Prima di partire: in che ruolo sei
Tutto il resto dipende da una sola domanda. L’AI Act (Regolamento UE 2024/1689) distingue tra chi sviluppa e immette sul mercato sistemi di intelligenza artificiale — il fornitore, su cui gravano gli obblighi più pesanti — e chi semplicemente li usa nella propria attività — il deployer, l’utilizzatore. Uno studio che adotta un assistente AI nel gestionale, un classificatore di documenti o un generatore di bozze è, quasi sempre, un deployer.
Questo è una buona notizia: gli obblighi del deployer sono molto più contenuti. In pratica, per uno studio, si riducono a due aree — l’alfabetizzazione AI del personale e la trasparenza verso le persone — più una sana igiene organizzativa. I cinque passi che seguono coprono esattamente questo.
Riferimenti normativi essenziali
Regolamento UE 2024/1689 (AI Act), in vigore dal 1° agosto 2024, applicazione scaglionata su più anni; approccio basato sul rischio; art. 4 sull’alfabetizzazione in materia di AI; obblighi di trasparenza per determinati sistemi. Da coordinare sempre con il Regolamento UE 2016/679 (GDPR), che continua ad applicarsi a ogni trattamento di dati personali svolto tramite AI. Date e atti attuativi vanno verificati sul testo ufficiale.
Step 1 — Fai l’inventario degli strumenti AI
È il passo zero, e quello che quasi tutti saltano. Apri un foglio e scrivi, onestamente, tutti gli strumenti AI che entrano nel lavoro dello studio. Non solo quelli “ufficiali”: spesso ce ne sono più di quanti si pensi.
- Assistenti e copiloti integrati nei gestionali e negli applicativi
- Strumenti di classificazione e archiviazione automatica dei documenti
- Generatori di testo per email, lettere, bozze di atti
- OCR ed estrazione dati da fatture, F24, cedolini, estratti conto
- E soprattutto: i chatbot pubblici che il personale usa “di nascosto” dal browser
Per ciascuno annota tre cose: chi lo usa, per fare cosa e quali dati ci finiscono dentro. Quest’ultima colonna è la più importante: è quella che, nello Step 2, ti dirà dove sono i veri rischi.
Step 2 — Classifica il rischio (in base all’uso, non al prodotto)
Per ogni voce dell’inventario, assegna una classe di rischio. La regola d’oro: conta la finalità d’uso, non l’etichetta del software. Lo stesso strumento può essere a rischio minimo in un contesto e alto rischio in un altro.
| Classe | Cosa comporta | Tipico per lo studio? |
|---|---|---|
| Inaccettabile | Vietato. Non si può usare. | No — riguarda social scoring, manipolazione, sorveglianza biometrica indiscriminata. |
| Alto rischio | Obblighi stringenti su dati, documentazione, sorveglianza umana. | Solo casi limite — es. usare l’AI per selezionare candidati in fase di assunzione. |
| Limitato | Obblighi di trasparenza: far sapere che si parla con un’AI o che un contenuto è generato. | Sì — chatbot e assistenti conversazionali, generatori di testo. |
| Minimo | Uso libero, nessun obbligo specifico. | Sì — classificazione documenti, OCR, antispam, completamento testo. |
Nella stragrande maggioranza dei casi le voci del tuo inventario cadranno in limitato o minimo. Segna in rosso solo le eventuali eccezioni ad alto rischio (sono rare) e i casi in cui dati di clienti finiscono su strumenti pubblici non controllati: sono le due righe su cui concentrare l’azione.
Step 3 — Forma il team (alfabetizzazione AI, art. 4)
È l’obbligo più trasversale, e quello che riguarda ogni studio a prescindere dallo strumento usato. L’art. 4 del Reg. UE 2024/1689 chiede a fornitori e deployer di garantire un livello adeguato di alfabetizzazione AI del personale. Non significa organizzare master: significa assicurarsi che chi usa l’AI sappia almeno:
- cosa sa fare davvero lo strumento, e cosa no;
- che può sbagliare e “inventare” (allucinazioni): va sempre verificato;
- quando serve il controllo umano, soprattutto su atti che producono effetti per il cliente;
- cosa si può e cosa non si può inserire in uno strumento AI.
Una sessione interna di un’ora, documentata (data, partecipanti, argomenti), ripetuta nel tempo, è già un punto di partenza ragionevole — e dimostrabile in caso di necessità. La “prova” conta quanto la formazione stessa.
Step 4 — Sistema la trasparenza verso i clienti
La seconda area che ti riguarda. Il principio è semplice: le persone non devono essere ingannate sul fatto di avere a che fare con un’AI. In concreto, due regole:
- se metti a disposizione del cliente un assistente automatico (es. per ricevere documenti o rispondere a domande di primo livello), il cliente deve poterlo capire — con la possibilità di parlare con una persona;
- una comunicazione importante redatta con l’aiuto dell’AI resta sotto la tua responsabilità professionale: la trasparenza non sostituisce mai il controllo umano sul contenuto che firmi.
Nota operativa
Il quick win che chiude due fronti in un colpo solo: mezza pagina di regole interne sull’uso dell’AI + una breve formazione. Insieme coprono l’art. 4 (alfabetizzazione) e gran parte dei rischi GDPR legati all’uso disinvolto dei chatbot pubblici. È il primo passo, ed è anche il più economico.
Step 5 — Governance minima e scelta dei fornitori
L’ultimo passo mette ordine e previene i problemi futuri. Due mosse:
- Una policy interna di mezza pagina: strumenti autorizzati, cosa si può/non si può inserire (in primis il divieto di incollare dati dei clienti su chatbot pubblici non autorizzati), obbligo di revisione umana sugli atti, nome del referente interno. Coordinala con la documentazione privacy che già hai.
- Scegliere bene i fornitori: è la leva più potente. Strumenti che dichiarano la conformità e che non riusano i dati dei clienti per addestrare i propri modelli assorbono “a monte” gran parte degli obblighi, lasciando a te solo la parte interna.
Su questo l’AI Act e il GDPR viaggiano insieme: i dati dei clienti dati in pasto a uno strumento AI restano dati personali a tutti gli effetti. Per la parte privacy — base giuridica, accordo col fornitore come responsabile del trattamento — vedi la guida GDPR per studi commercialisti.
La tabella di marcia a 30 giorni
Se vuoi una sequenza concreta da seguire, eccola. È pensata per uno studio di dimensioni ordinarie e va tarata sulla tua realtà.
| Quando | Cosa fai | Risultato |
|---|---|---|
| Settimana 1 | Inventario degli strumenti AI (Step 1): foglio con chi-usa-cosa-quali-dati. | Mappa completa di ciò che davvero gira in studio. |
| Settimana 2 | Classificazione del rischio (Step 2) e individuazione delle righe “rosse”. | Sai dove sono i pochi rischi reali su cui agire. |
| Settimana 3 | Sessione di formazione del team (Step 3) + bozza di policy interna (Step 5). | Art. 4 coperto e dimostrabile; regole d’uso scritte. |
| Settimana 4 | Trasparenza verso i clienti (Step 4), verifica fornitori e chiusura della policy. | Studio allineato e pronto man mano che il calendario avanza. |
Gli errori da evitare
I tre passi falsi più comuni
1) Il chatbot pubblico “selvaggio”. Personale che incolla dati dei clienti su strumenti pubblici senza policy: è il rischio numero uno, su AI Act e GDPR insieme. 2) Confondere AI Act e GDPR. Non si “assorbono”: sono due binari da rispettare entrambi. 3) Rincorrere le date. Meglio mettere ordine con calma adesso che inseguire scadenze all’ultimo minuto: gli obblighi che ti riguardano (alfabetizzazione e trasparenza) sono tra i primi a diventare operativi e tra i più gestibili.
Checklist finale
- Hai un inventario aggiornato di tutti gli strumenti AI usati in studio, con dati e finalità?
- Hai classificato il rischio di ciascuno in base all’uso, marcando le eccezioni?
- Hai fatto (e documentato) una sessione di alfabetizzazione AI del team?
- Rispetti la trasparenza quando il cliente interagisce con un’AI?
- Hai una policy interna di mezza pagina sull’uso dell’AI?
- I tuoi fornitori dichiarano la conformità e non riusano i dati per addestrare i modelli?
- Hai eliminato l’uso di chatbot pubblici con dati dei clienti?
In sintesi
Adeguarsi all’AI Act, per uno studio, non è un progetto: sono cinque passi e un mese di attenzione. Sapere cosa usi, formare chi lo usa, essere trasparente con i clienti e scegliere fornitori seri che tengano i dati al sicuro. Chi mette ordine adesso si farà trovare pronto man mano che il calendario di applicazione avanza — e lo farà con un vantaggio competitivo, perché usare l’AI in modo conforme e trasparente è anche un argomento di fiducia verso i clienti.
Optlyx Prisma integra l’intelligenza artificiale dentro il gestionale, con dati segregati per studio: ogni studio lavora su un perimetro isolato, le informazioni dei clienti non vengono riusate per addestrare modelli, e gli strumenti AI sono pensati per il contesto professionale. È l’opposto del chatbot pubblico — l’AI dove serve, senza disperdere i dati dei clienti fuori dal controllo dello studio. Buona parte degli Step 4 e 5 di questa guida, così, è già coperta “a monte”.
Vuoi l’AI nello studio fatta nel modo giusto?
Demo di 15 minuti: AI integrata nel gestionale con dati segregati per studio. Assistente, classificazione documenti, generazione bozze — senza disperdere i dati dei clienti su chatbot pubblici.
Prenota demoDomande frequenti
Da dove parte uno studio per adeguarsi all’AI Act?
Dal censimento onesto degli strumenti AI realmente usati: assistenti, classificazione documenti, generatori di testo, funzioni AI già dentro i gestionali e i chatbot pubblici usati dal personale. È il passo zero: senza inventario non si può classificare il rischio né stabilire le priorità.
Quanto tempo serve per mettersi in regola?
Per uno studio di dimensioni ordinarie le mosse essenziali — inventario, classificazione del rischio, una breve formazione del team e una mezza pagina di policy interna — sono realizzabili nell’arco di poche settimane. In questa guida proponiamo una tabella di marcia a 30 giorni.
Qual è l’errore più frequente da evitare?
L’uso “selvaggio” di chatbot pubblici in cui il personale incolla dati dei clienti senza policy né consapevolezza. È il rischio più sottovalutato e tocca insieme l’AI Act (governance e trasparenza) e il GDPR (dove finiscono quei dati, e se vengono riusati per addestrare i modelli).
Bisogna nominare un responsabile dell’AI nello studio?
L’AI Act non impone una figura formale per chi è semplice utilizzatore (deployer) di sistemi a rischio basso o limitato. È però buona prassi individuare un referente interno che tenga aggiornato l’inventario, curi la formazione e sia il punto di contatto sulle questioni AI: un presidio leggero, proporzionato alla dimensione dello studio.
Cosa scrivo nella policy interna sull’uso dell’AI?
In mezza pagina: quali strumenti sono autorizzati, cosa si può e cosa non si può inserire (in particolare il divieto di incollare dati dei clienti su chatbot pubblici non autorizzati), l’obbligo di revisione umana sugli atti che producono effetti per il cliente, e chi è il referente interno. Va coordinata con la documentazione privacy già esistente.