Studio Sottocasa
STUDIO LEGALE SOTTOCASA
Informatica e Diritto

AI literacy e AI Act: perché formare studenti, docenti e lavoratori sull’intelligenza artificiale è ormai una misura di compliance

Introduzione: l’alfabetizzazione all’IA non è più solo un tema culturale

Per molto tempo l’espressione “alfabetizzazione digitale” è stata usata soprattutto in senso educativo: imparare a usare gli strumenti informatici, riconoscere i rischi della rete, comprendere il funzionamento essenziale delle tecnologie. Con l’intelligenza artificiale, però, il discorso cambia di livello. Non si tratta soltanto di saper usare un nuovo software, ma di comprendere sistemi capaci di generare testi, immagini, sintesi, raccomandazioni, classificazioni e supporti decisionali che possono incidere su persone, organizzazioni e rapporti giuridici.

La presentazione, il 18 giugno 2026, dell’AI Literacy Framework per l’istruzione primaria e secondaria da parte della Commissione europea e dell’OCSE va letta in questa prospettiva. La notizia non riguarda solo la scuola, né può essere ridotta a un’iniziativa pedagogica. Il punto più rilevante, per chi osserva il rapporto tra IA e diritto, è che l’alfabetizzazione all’intelligenza artificiale sta diventando una componente ordinaria della governance giuridica dei sistemi IA.

Il collegamento con l’AI Act è diretto. L’art. 4 del Regolamento (UE) 2024/1689 prevede che provider e deployer di sistemi di IA adottino misure per assicurare, al meglio delle proprie possibilità, un livello sufficiente di alfabetizzazione in materia di IA del personale e delle altre persone che operano o usano sistemi IA per loro conto. La norma richiede di considerare conoscenze tecniche, esperienza, istruzione, formazione, contesto di utilizzo e persone o gruppi sui quali i sistemi sono destinati a incidere.

In altri termini, l’AI literacy non è un corso generico da collocare una volta l’anno in un calendario formativo. È una misura organizzativa che deve essere proporzionata al modo in cui l’intelligenza artificiale entra nella vita concreta di scuole, imprese, pubbliche amministrazioni, studi professionali e fornitori tecnologici.

La notizia: il framework Commissione europea/OECD per la scuola

Secondo la pagina ufficiale dell’AI Literacy Framework, l’iniziativa è rivolta alla scuola primaria e secondaria e mira a fornire competenze che permettano agli studenti di interagire con l’IA, creare con l’IA, gestirla e contribuire a orientarne l’uso. Il framework è pensato per docenti, dirigenti scolastici, policy maker, progettisti dell’apprendimento, genitori e caregiver.

La struttura indicata dalla pagina ufficiale è significativa. Le competenze sono organizzate in quattro domini: Engage with AI, Create with AI, Manage AI e Shape AI. Non è una scansione puramente tecnica. L’idea di fondo è che l’utente, soprattutto se giovane, non debba limitarsi a “usare” strumenti automatici, ma debba sviluppare capacità critica rispetto al loro funzionamento, ai loro limiti, ai loro rischi e al loro impatto sociale.

Questo profilo è centrale per il diritto. Un sistema di IA generativa può produrre contenuti errati, convincenti ma infondati, discriminatori, lesivi della reputazione, non rispettosi del diritto d’autore o incompatibili con le regole sul trattamento dei dati personali. In ambito scolastico può incidere sul rapporto educativo, sulla valutazione, sull’autonomia dello studente e sulla protezione dei minori. In ambito lavorativo può incidere su produttività, controllo, responsabilità disciplinare, segreti aziendali e dati dei clienti.

Il framework, dunque, non va confuso con una fonte vincolante. Non è una legge, non sostituisce l’AI Act, non attribuisce automaticamente conformità a chi lo segue. Tuttavia, è un segnale istituzionale forte: l’Unione europea sta costruendo un ecosistema in cui l’uso dell’IA richiede competenze diffuse e documentabili, non soltanto autorizzazioni tecniche o contratti con i fornitori.

Il quadro normativo: art. 3, n. 56, e art. 4 AI Act

Il Regolamento (UE) 2024/1689 definisce l’AI literacy all’art. 3, n. 56, come l’insieme di competenze, conoscenze e comprensione che consentono a provider, deployer e persone interessate, tenendo conto dei rispettivi diritti e obblighi, di effettuare un impiego informato dei sistemi di IA e di acquisire consapevolezza delle opportunità, dei rischi e dei possibili danni.

L’art. 4 traduce questa definizione in un obbligo operativo. Provider e deployer devono adottare misure per assicurare, al meglio delle proprie possibilità, un livello sufficiente di alfabetizzazione IA del personale e degli altri soggetti che trattano operativamente sistemi IA per loro conto. La disposizione non è limitata ai sistemi ad alto rischio. Riguarda, in linea generale, chi fornisce o utilizza sistemi di IA nel perimetro applicativo del regolamento.

La Commissione, nelle Q&A dedicate all’AI literacy, chiarisce alcuni punti importanti. Primo: non esiste un obbligo generale di misurare formalmente il livello di conoscenza dei dipendenti. Secondo: non è imposto un modello unico di formazione. Terzo: non è richiesta una specifica certificazione per dimostrare la conformità. Quarto: le misure devono essere costruite partendo dal ruolo dell’organizzazione, dal tipo di sistema utilizzato, dai rischi connessi e dal contesto in cui l’IA opera.

Questo significa che un piccolo studio professionale che usa un assistente IA per bozze di testi, una scuola che introduce strumenti generativi per la didattica, una società che impiega sistemi di scoring dei clienti e un fornitore che sviluppa modelli destinati a terzi non hanno lo stesso bisogno formativo. Hanno, però, un obbligo comune: non possono trattare l’IA come una scatola nera consegnata agli utenti senza istruzioni sostanziali.

Cosa significa davvero “livello sufficiente” di AI literacy

La parola “sufficiente” è volutamente elastica. Non indica un livello astratto valido per tutti, ma un risultato proporzionato al contesto. Una formazione sufficiente per un dipendente che usa un chatbot per tradurre testi interni può non esserlo per un responsabile HR che utilizza strumenti di analisi automatizzata dei curricula. Una formazione sufficiente per uno studente della scuola secondaria non coincide con quella richiesta a un dirigente scolastico che approva l’adozione di una piattaforma IA.

Nelle Q&A della Commissione emerge un approccio pragmatico. Le organizzazioni dovrebbero anzitutto capire quali sistemi di IA usano, per quali finalità e con quali rischi. Dovrebbero poi distinguere il proprio ruolo: sviluppano e mettono a disposizione sistemi, oppure li utilizzano come deployer? Dovrebbero infine adattare l’attività formativa alle persone coinvolte, alla loro esperienza e agli effetti che il sistema può produrre su terzi.

Un esempio semplice chiarisce il punto. Se uno studio legale utilizza un sistema generativo per predisporre bozze di clausole contrattuali, l’AI literacy non può limitarsi a spiegare come scrivere un buon prompt. Deve includere almeno la consapevolezza dei rischi di allucinazione, della necessità di verifica professionale, dei limiti di confidenzialità, del trattamento dei dati personali, del segreto professionale e della responsabilità finale dell’avvocato.

Allo stesso modo, se una scuola usa un assistente IA per personalizzare esercizi o supportare attività didattiche, docenti e dirigenti devono comprendere non solo le funzionalità dello strumento, ma anche le regole su dati personali, minori, trasparenza verso famiglie e studenti, affidabilità degli output, rischio di dipendenza cognitiva e possibilità di discriminazioni o stereotipi incorporati nei risultati.

Scuole: l’AI literacy come responsabilita educativa e organizzativa

Il collegamento tra AI literacy e scuola è immediato, ma delicato. L’istruzione è uno dei settori in cui l’intelligenza artificiale promette personalizzazione, accessibilità e supporto agli apprendimenti. Al tempo stesso, è un settore in cui sono coinvolti minori, dati sensibili o comunque meritevoli di particolare cautela, rapporti fiduciari e processi valutativi.

Nel contesto scolastico, formare all’IA significa almeno tre cose. La prima è formare gli studenti a un uso critico: comprendere che un output generato automaticamente non è una verità, che una risposta fluida può essere sbagliata, che delegare interamente il ragionamento a un sistema riduce l’autonomia dell’apprendimento. La seconda è formare i docenti: capire quando l’IA può essere uno strumento didattico utile e quando, invece, può alterare valutazioni, privacy o relazione educativa. La terza è formare l’organizzazione scolastica: dirigenti, referenti privacy, amministratori e fornitori devono sapere quali decisioni documentare prima dell’adozione di una piattaforma.

In Italia, questo profilo si intreccia inevitabilmente con il GDPR e con gli orientamenti del Garante privacy. L’uso di strumenti IA in classe può comportare trattamento di dati personali, profilazione, conservazione di elaborati, uso di account, trasferimenti verso fornitori esterni e produzione di report. Non ogni sperimentazione è vietata, ma ogni sperimentazione seria richiede governance.

Il framework Commissione/OECD può quindi diventare un utile strumento di cultura organizzativa. Non basta, tuttavia, per dimostrare conformità. Una scuola che voglia introdurre IA dovrebbe predisporre policy interne, informative chiare, valutazioni sui fornitori, regole sull’uso dei dati, formazione differenziata per docenti e studenti, e, quando necessario, valutazioni d’impatto privacy. L’alfabetizzazione serve proprio a evitare che la scelta tecnologica preceda la comprensione giuridica del suo impatto.

Imprese e studi professionali: dal corso generico alla prova di accountability

Il tema non riguarda soltanto la scuola. L’art. 4 AI Act parla di provider e deployer, dunque coinvolge imprese, enti pubblici, studi professionali e organizzazioni che usano sistemi IA nel proprio lavoro. La domanda non è più se i collaboratori usino l’intelligenza artificiale, ma se l’organizzazione sappia quali strumenti vengono usati, con quali dati, per quali attività e sotto quale controllo.

Qui entra in gioco un punto giuridico essenziale: la formazione può diventare prova di accountability. Nel linguaggio del GDPR, accountability significa capacità di dimostrare di aver adottato misure adeguate e proporzionate. Nel contesto AI Act, pur con una disciplina diversa, la logica è simile: non basta affermare di usare l’IA responsabilmente, occorre poter mostrare misure concrete.

Per un’impresa, una policy sull’IA generativa senza formazione rischia di rimanere lettera morta. Per uno studio legale, autorizzare l’uso di strumenti di sintesi o redazione senza regole su segreto professionale, verifica delle fonti e protezione dei dati può esporre a responsabilità deontologiche, contrattuali e professionali. Per un consulente, affidare analisi o report a sistemi automatici senza controllo umano può produrre errori difficili da giustificare al cliente.

La Commissione, nelle Q&A, sottolinea che in molti casi affidarsi soltanto alle istruzioni d’uso del sistema può essere insufficiente. Questo passaggio è importante: leggere il manuale del fornitore non equivale a costruire competenza organizzativa. La formazione deve essere tradotta nel contesto concreto: chi usa lo strumento, quali output produce, chi li valida, quali dati possono essere inseriti, quali dati non devono mai essere caricati, quali decisioni non possono essere delegate alla macchina.

Rapporti con GDPR, responsabilita civile e contratti con i fornitori

L’AI literacy ha anche una funzione di raccordo tra diverse aree del diritto. In primo luogo, si collega alla protezione dei dati personali. Un dipendente che non comprende il funzionamento essenziale di un chatbot può inserire dati di clienti, pazienti, lavoratori o controparti in un servizio non autorizzato. Un docente non formato può caricare elaborati di studenti o informazioni sulle difficoltà di apprendimento senza verificare ruoli privacy, basi giuridiche e tempi di conservazione. Un professionista può trasmettere a un sistema esterno informazioni coperte da riservatezza.

In secondo luogo, l’AI literacy incide sulla responsabilità civile. Se un’organizzazione utilizza sistemi IA in modo negligente e da tale uso deriva un danno, la mancanza di formazione potrebbe essere valorizzata come indice di carenza organizzativa. Non si tratta di affermare automaticamente che ogni errore dell’IA generi responsabilità. Si tratta di osservare che, in un giudizio ex post, il tema diventerà prevedibilmente questo: l’organizzazione aveva compreso il rischio? Aveva formato le persone? Aveva dato istruzioni? Aveva previsto controlli?

In terzo luogo, la formazione incide sui contratti con i fornitori. Acquistare o adottare un sistema IA senza disciplinare assistenza, documentazione, limiti d’uso, responsabilità, aggiornamenti, sicurezza, trattamento dati e supporto formativo può lasciare l’organizzazione esposta. L’AI literacy non riguarda solo gli utenti finali, ma anche chi negozia e valuta le soluzioni tecnologiche.

Questo è particolarmente vero nei rapporti tra cliente e provider. Se il fornitore consegna una piattaforma complessa, il deployer deve poterla comprendere abbastanza da usarla correttamente; ma il provider deve anche mettere a disposizione informazioni adeguate. L’alfabetizzazione, quindi, diventa un elemento della catena di responsabilità: non sostituisce gli obblighi di trasparenza, sicurezza o conformità, ma li rende effettivamente praticabili.

Cosa non va sovrastimato

Occorre evitare due equivoci. Il primo è pensare che il framework Commissione/OECD sia una nuova fonte obbligatoria. Non lo è. È uno strumento istituzionale di orientamento, rilevante sul piano culturale e operativo, ma distinto dagli obblighi giuridici previsti dall’AI Act.

Il secondo equivoco è pensare che basti organizzare un corso per essere conformi. Anche questo sarebbe riduttivo. L’art. 4 AI Act chiede misure adeguate al contesto. Una formazione standardizzata, uguale per tutti, priva di collegamento con i sistemi effettivamente usati dall’organizzazione, può avere scarso valore probatorio e operativo.

La vera domanda non è: “abbiamo fatto formazione?”. La domanda più corretta è: “le persone che usano o gestiscono sistemi IA per conto dell’organizzazione hanno competenze sufficienti rispetto a quei sistemi, a quei rischi e a quei soggetti interessati?”. Questa è la differenza tra adempimento formale e governance sostanziale.

Sintesi operativa: cosa dovrebbero fare scuole, imprese e professionisti

Una risposta prudente dovrebbe partire da una mappatura degli strumenti IA effettivamente usati. Molte organizzazioni scopriranno che l’IA è già entrata nei processi tramite strumenti di produttività, traduzione, assistenza clienti, redazione documentale, ricerca, meeting transcription o analisi dati.

Dopo la mappatura, occorre distinguere i ruoli: chi decide l’adozione, chi configura il sistema, chi lo usa, chi controlla gli output, chi risponde verso terzi. A quel punto la formazione deve essere calibrata: non tutti devono sapere le stesse cose, ma ciascuno deve sapere ciò che serve per usare lo strumento senza esporre l’organizzazione e le persone interessate a rischi non governati.

Infine, è opportuno conservare evidenze documentali: policy, registri formativi, materiali distribuiti, istruzioni interne, valutazioni sui rischi, procedure di escalation, regole sui dati da non inserire nei sistemi e criteri di verifica umana degli output. Non per accumulare carta, ma per dimostrare che l’organizzazione ha affrontato il rischio in modo serio.

La notizia del nuovo AI Literacy Framework presentato da Commissione europea e OCSE merita attenzione perché mostra con chiarezza la direzione del diritto europeo dell’intelligenza artificiale. L’IA non si governa soltanto con divieti, autorizzazioni e clausole contrattuali. Si governa anche formando le persone che la usano.

Per scuole, imprese, pubbliche amministrazioni e studi professionali, l’AI literacy è ormai un presidio di responsabilità. Non sostituisce la compliance privacy, non elimina i rischi degli output errati e non equivale automaticamente a conformità all’AI Act. Ma senza alfabetizzazione adeguata, ogni policy sull’IA rischia di restare astratta.

La soluzione è trattare la formazione sull’IA come parte integrante della governance: mappare gli strumenti, distinguere i ruoli, valutare i rischi, formare in modo mirato e conservare evidenze. In questa prospettiva, l’AI literacy non è un lusso educativo, ma una misura giuridica di prudenza organizzativa.