Il commercialista è (quasi sempre) un deployer
La prima cosa da chiarire è il ruolo. L'AI Act (Regolamento UE 2024/1689) distingue tra chi sviluppa e immette sul mercato sistemi di AI — il fornitore, su cui gravano gli obblighi più pesanti — e chi li usa nella propria attività — il deployer, l'utilizzatore. Uno studio che adotta un gestionale con OCR e assistente, uno strumento di classificazione documenti o un generatore di bozze è un deployer, non uno sviluppatore.
Per il commercialista questo significa che gli obblighi sono contenuti e si concentrano su due aree — alfabetizzazione AI del personale e trasparenza — più due temi che nello studio professionale pesano in modo particolare: il segreto professionale e la responsabilità sull'atto firmato. Li vediamo tutti, partendo dagli strumenti concreti.
Riferimenti normativi essenziali
Regolamento UE 2024/1689 (AI Act), in vigore dal 1° agosto 2024, applicazione scaglionata; approccio basato sul rischio; art. 4 alfabetizzazione AI; obblighi di trasparenza per determinati sistemi. Da coordinare con il Regolamento UE 2016/679 (GDPR) e con il segreto professionale del dottore commercialista. Date e atti attuativi vanno verificati sul testo ufficiale e con il proprio Ordine.
Gli strumenti AI dello studio, classe per classe
La regola d'oro dell'AI Act è che la classe di rischio segue la finalità d'uso, non l'etichetta del software. Ecco dove cadono, di norma, gli strumenti tipici di uno studio commercialista.
| Strumento nello studio | Classe tipica | Cosa comporta in pratica |
|---|---|---|
| OCR / estrazione dati da fatture, F24, cedolini, estratti conto | Minimo | Uso libero. Resta il controllo umano sui dati estratti prima di registrarli. |
| Classificazione e archiviazione automatica documenti | Minimo | Uso libero. Attenzione a dove sono conservati i dati (GDPR, conservazione a norma). |
| Assistente su scadenze, clienti, stato pratiche | Limitato | Trasparenza: chi lo usa e, se esposto al cliente, il cliente deve sapere che è un'AI. |
| Generazione bozze di email, lettere, comunicazioni | Limitato | Trasparenza + responsabilità professionale sull'atto firmato. Sempre revisione umana. |
| Chatbot per il cliente (primo livello, raccolta documenti) | Limitato | Il cliente deve poter capire di parlare con un'AI, con possibilità di parlare con una persona. |
| AI per selezione del personale di studio | Possibile alto rischio | Caso limite con obblighi stringenti: valutare con attenzione prima di adottarlo. |
Il messaggio è rassicurante: gli strumenti che fanno il lavoro quotidiano dello studio stanno in fondo alla scala del rischio. L'attenzione si concentra su trasparenza, controllo umano e tutela dei dati — non su procedure di conformità pesanti. L'unico vero caso-limite ad alto rischio per uno studio è l'uso dell'AI per selezionare candidati in fase di assunzione.
Il nodo del commercialista: dati dei clienti e segreto professionale
È qui che il mestiere fa la differenza rispetto a un'azienda qualsiasi. I dati che entrano negli strumenti AI dello studio — anagrafiche, bilanci, documenti fiscali, P.IVA, redditi — non sono solo dati personali ai fini GDPR: sono coperti dal segreto professionale del dottore commercialista. Due tutele che corrono insieme e che l'AI Act non sostituisce.
Il rischio numero uno: il chatbot pubblico
Incollare i dati di un cliente in un chatbot pubblico generico per «farsi aiutare» è la pratica che concentra più rischi: i dati possono uscire dal controllo dello studio, essere conservati su server di terzi ed essere riusati per addestrare il modello. È un problema di AI Act (governance, trasparenza), di GDPR (base giuridica, rapporto col fornitore) e di segreto professionale insieme. La regola pratica: i dati dei clienti restano negli strumenti professionali dello studio, non sui chatbot pubblici.
La conseguenza operativa è semplice: privilegiare strumenti AI integrati nel gestionale, con due caratteristiche da pretendere dal fornitore — dati segregati per studio (le informazioni di ogni studio restano isolate) e l'impegno a non riusare i dati dei clienti per addestrare i propri modelli. Per la parte privacy (base giuridica, accordo col fornitore come responsabile del trattamento) vedi la guida GDPR per studi commercialisti.
La responsabilità resta tua: l'AI non firma l'atto
Un equivoco da sciogliere subito: l'AI non sposta la responsabilità professionale. Una dichiarazione, un parere, una lettera redatti con l'aiuto dell'AI restano sotto la responsabilità di chi li firma. L'AI è uno strumento che accelera, non un professionista che decide.
Questo conta perché gli strumenti AI possono sbagliare e «inventare» (allucinazioni): un riferimento normativo inesistente, un calcolo plausibile ma errato, una sintesi che omette un dettaglio rilevante. Sugli atti che producono effetti per il cliente — dichiarazioni, comunicazioni all'Agenzia, pareri — il controllo umano sul contenuto è sempre necessario. La trasparenza verso il cliente non sostituisce mai questa verifica.
Alfabetizzazione AI del team (art. 4)
È l'obbligo più trasversale e riguarda ogni studio, a prescindere dallo strumento. L'art. 4 del Reg. UE 2024/1689 chiede a fornitori e deployer di garantire un livello adeguato di alfabetizzazione AI del personale. Per uno studio non significa organizzare master, ma assicurarsi che chi usa l'AI sappia:
- cosa sa fare davvero lo strumento, e cosa no;
- che può sbagliare: i risultati vanno sempre verificati;
- quando serve il controllo umano, soprattutto su atti per il cliente;
- cosa si può e cosa non si può inserire — in primis il divieto di dati dei clienti sui chatbot pubblici.
Una sessione interna di un'ora, documentata (data, partecipanti, argomenti), ripetuta nel tempo, è già un punto di partenza ragionevole e dimostrabile. La prova della formazione conta quanto la formazione stessa.
Trasparenza verso il cliente
Per i sistemi a rischio limitato l'AI Act chiede trasparenza: le persone non devono essere ingannate sul fatto di interagire con un'AI. Nello studio si traduce in due accortezze: se metti a disposizione del cliente un assistente automatico (per ricevere documenti o rispondere a domande di primo livello), il cliente deve poterlo capire, con la possibilità di parlare con una persona; e una comunicazione redatta con l'aiuto dell'AI resta, verso il cliente, una comunicazione dello studio, sotto la tua firma e responsabilità.
Cosa fare concretamente: la checklist dello studio
- Hai un inventario degli strumenti AI usati in studio (anche le funzioni AI dentro i software che già usi)?
- Hai classificato il rischio di ciascuno in base all'uso (di norma minimo o limitato)?
- Hai fatto e documentato una sessione di alfabetizzazione AI del team (art. 4)?
- Rispetti la trasparenza quando il cliente interagisce con un'AI?
- I dati dei clienti restano in strumenti professionali con dati segregati, fuori dai chatbot pubblici?
- I fornitori dichiarano la conformità e non riusano i dati per addestrare i modelli?
- C'è sempre revisione umana sugli atti che produci con l'aiuto dell'AI?
- Hai una breve policy interna sull'uso dell'AI, coordinata con privacy e segreto professionale?
Nota operativa
Per uno studio commercialista il primo passo è anche il più economico: una mezza pagina di regole interne (strumenti autorizzati, divieto di dati clienti sui chatbot pubblici, obbligo di revisione umana) più una breve formazione del team. Copre in un colpo l'art. 4, gran parte dei rischi GDPR e il presidio sul segreto professionale.
In sintesi
Per il commercialista l'AI Act non è un muro: gli strumenti che fanno il lavoro quotidiano dello studio sono a rischio basso o limitato. La sostanza si riduce a tre presidi: sapere quali strumenti si usano, tenere i dati dei clienti al sicuro (segreto professionale + GDPR, niente chatbot pubblici), e mantenere il controllo umano sugli atti che si firmano. Chi mette ordine adesso si fa trovare pronto man mano che il calendario di applicazione avanza — e lo trasforma in un argomento di fiducia verso i clienti.
Optlyx Prisma integra l'intelligenza artificiale dentro il gestionale dello studio, con dati segregati per studio: ogni studio lavora su un perimetro isolato, le informazioni dei clienti non vengono riusate per addestrare modelli, e gli strumenti AI — OCR, classificazione, assistente, bozze — sono pensati per il contesto professionale e il segreto professionale. È l'opposto del chatbot pubblico.
L'AI nello studio, con i dati dei clienti al sicuro.
Demo di 15 minuti: OCR su fatture e F24, classificazione documenti, assistente e bozze — integrati nel gestionale, con dati segregati per studio e nel rispetto del segreto professionale. L'opposto di incollare dati dei clienti su un chatbot pubblico.
Prenota demoDomande frequenti
L'AI Act si applica allo studio commercialista?
Sì. Il Reg. UE 2024/1689 si applica a chiunque utilizzi sistemi AI nell'Unione. Uno studio che usa OCR su fatture e F24, classificazione documenti, assistenti o generatori di bozze rientra quasi sempre nel ruolo di deployer, con obblighi più contenuti rispetto al fornitore: alfabetizzazione AI del personale (art. 4) e trasparenza.
Gli strumenti AI di uno studio sono ad alto rischio?
Di norma no: OCR, classificazione, assistenti e bozze ricadono nel rischio minimo o limitato. La classificazione segue la finalità d'uso. Un caso che può diventare ad alto rischio è l'uso dell'AI per selezionare i candidati in fase di assunzione.
Posso usare ChatGPT con i dati dei clienti?
È la pratica più rischiosa. Incollare dati dei clienti su un chatbot pubblico espone su AI Act, GDPR e segreto professionale, perché quei dati possono uscire dal controllo dello studio ed essere riusati per addestrare il modello. Meglio strumenti professionali con dati segregati per studio e un fornitore che non riusa i dati.
L'AI mi solleva dalla responsabilità sull'atto?
No. Una dichiarazione, una lettera o un parere redatti con l'aiuto dell'AI restano sotto la responsabilità professionale di chi li firma. L'AI può sbagliare o inventare: il controllo umano sul contenuto è sempre necessario, soprattutto sugli atti che producono effetti per il cliente.
Cosa devo fare in concreto come commercialista?
Inventario degli strumenti AI, classificazione del rischio in base all'uso, alfabetizzazione AI del team (art. 4) con formazione documentata, trasparenza verso i clienti, scelta di fornitori conformi che non riusano i dati e una breve policy interna — il tutto coordinato con GDPR e segreto professionale.