founder di AIDAPT.

Cinque primi passi verso la conformità all’AI Act

Se la formazione riguarda chi usa l’AI ogni giorno, mettere l’azienda in regola spetta a chi decide: titolari, responsabili, chi gestisce strumenti e dati. AIDAPT ha individuato cinque passaggi concreti da cui partire:

  1. Mappare gli strumenti di AI già in uso: serve avere un inventario di tutto ciò che si utilizza davvero in azienda, inclusi i servizi adottati dai dipendenti senza autorizzazione, dai chatbot alle funzioni di AI integrate nei gestionali. È in questi sistemi che si concentra la parte maggiore del rischio. L’inventario va rivisto ogni volta che si adotta un nuovo strumento o ne viene cambiata la finalità.
  2. Sostituire gli account personali con licenze aziendali: meglio utilizzare strumenti tramite un account autorizzato dal datore di lavoro, con condizioni d’uso note e dati trattati in modo trasparente, per poter controllare anche dove finiscono le informazioni. Dare ai dipendenti accessi approvati è anche il modo più semplice per far emergere ciò che oggi viene usato di nascosto.
  3. Formare il personale: questo è l’adempimento più urgente, perché l’obbligo è già operativo. Bastano percorsi brevi e concreti, calibrati sui diversi ruoli e ripetuti nel tempo, purché documentati. In caso di controllo bisogna poter dimostrare di averli svolti, e nel lavoro quotidiano servono a evitare gli errori più comuni.
  4. Definire un regolamento interno sull’uso: poche regole chiare e messe per iscritto, vale a dire quali strumenti sono ammessi, quali dati non devono mai uscire dall’azienda e chi approva i nuovi casi d’uso. Un documento breve, conosciuto da tutti, vale più di una policy lunga che nessuno legge.
  5. Verificare dove finiscono i dati: per ogni strumento va chiarito se le informazioni restano nell’Unione Europea e se possono alimentare l’addestramento dei modelli. È il punto in cui l’AI Act si salda con il GDPR, e quello su cui una realtà rischia di più, soprattutto quando in gioco ci sono dati di clienti o dipendenti.