AI Act per studi professionali 2026: obblighi, rischi, cosa fare

Q: L'AI Act si applica agli studi commercialisti?

Sì. Il Regolamento UE 2024/1689 (AI Act) si applica a chiunque immetta sul mercato, metta in servizio o utilizzi sistemi di intelligenza artificiale nell'Unione. Uno studio professionale che usa assistenti AI, strumenti di classificazione documenti o generazione di bozze rientra quasi sempre nel ruolo di 'deployer' (utilizzatore), non di sviluppatore. Gli obblighi del deployer sono più contenuti rispetto a quelli del fornitore, ma esistono: in particolare l'alfabetizzazione AI del personale (art. 4) e gli obblighi di trasparenza.

Q: Quali sono le classi di rischio dell'AI Act?

L'AI Act adotta un approccio basato sul rischio con quattro livelli: rischio inaccettabile (pratiche vietate, es. social scoring), alto rischio (obblighi stringenti su qualità dati, documentazione, sorveglianza umana), rischio limitato (obblighi di trasparenza, es. chatbot e contenuti generati da segnalare) e rischio minimo (uso libero). Gli strumenti tipici di uno studio — assistenti, classificazione documenti, generazione di bozze — ricadono di norma nel rischio limitato o minimo.

Q: Quando entra in vigore l'AI Act?

Il Regolamento UE 2024/1689 è in vigore dal 1° agosto 2024, ma si applica in modo scaglionato secondo un calendario pluriennale. Indicativamente: i divieti sulle pratiche vietate e l'obbligo di alfabetizzazione AI dall'inizio del 2025; le regole sui modelli per finalità generali (GPAI) da metà 2025; gran parte degli obblighi sui sistemi ad alto rischio scaglionati tra 2026 e 2027. Le date precise vanno sempre verificate sul testo ufficiale e sugli atti attuativi.

Q: Quali sanzioni prevede l'AI Act?

L'AI Act prevede sanzioni amministrative pecuniarie graduate in base alla gravità della violazione. Per le pratiche vietate gli importi possono arrivare, come ordine di grandezza, fino a 35 milioni di euro o al 7% del fatturato mondiale annuo totale, a seconda di quale importo è maggiore; per altre violazioni gli importi massimi sono inferiori. Si tratta di tetti massimi, applicati con criteri di proporzionalità: gli importi effettivi dipendono dal caso concreto.

Q: Come si mette in regola uno studio con l'AI Act?

I passi principali per uno studio sono: fare un inventario degli strumenti AI usati, classificarne il livello di rischio, garantire l'alfabetizzazione AI del team (art. 4), assicurare gli obblighi di trasparenza verso i clienti, scegliere fornitori conformi che non riusano i dati per addestrare modelli, e definire una governance interna minima. Il tutto va coordinato con il rispetto del GDPR, dato che i dati dei clienti trattati con AI restano dati personali.

Cos'è l'AI Act e perché riguarda anche gli studi

L'AI Act (Regolamento UE 2024/1689) è il primo quadro normativo organico al mondo dedicato all'intelligenza artificiale. La sua logica di fondo è semplice: invece di vietare o consentire l'AI in blocco, gradua gli obblighi in base al rischio che ogni sistema pone per i diritti delle persone. Più alto è il rischio, più stringenti sono le regole; per gli usi a rischio basso, di fatto, non cambia quasi nulla.

Il punto chiave per chi gestisce uno studio è capire in che ruolo si trova. Il regolamento distingue, semplificando, tra chi sviluppa e immette sul mercato sistemi AI (il fornitore, su cui gravano gli obblighi più pesanti) e chi semplicemente li utilizza nella propria attività professionale (il deployer, ossia l'utilizzatore). Uno studio commercialista che adotta un assistente AI integrato nel gestionale, uno strumento di classificazione documenti o un generatore di bozze è, quasi sempre, un deployer — non uno sviluppatore.

Questo cambia tutto: gli obblighi del deployer sono molto più contenuti di quelli del fornitore. Restano però due aree che riguardano direttamente lo studio, qualunque strumento usi: l'alfabetizzazione AI del personale (art. 4) e gli obblighi di trasparenza verso le persone. Le vediamo entrambe più avanti.

Riferimenti normativi essenziali

Regolamento UE 2024/1689 (AI Act), in vigore dal 1° agosto 2024, con applicazione scaglionata secondo un calendario pluriennale; approccio basato sul rischio (risk-based); ruolo del deployer (utilizzatore) distinto da quello del fornitore; art. 4 sull'alfabetizzazione in materia di AI; obblighi di trasparenza per determinati sistemi AI. Il quadro va sempre coordinato con il Regolamento UE 2016/679 (GDPR), che continua ad applicarsi a tutti i trattamenti di dati personali effettuati tramite AI. Le date e gli atti attuativi vanno verificati sul testo ufficiale.

Le 4 classi di rischio

Il cuore dell'AI Act è la classificazione dei sistemi in quattro categorie di rischio. A ciascuna corrisponde un diverso pacchetto di obblighi:

Classe di rischio	Cosa comporta	Esempi
Inaccettabile	Pratiche vietate: non possono essere immesse sul mercato né usate nell'UE.	Social scoring da parte di autorità, manipolazione subliminale, alcune forme di sorveglianza biometrica indiscriminata.
Alto rischio	Obblighi stringenti: gestione della qualità dei dati, documentazione tecnica, registrazione log, sorveglianza umana, robustezza e accuratezza.	AI usata in selezione del personale, accesso al credito, infrastrutture critiche, alcuni ambiti giudiziari.
Rischio limitato	Soprattutto obblighi di trasparenza: l'utente deve sapere che sta interagendo con un'AI o che un contenuto è generato/manipolato.	Chatbot e assistenti conversazionali, generatori di testo o immagini.
Rischio minimo	Uso sostanzialmente libero, senza obblighi specifici imposti dal regolamento.	Filtri antispam, classificazione automatica di documenti, suggerimenti di completamento testo.

Dove si collocano gli strumenti tipici di uno studio? Nella grande maggioranza dei casi, in fondo alla scala. Un assistente AI che risponde a domande sul portafoglio clienti, uno strumento che classifica e archivia documenti, un generatore di bozze di email o lettere: di norma rientrano nel rischio limitato o minimo. Non perché siano poco importanti, ma perché non decidono autonomamente su diritti fondamentali delle persone. L'attenzione, per questi strumenti, si concentra quindi sulla trasparenza e sull'uso consapevole, non su procedure di conformità pesanti.

Attenzione però a un'eccezione di buon senso: se uno studio usasse un sistema AI per selezionare candidati in fase di assunzione, quello specifico uso potrebbe ricadere tra i sistemi ad alto rischio. La classificazione segue la finalità d'uso, non l'etichetta del prodotto.

Le tempistiche di applicazione

L'AI Act è entrato in vigore il 1° agosto 2024, ma non si applica tutto in una volta: il legislatore europeo ha previsto un'applicazione scaglionata su più anni, per dare tempo a fornitori e utilizzatori di adeguarsi. Le tappe principali, da leggere con prudenza perché le date precise vanno sempre verificate sul testo ufficiale e sugli atti attuativi:

Inizio 2025 (indicativamente): scattano i divieti sulle pratiche a rischio inaccettabile e l'obbligo di alfabetizzazione AI del personale.
Metà 2025 (indicativamente): entrano in applicazione le regole sui modelli per finalità generali (GPAI), che riguardano soprattutto chi fornisce i grandi modelli.
2026–2027 (secondo il calendario di applicazione): si applicano in modo scaglionato gli obblighi sui sistemi ad alto rischio, con scadenze diverse a seconda della categoria.

Per uno studio non c'è motivo di allarme: gli obblighi che lo riguardano più da vicino — alfabetizzazione e trasparenza — sono tra i primi a diventare operativi e, al tempo stesso, tra i più gestibili. Il consiglio pratico è non rincorrere le date, ma mettere ordine nei propri strumenti AI con calma, in modo da farsi trovare pronti man mano che il calendario avanza. In caso di dubbi specifici è bene verificare con il proprio Ordine o con un consulente, perché il quadro attuativo è ancora in evoluzione.

Obbligo di alfabetizzazione AI (AI literacy)

È probabilmente l'obbligo più trasversale e quello che riguarda ogni studio, a prescindere dallo strumento usato. L'art. 4 del Reg. UE 2024/1689 stabilisce che fornitori e deployer devono adottare misure per garantire, nella misura del possibile, un livello adeguato di alfabetizzazione in materia di AI del proprio personale e di chi opera per loro conto.

In concreto, per uno studio non significa organizzare master universitari, ma assicurarsi che chi usa l'AI nel lavoro quotidiano abbia consapevolezza di:

Cosa sa fare davvero lo strumento, e cosa no
Quali sono i suoi limiti: può sbagliare, può "inventare" (allucinazioni), va sempre verificato
Quando serve il controllo umano, soprattutto su atti che producono effetti per il cliente
Come trattare i dati: cosa si può e cosa non si può inserire in uno strumento AI

La misura va calibrata sul contesto: il livello di formazione richiesto è proporzionato al tipo di sistema usato e al ruolo delle persone. Una breve sessione interna documentata, ripetuta nel tempo, è già un punto di partenza ragionevole — e dimostrabile in caso di necessità.

Obblighi di trasparenza

La seconda area che tocca direttamente lo studio è la trasparenza, prevista per i sistemi a rischio limitato. Il principio è che le persone non devono essere ingannate sul fatto di avere a che fare con un'AI o con contenuti generati artificialmente. In sintesi:

Quando una persona interagisce con un sistema AI (ad esempio un chatbot), deve poterlo capire, salvo che sia palese dal contesto
I contenuti generati o manipolati dall'AI (testi, immagini, audio, video) devono, nei casi previsti, essere segnalati come tali

Nel rapporto studio↔cliente questo si traduce in scelte semplici e di buon senso. Se lo studio mette a disposizione del cliente un assistente AI — per esempio per ricevere documenti o rispondere a domande di primo livello — è corretto che il cliente sappia che sta dialogando con uno strumento automatico, con la possibilità di parlare con una persona. Allo stesso modo, una comunicazione importante redatta con l'aiuto dell'AI resta sotto la responsabilità professionale di chi la firma: la trasparenza non sostituisce mai il controllo umano sul contenuto.

AI Act + GDPR: due binari da rispettare insieme

Un equivoco frequente è pensare che l'AI Act "assorba" il GDPR. Non è così: sono due binari distinti che corrono in parallelo e vanno rispettati entrambi. L'AI Act disciplina i sistemi di intelligenza artificiale in quanto tali; il Regolamento UE 2016/679 (GDPR) continua a disciplinare ogni trattamento di dati personali, anche quando avviene tramite AI.

Per uno studio significa che i dati dei clienti dati in pasto a uno strumento AI — anagrafiche, documenti contabili, informazioni fiscali — restano dati personali a tutti gli effetti. Vanno quindi rispettati i principi GDPR di sempre: base giuridica del trattamento, minimizzazione, finalità determinate, sicurezza, e in particolare il rapporto con il fornitore dello strumento, che tipicamente agisce come responsabile del trattamento e va inquadrato con un apposito accordo.

In pratica, le due verifiche vanno fatte insieme: "questo strumento AI in che classe di rischio ricade?" (AI Act) e "come tratta i dati personali dei miei clienti, e con quali garanzie?" (GDPR). Per il secondo aspetto rimandiamo alla nostra guida GDPR per studi commercialisti.

Cosa deve fare concretamente uno studio

Tradotto in operatività, mettersi in linea con l'AI Act non richiede progetti faraonici. Per uno studio di dimensioni ordinarie, i passi sono pochi e concreti:

Inventario degli strumenti AI: fare un elenco onesto di cosa si usa davvero (assistenti, classificatori di documenti, generatori di testo, funzioni AI dentro i software). Spesso ce ne sono più di quanti si pensi.
Classificazione del rischio: per ciascuno, individuare la classe di rischio in base alla finalità d'uso (di norma limitato o minimo per uno studio).
Formazione del team (art. 4): garantire l'alfabetizzazione AI con sessioni interne proporzionate e documentate.
Scelta di fornitori conformi: privilegiare strumenti che dichiarano la conformità e che non riusano i dati dei clienti per addestrare i propri modelli.
Governance interna minima: una breve policy d'uso dell'AI nello studio (cosa si può fare, cosa no, chi controlla cosa) e il coordinamento con la documentazione privacy esistente.

Nota operativa

Il rischio più sottovalutato non è l'AI Act in sé, ma l'uso "selvaggio" di chatbot pubblici in cui il personale incolla dati di clienti senza policy né consapevolezza. Una mezza pagina di regole interne più una breve formazione coprono in un colpo solo l'art. 4 (alfabetizzazione) e buona parte dei rischi GDPR. È il primo passo, ed è anche il più economico.

Sanzioni

L'AI Act prevede un sistema sanzionatorio graduato in base alla gravità della violazione, secondo una logica analoga a quella del GDPR. Gli importi vanno letti come tetti massimi, applicati con criteri di proporzionalità: l'importo effettivo dipende sempre dal caso concreto, dalla gravità, dalla durata e dalla cooperazione del soggetto.

Ordini di grandezza delle sanzioni

Per le pratiche vietate (rischio inaccettabile) le sanzioni amministrative possono arrivare, come ordine di grandezza, fino a 35 milioni di euro o al 7% del fatturato mondiale annuo totale dell'esercizio precedente, a seconda di quale importo è più elevato. Per altre violazioni — ad esempio inadempimenti relativi a sistemi ad alto rischio o agli obblighi di trasparenza — sono previsti tetti massimi inferiori. Questi importi riguardano soprattutto fornitori e usi ad alto rischio: per lo studio che usa strumenti a rischio basso o limitato in modo corretto, lo scenario sanzionatorio è di tutt'altra natura. Restano comunque indicazioni di massima da verificare sul testo ufficiale.

Scegliere strumenti AI già conformi

La leva più efficace per uno studio non è diventare esperto di compliance AI, ma scegliere bene gli strumenti. Spostare il lavoro su un chatbot pubblico generico, in cui si incollano dati dei clienti, è la scelta che concentra più rischi: sul fronte AI Act (trasparenza, governance) e soprattutto sul fronte GDPR (dove finiscono quei dati? vengono riusati per addestrare il modello?).

Molto meglio adottare strumenti AI integrati nel gestionale, pensati per il contesto professionale, con due caratteristiche da pretendere:

Dati segregati per studio: le informazioni di ogni studio restano isolate e non vengono mescolate o riusate altrove
Fornitore che dichiara la conformità e che non riusa i dati dei clienti per addestrare i propri modelli

In questo modo gran parte degli obblighi viene assorbita "a monte" dalla scelta del fornitore, e allo studio resta da curare la parte interna — formazione e regole d'uso. Per approfondire come l'AI può essere usata bene nello studio, vedi la nostra guida sull'intelligenza artificiale per commercialisti.

Checklist AI Act per lo studio

Hai un inventario aggiornato di tutti gli strumenti AI usati in studio?
Hai classificato il rischio di ciascuno in base alla finalità d'uso?
Hai garantito l'alfabetizzazione AI del team (art. 4), con formazione documentata?
Rispetti gli obblighi di trasparenza quando il cliente interagisce con un'AI?
I tuoi strumenti AI sono coordinati con la conformità GDPR (base giuridica, accordo col fornitore)?
I fornitori dichiarano la conformità e non riusano i dati per addestrare i modelli?
Hai una breve policy interna sull'uso dell'AI in studio?
Eviti l'uso "selvaggio" di chatbot pubblici con dati dei clienti?

Conclusione

L'AI Act non è un muro da scalare, ma un quadro di buon senso che premia chi usa l'intelligenza artificiale in modo consapevole. Per la quasi totalità degli studi professionali, la sostanza si riduce a tre mosse: sapere quali strumenti si usano, formare il team a usarli bene, e scegliere fornitori seri che tengano i dati al sicuro. Il resto — i tetti sanzionatori da decine di milioni, gli obblighi sui sistemi ad alto rischio — riguarda soprattutto chi sviluppa l'AI o la impiega in ambiti delicati, non lo studio che la usa per lavorare meglio.

La direzione, semmai, è chiara: chi inizia ora a mettere ordine nei propri strumenti AI si farà trovare pronto man mano che il calendario di applicazione avanza, senza rincorse dell'ultimo minuto. E lo farà con un vantaggio competitivo, perché usare l'AI in modo conforme e trasparente è anche un argomento di fiducia verso i clienti.

Optlyx Prisma integra l'intelligenza artificiale dentro il gestionale, con dati segregati per studio: ogni studio lavora su un perimetro isolato, le informazioni dei clienti non vengono riusate per addestrare modelli, e gli strumenti AI sono pensati per il contesto professionale. È l'opposto del chatbot pubblico: l'AI dove serve, senza disperdere i dati dei clienti fuori dal controllo dello studio.

Vuoi vedere l'AI nello studio fatta nel modo giusto?

Demo 15 minuti: come funziona l'AI integrata nel gestionale con dati segregati per studio. Assistente, classificazione documenti, generazione bozze — senza disperdere i dati dei clienti su chatbot pubblici.

Prenota demo

Domande frequenti sull'AI Act

L'AI Act si applica agli studi commercialisti?

Sì. Il Reg. UE 2024/1689 si applica a chiunque utilizzi sistemi AI nell'Unione. Uno studio che usa assistenti AI, classificazione documenti o generazione bozze rientra quasi sempre nel ruolo di "deployer" (utilizzatore), con obblighi più contenuti rispetto al fornitore: in particolare l'alfabetizzazione AI del personale (art. 4) e la trasparenza.

Quali sono le classi di rischio dell'AI Act?

Quattro: rischio inaccettabile (pratiche vietate), alto rischio (obblighi stringenti su dati, documentazione, sorveglianza umana), rischio limitato (obblighi di trasparenza) e rischio minimo (uso libero). Gli strumenti tipici di uno studio ricadono di norma nel rischio limitato o minimo.

Cos'è l'obbligo di alfabetizzazione AI?

L'art. 4 del Reg. UE 2024/1689 impone a fornitori e deployer di garantire un livello adeguato di alfabetizzazione AI (AI literacy) del personale. Per uno studio significa formare il team sulla comprensione di capacità e limiti degli strumenti AI usati, in modo proporzionato al contesto.

Quando entra in vigore l'AI Act?

Il Reg. UE 2024/1689 è in vigore dal 1° agosto 2024, con applicazione scaglionata. Indicativamente: divieti e alfabetizzazione AI da inizio 2025; regole sui modelli GPAI da metà 2025; obblighi sui sistemi ad alto rischio scaglionati tra 2026 e 2027. Le date precise vanno verificate sul testo ufficiale.

Quali sanzioni prevede l'AI Act?

Sanzioni amministrative graduate per gravità. Per le pratiche vietate gli importi possono arrivare, come ordine di grandezza, fino a 35 milioni di euro o al 7% del fatturato mondiale annuo; per altre violazioni i tetti sono inferiori. Sono importi massimi, applicati con criteri di proporzionalità.

Come si mette in regola uno studio con l'AI Act?

Inventario degli strumenti AI usati, classificazione del rischio, alfabetizzazione AI del team (art. 4), obblighi di trasparenza verso i clienti, scelta di fornitori conformi che non riusano i dati, governance interna minima — il tutto coordinato con il GDPR, perché i dati dei clienti trattati con AI restano dati personali.