Dalle slide alla realtà

15.10.25 11:55

Cosa dice la legge, dove sbagliano le aziende e come fare formazione che funziona

Indice dei contenuti

​01. Gli obblighi formativi che (forse) non conosci

Il paradosso italiano in tema di formazione: investiamo migliaia di euro in software di compliance, ma quanto formiamo le persone che devono usare quei sistemi? Spesso siamo portati a risparmiare o a farla "tanto per farla".


La compliance parte da persone che lavorano bene.


Le aziende che formano davvero le proprie persone guadagnano di più, attraggono meglio e perdono meno dipendenti.

Ma anche la normativa è chiara. Ti parleremo di due settori in particolare: privacy e intelligenza artificiale. 

01.1.  GDPR: la formazione è obbligatoria? (spoiler: sì)

Il GDPR prevede che i dati personali devono essere trattati in modo lecito, corretto e trasparente (art.5). Ma chi tratta concretamente i dati? Le persone. 

Per questo gli articoli 29 e 32 sono chiari: chiunque abbia accesso ai dati personali "non può trattare tali dati se non è istruito in tal senso dal titolare". Il considerando 39 parla esplicitamente dell'importanza di "sensibilizzare il personale che partecipa alle operazioni di trattamento". E l'articolo 39 include tra i compiti del DPO proprio di sorvegliare sulla "sensibilizzazione e formazione del personale".

La formazione GDPR deriva dall'accountability, dall’obbligo di dimostrare di avere adottato misure adeguate. Compresa la formazione del personale.


Quali contenuti dovrebbe esserci in un corso di formazione efficace per PMI?

    1. trattamento quotidiano dei dati:conoscere le nozioni di base, come usare e condividere dati di clienti, fornitori o colleghi in modo conforme, da e-mail con allegati sensibili o fogli Excel condivisi

    2. riservatezza in ufficio (o in smart working): attenzione a documenti lasciati nella stampante, schermate visibili, videochiamate

    3. sicurezza informatica di base: come riconoscere e-mail sospette, link falsi e truffe digitali

    4. gestione delle password e dei dispositivi aziendali: regole semplici ma spesso ignorate, come password robuste, blocco automatico, uso corretto di USB e cloud

    5. gestione errori o data breach: come segnalare subito, perché agire rapidamente può evitare danni e sanzioni.
01.2. Intelligenza artificiale: usarla con intelligenza (umana)

Usare sistemi di IA non significa inserire un prompt e fare copia-incolla. Serve consapevolezza. 

L'AI Act e la legge italiana sull’IA introducono obblighi formativi per chi sviluppa o usa sistemi di IA.


Cosa prevede

Chi riguarda

Cosa significa in pratica

Riferimenti normativi

Obbligo di alfabetizzazione in materia di IA

tutte le organizzazioni che sviluppano, forniscono o usano (“deployer”) sistemi di IA (anche PMI e studi professionali)

  • garantire che chi usa l’IA sappia come funziona e quali limiti ha
  • consentire di comprendere le opportunità, rischi e i possibili danniche i sistemi di IA possono causare (es. per allucinazioni, discriminazioni)
  • saper interpretare e verificare gli output
  • conoscere le regole da rispettare a tutela dei diritti di terzi (es. su privacy, diritto d’autore)da rispettare a tutela dei diritti di terzi (es. su privacy, diritto d’autore)

AI Act (Reg. UE 2024/1689) in vigore dal 2.2.2025

Formazione come obiettivo nazionale

tutti i luoghi di lavoro, pubblici e privati

  • promuovere una cultura di uso responsabile dell’IA
  • assicurare il controllo umano sulle decisioni automatizzate

Legge italiana n.132/2025 in GU del 25.9.2025

Indicazioni pratiche UE

tutte le persone che si occupano del funzionamento e dell'uso dei sistemi di IA per conto di fornitori/datori di lavoro

Indicazioni sul contenuto minimo di un programma di alfabetizzazione, ad esempio:

a) garantire una comprensione generale

b) considerare il ruolo dell’organizzazione

c) considerare i rischi

d) costruire concretamente le azioni di alfabetizzazione, considerando differenze nelle conoscenze nel personale e il contesto

FAQ Commissione UE “AI Literacy” (maggio 2025 agg. agosto 2025)


Scrivici se hai bisogno di una consulenza
​02. I quattro errori più comuni nella formazione in azienda

Se fare formazione non è un obbligo formale ma una questione culturale, allora occorre prestare attenzione a non commettere alcuni errori comuni:

    1. il corso "tanto per farlo" (e la firma del dipendente che non ricorda nulla)
    2. la formazione "una tantum" (e poi il mondo cambia e la formazione risale ad anni fa)
    3. le slides da 100 pagine che nessuna persona in azienda legge (più avanti ti raccontiamo, invece, del Game based learning)
    4. formare tutti allo stesso modo (dal CEO all'impiegat*)

E poi un errore bonus: non documentare. È importante avere un registro della formazione, attestati, test di verifica in caso di verifiche dell’Autorità.

​03. Game based learning: come fare formazione che funzione (anche nelle piccole realtà)

Breve, mirata, specifica al contesto. E soprattutto coinvolgente.

Hai mai sentito parlare di Game based learning?

È un metodo di apprendimento che usa strumenti di gioco per condurre progetti formativi.

Non occorre essere multinazionali, funziona anche nelle PMI (noi l’abbiamo inserito nei nostri progetti).

Funziona perché:

  • stimola la memoria (ricordiamo meglio ciò che viviamo attivamente)
  • aumenta la partecipazione (non si “subisce”, ma si diventa protagonisti)
  • crea competizione e collaborazione.


I numeri. Una ricerca della University of Colorado Denver Business School su 6.400 partecipanti ha mostrato che chi si forma con videogiochi o simulazioni ottiene:

  • + 11% di conoscenze teoriche
  • + 14% di competenze (soft e hard skill)
  • + 9% di ritenzione nel tempo dei contenuti 

rispetto a chi ha seguito una formazione tradizionale.

Lo studio spiega che il vantaggio nasce dal coinvolgimento attivo: il gioco stimola curiosità, attenzione e partecipazione. E funziona ancora meglio se è integrato con altri strumenti formativi.

 

Qualche strumento pratico?

  • quiz interattivi
  • “escape room” su casi di privacy o sicurezza
  • simulazione di scenari realistici da risolvere (es. un data breach).
Scopri i nostri corsi di formazione
​04. Checklist operativa: i primi passi da domani

Da ultimo, qualche semplice indicazione pratica su cosa fare per una formazione che serve:

  • mappate chi deve essere formato (e su cosa): individuate il personale che tratta dati personali o usa strumenti di IA
  • definite priorità e scadenze: da dove partire e preparate comunque un piano formativo
  • scegliete il formato giusto e una formazione che abbia contenuti concreti su esempi pratici (es. phishing, password, gestione documenti, uso sicuro dell’IA)
  • parlate anche di rischi, legali e reputazionali (sanzioni GDPR, bias da IA)
  • documentate tutto: presenze, materiali e date
  • monitorate le novità normative: la formazione non è una volta per tutte.

Iscriviti alla nostra newsletter

Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.

Compliance is in the air - la newsletter che ti guida nel mondo della compliance
Trovi la nostra Informativa privacy quiUtilizziamo Substack per inviarti la newsletter. Substack per consentirci di inviarti la newsletter ti chiede solo l'indirizzo mail. Iscrivendoti, acconsentirai all'uso dei dati in accordo con la loro Privacy Policy e Termini di utilizzo. Potrai decidere in ogni momento di non ricevere più comunicazioni cliccando sul link per disiscriverti presente in fondo a ogni mail che riceverai.
Iscriviti!
Categorie -
articoli
Tag -
contratti privacy compliance policy regolamenti aziendali