Implicazione dell’Utilizzo dell’IA negli Studi Professionali

Implicazione dell’Utilizzo dell’IA negli Studi Professionali

Con l’entrata in vigore della Legge 23 settembre 2025 n. 132 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”), l’Italia si dota del primo quadro normativo organico in materia di intelligenza artificiale, introducendo obblighi specifici per i professionisti intellettuali che intendono avvalersi di strumenti di IA nello svolgimento della propria attività.

La normativa, operativa dal 10 ottobre 2025, si coordina con il Regolamento europeo sull’intelligenza artificiale (AI Act, Reg. UE 2024/1689) e con il Regolamento generale sulla protezione dei dati (GDPR, Reg. UE 2016/679), creando un sistema integrato di tutele incentrato sulla trasparenza, sulla prevalenza del lavoro intellettuale umano e sulla protezione dei dati personali.

Nello specifico, la normativa:

• prevede un obbligo di informativa ai clienti sull’utilizzo di sistemi di intelligenza artificiale;
• limita l’uso dell’IA ad attività strumentali e di supporto, garantendo la prevalenza del giudizio professionale;
• rafforza le tutele privacy per i dati personali trattati mediante sistemi di IA;
• introduce nuove responsabilità per i professionisti in qualità di titolari del trattamento dati.

◊ L’obbligo di informativa ai clienti: cosa prevede la Legge 132/2025

L’articolo 13 della Legge 132/2025 introduce un nuovo dovere deontologico di trasparenza per tutti i professionisti intellettuali, compresi commercialisti, consulenti del lavoro, avvocati e revisori legali.

L’utilizzo di sistemi di intelligenza artificiale è consentito esclusivamente per attività strumentali e di supporto all’attività professionale.

Per assicurare il rapporto fiduciario tra professionista e cliente, l’informativa deve essere comunicata con linguaggio chiaro, semplice ed esaustivo e deve includere:

• l’indicazione dell’utilizzo di sistemi di IA nell’esecuzione dell’incarico;
• gli strumenti impiegati;
• le finalità specifiche per cui l’IA viene utilizzata;
• le modalità di impiego e i limiti del suo utilizzo;
• la garanzia che le decisioni finali rimangono di esclusiva competenza del professionista;
• il rispetto della normativa sulla protezione dei dati personali (GDPR e Regolamento UE 2024/1689).

Il Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili così come Confprofessioni e l’Associazione Nazionale Forense hanno predisposto dei modelli di clausola da inserire nel mandato professionale.

Un elemento significativo introdotto dal modello CNDCEC è la possibilità per il cliente, con richiesta motivata, di opporsi all’utilizzo dell’intelligenza artificiale nell’esecuzione dell’incarico conferito. In tal caso, il professionista dovrà svolgere l’attività con modalità tradizionali, senza ricorrere a sistemi automatizzati.

◊ Privacy e intelligenza artificiale: responsabilità e adempimenti per il professionista

L’utilizzo di strumenti di intelligenza artificiale comporta il trattamento di dati personali dei clienti e pertanto l’applicazione integrale della disciplina in materia di protezione dei dati personali, con conseguenti obblighi e responsabilità specifiche.

Quando il professionista tratta i dati dei propri clienti nell’esercizio della propria attività, esercitando un potere decisionale autonomo sulle finalità e i mezzi del trattamento, egli è qualificato come titolare del trattamento ai sensi dell’art. 4 n. 7 del GDPR.

In questa veste, il professionista è tenuto al rispetto di tutti i principi e gli obblighi previsti dal Regolamento europeo, con particolare riferimento a:

• liceità del trattamento;
• trasparenza;
• minimizzazione dei dati;
• accountability.

L’inserimento di dati dei clienti su piattaforme di intelligenza artificiale può presentare rilevanti criticità:

1. Utilizzo improprio dei dati;
2. Trasferimento di dati extra-UE;
3. Mancanza di garanzie contrattuali: non tutti i fornitori di IA offrono adeguate garanzie circa la conservazione, la sicurezza e l’utilizzo esclusivo dei dati per le finalità dichiarate;
4. Rischi di data breach: la condivisione di informazioni sensibili con sistemi esterni aumenta il rischio di violazioni della sicurezza dei dati.

Per mitigare i rischi e garantire la conformità normativa, il professionista dovrebbe adottare le seguenti accortezze:

1. Selezione accurata dei fornitori;
2. Verifica delle privacy policy;
3. Minimizzazione dei dati comunicati;
4. Aggiornamento dell’informativa privacy: integrare l’informativa ex art. 13 GDPR con un’indicazione esplicita circa l’utilizzo di sistemi di intelligenza artificiale;
5. Clausole contrattuali standard: per i trasferimenti extra-UE, assicurarsi che siano in essere le clausole contrattuali standard elaborate dalla Commissione europea o altri strumenti di garanzia adeguati;
6. Documentazione dei trattamenti: aggiornare il registro dei trattamenti previsto dall’art. 30 GDPR, includendo le attività svolte mediante intelligenza artificiale;
7. Formazione del personale: garantire che tutti i collaboratori dello studio siano adeguatamente formati sui rischi privacy connessi all’uso dell’IA e sulle procedure da seguire.

◊ Il coordinamento tra normative: Legge 132/2025, AI Act e GDPR

Il quadro normativo italiano in materia di intelligenza artificiale si inserisce in un sistema più ampio di tutele a livello europeo. La Legge 132/2025 segna l’avvio di una nuova fase nell’utilizzo dell’intelligenza artificiale da parte dei professionisti. Nei prossimi mesi saranno emanati decreti attuativi che definiranno ulteriori aspetti operativi e settoriali.

Il Regolamento UE 2024/1689 (AI Act)

L’AI Act, entrato in vigore il 1° agosto 2024, costituisce il primo framework regolatorio al mondo specificamente dedicato all’intelligenza artificiale. Esso adotta un approccio basato sul rischio, classificando i sistemi di IA in quattro categorie:

• Rischio inaccettabile: sistemi vietati (es. manipolazione subliminale, social scoring);
• Alto rischio: sistemi soggetti a requisiti rigorosi (es. selezione del personale, valutazione del credito);
• Rischio limitato: sistemi soggetti a obblighi di trasparenza (es. chatbot);
• Rischio minimo: sistemi senza obblighi specifici (es. videogiochi, filtri antispam).

L’AI Act prevede sanzioni significative per le violazioni, che possono arrivare fino al 7% del fatturato globale annuo per le infrazioni più gravi, superando anche il regime sanzionatorio del GDPR (che prevede sanzioni fino al 4% del fatturato).

L’AI Act lascia espressamente impregiudicato il GDPR e richiede che i sistemi di intelligenza artificiale che trattano dati personali rispettino entrambe le normative. Ciò comporta:

• obbligo di valutazione d’impatto sulla protezione dei dati (DPIA) per i sistemi ad alto rischio;
• garanzie di supervisione umana nelle decisioni automatizzate;
• implementazione dei principi di privacy by design e privacy by default;
• coordinamento tra le autorità di vigilanza (Garante Privacy e Autorità per l’IA).

La Legge italiana affianca l’AI Act intervenendo su aspetti specifici del contesto nazionale e su settori non espressamente coperti dalla normativa unionale. In particolare:

• disciplina l’utilizzo dell’IA nelle professioni intellettuali (art. 13);
• promuove l’alfabetizzazione digitale e la formazione sull’IA;
• introduce modifiche al Codice Penale per contrastare gli abusi (es. diffusione di deepfake);
• delega al Governo l’adozione di decreti attuativi entro 12 mesi per l’adeguamento completo dell’ordinamento.

◊ Opportunità e prospettive per gli studi professionali

Nonostante i nuovi obblighi e le responsabilità introdotte, l’intelligenza artificiale rappresenta un’opportunità concreta per migliorare l’efficienza e la qualità dei servizi professionali, automatizzando attività ripetitive, migliorando la ricerca normativa, ottimizzando l’analisi dei dati, aumentando la produttività e riducendo il rischio di errore.

L’intelligenza artificiale non sostituisce il professionista, ma ne potenzia le capacità operative. Le valutazioni critiche, le decisioni professionali e le responsabilità relative all’incarico restano sempre e integralmente in capo al professionista, garantendo la prevalenza del lavoro intellettuale umano rispetto al contributo automatizzato.

La normativa italiana, ponendo la persona al centro e garantendo la prevalenza del lavoro intellettuale, consolida questo principio.

§ § § § § §

Non esitate a contattarci per qualsiasi approfondimento o per ricevere supporto nell’adeguamento alle nuove disposizioni normative.

Cordiali saluti,

Sara Razzi

La presente circolare è frutto di una collaborazione tra intelligenza artificiale e competenza umana, con revisione e cura editoriale di Sara Razzi.