AI Act·
AI Act: cosa cambia per commercialisti e consulenti
Guida pratica al Regolamento UE 2024/1689 e alla Legge 132/2025 per studi professionali. Obblighi, scadenze e come prepararsi.
4 min
Leggi Caricamento...
Caricamento...
Checklist pratica con i 15 adempimenti AI Act per studi professionali: inventario strumenti, formazione, policy interna e informativa clienti.
L'adeguamento all'AI Act non si improvvisa. Ogni settimana arrivano in studio nuovi tool, nuovi collaboratori che usano AI in autonomia, nuovi aggiornamenti normativi. Senza un framework strutturato, il rischio è fare una sistemata una tantum e ritrovarsi fuori compliance tre mesi dopo. Questa checklist in 15 punti distribuiti su 5 aree è lo strumento di partenza per un assessment sistematico — non un check da fare una volta sola, ma un documento da riesaminare ogni sei mesi.
Ogni punto va spuntato solo quando la documentazione esiste e può essere esibita, non quando il processo è stato discusso o è "in programma". Se un punto non è completamente soddisfatto, va marcato come aperto e trattato come priorità.
La logica è quella di un audit: immaginate che un ispettore di AgID bussi alla porta del vostro studio domani mattina e chieda di vedere le prove di ogni punto. Se non riuscite a produrle in 15 minuti, il punto non è chiuso.
L'inventario è la base di tutto. Non si può governare ciò che non si conosce, e non si può informare il cliente su strumenti che non si è censiti.
Punto 1.1 — Registro completo degli strumenti AI in uso Esiste un documento aggiornato con: nome del tool, versione, fornitore, data di adozione, attività per cui viene usato, dati trattati? Il registro include non solo i tool adottati ufficialmente dallo studio, ma anche quelli usati individualmente dai collaboratori (ChatGPT personale, Copilot, ecc.)?
Punto 1.2 — Classificazione del rischio per ogni strumento Per ogni tool nel registro è stata assegnata una classificazione di rischio AI Act (minimale, limitato, alto)? La classificazione è documentata con motivazione? I tool ad alto rischio sono stati identificati e trattati separatamente?
Punto 1.3 — Verifica GDPR dei fornitori AI Per ogni tool che tratta dati personali dei clienti è stato firmato un DPA (Data Processing Agreement) con il fornitore? Sono stati verificati i termini di utilizzo per escludere che i dati vengano usati per addestrare i modelli?
L'Art. 4 dell'AI Act impone l'obbligo di AI literacy per tutto il personale che usa sistemi AI. Questo obbligo è in vigore dal 2 febbraio 2025: chi non lo ha ottemperato ha un adempimento arretrato da sanare.
Punto 2.1 — Formazione erogata a tutto il personale Tutti i collaboratori e soci dello studio che usano strumenti AI hanno ricevuto formazione specifica? La formazione ha coperto: cosa è un sistema AI, come funziona, limiti e rischi, responsabilità professionali, obblighi legali?
Punto 2.2 — Formazione documentata Esistono attestati di partecipazione o registro presenze per ogni sessione formativa? La documentazione riporta: data, durata, contenuti, partecipanti, erogatore? Questi documenti sono conservati e accessibili?
Punto 2.3 — Piano di aggiornamento Esiste un calendario per la formazione di aggiornamento (almeno annuale)? Il piano prevede l'onboarding formativo per i nuovi collaboratori prima che inizino a usare tool AI? È stato identificato chi è responsabile di aggiornare i contenuti formativi?
La trasparenza verso i clienti è l'obbligo più visibile della Legge 132/2025 (Art. 13) e quello più direttamente esposto a contenzioso professionale.
Punto 3.1 — Clausola contrattuale nella lettera di incarico Il template standard della lettera di incarico include una clausola AI che identifica gli strumenti in uso, le attività per cui vengono impiegati e la supervisione professionale? La clausola è aggiornata all'elenco attuale degli strumenti nel registro?
Punto 3.2 — Informativa consegnata ai clienti esistenti I clienti con incarichi in corso hanno ricevuto l'informativa sull'uso di AI nello studio? Esiste prova della consegna (firma di ricevuta, email con ricevuta di lettura, PEC)?
Punto 3.3 — Procedura di opt-out documentata Lo studio ha definito e comunicato ai clienti la procedura per richiedere che specifiche attività vengano svolte senza AI? Questa procedura è gestibile operativamente senza impatto grave sul servizio?
La policy AI interna è il documento che regola come si usa l'AI nello studio: chi può usare cosa, per quali attività, con quali dati, con quale supervisione. Non deve essere un manuale enciclopedico — deve essere leggibile e applicabile da ogni collaboratore.
Punto 4.1 — Policy AI redatta e firmata Esiste una policy AI scritta approvata dai soci/partner? La policy è stata consegnata a tutto il personale e firmata per presa visione? È datata e versionata?
Punto 4.2 — Tool autorizzati definiti La policy contiene una lista esplicita dei tool AI autorizzati per uso professionale? È chiaro cosa succede se un collaboratore vuole usare un tool non in lista (procedura di approvazione)?
Punto 4.3 — Procedura di approvazione nuovi strumenti Prima di adottare un nuovo tool AI, esiste una procedura che prevede: valutazione del rischio, verifica GDPR, formazione specifica, aggiornamento del registro e della policy? Chi ha il potere di approvare?
La valutazione del rischio è il cuore dell'AI Act. Senza di essa, tutti gli altri adempimenti mancano di fondamento: non si sa cosa proteggere, con quale priorità, con quale intensità di controllo.
Punto 5.1 — Classificazione di rischio documentata per ogni tool Per ogni strumento nel registro esiste un documento che spiega perché è stato classificato con quel livello di rischio? La classificazione tiene conto del contesto d'uso (non solo delle caratteristiche tecniche del tool)?
Punto 5.2 — Sistemi ad alto rischio identificati I tool potenzialmente classificabili come "alto rischio" ai sensi dell'AI Act (es. sistemi usati per valutare l'affidabilità creditizia, supporto a decisioni che incidono su diritti delle persone) sono stati identificati? È stato valutato se rientrano nell'Allegato III dell'AI Act?
Punto 5.3 — Supervisione umana documentata Per i tool che producono output usati direttamente nella prestazione professionale (pareri, contratti, report fiscali), esiste una procedura documentata di revisione umana? Chi rivisa, come e quando è tracciato?
| Area | Punti | Adempimento principale |
|---|---|---|
| 1. Inventario strumenti AI | 1.1 — 1.2 — 1.3 | Registro aggiornato + GDPR fornitori |
| 2. Formazione AI Literacy | 2.1 — 2.2 — 2.3 | Formazione documentata + piano aggiornamento |
| 3. Trasparenza clienti | 3.1 — 3.2 — 3.3 | Clausola contrattuale + informativa clienti esistenti |
| 4. Policy AI interna | 4.1 — 4.2 — 4.3 | Policy firmata + tool autorizzati + procedura approvazione |
| 5. Valutazione rischio | 5.1 — 5.2 — 5.3 | Classificazione rischio + supervisione documentata |
Non tutti i 15 punti hanno la stessa urgenza. Se dovete scegliere da dove partire, questa è la sequenza raccomandata:
Immediato (entro 2 settimane)
L'Art. 4 dell'AI Act sull'AI literacy è in vigore dal 2 febbraio 2025. Chi non ha ancora erogato formazione è già in violazione. L'inventario degli strumenti (Area 1) è il prerequisito per tutto il resto: senza sapere cosa si usa, non si può fare nulla di sensato.
Entro 30 giorni
Informativa ai clienti (Area 3) e policy interna (Area 4): sono gli adempimenti più visibili verso l'esterno e verso i collaboratori. Richiedono lavoro di scrittura e revisione, non solo raccolta dati.
Entro 60 giorni
Valutazione del rischio (Area 5): richiede più riflessione e, per i tool più complessi, eventuale supporto esterno. Non è un documento che si redige in fretta.
Scarica la versione PDF di questa checklist con campi compilabili dalla sezione Risorse e Guide. Se preferisci un percorso guidato, scopri il servizio AI Act Ready progettato per completare tutti i 15 punti in 10 giorni lavorativi. Per il quadro normativo europeo completo che definisce questi adempimenti, consulta la nostra guida all'AI Act.
Dipende dal punto di partenza. Uno studio che ha già buona sensibilità compliance (es. già GDPR-compliant) può completare i passi fondamentali in 10-15 giorni lavorativi. Uno studio partendo da zero può richiedere 4-6 settimane. Il nostro servizio AI Act Ready è calibrato su 10 giorni per studi con struttura media.
Non necessariamente. Uno studio molto piccolo (1-3 persone, pochi tool AI) può fare un self-assessment con questa checklist e sistemare i punti critici in autonomia. Studi più grandi o con sistemi AI più complessi beneficiano di supporto esterno, soprattutto per la valutazione del rischio e la redazione di una policy robusta.
La legge non impone una figura specifica, ma è buona pratica identificare un 'AI officer' interno — anche informale — che coordina l'inventario, la formazione e l'aggiornamento della policy. Negli studi piccoli è spesso il partner senior. Negli studi con più sedi può essere necessaria una figura dedicata.
Le sanzioni AI Act sono proporzionate ma significative: fino al 3% del fatturato globale per violazioni degli obblighi degli operatori (inclusa mancanza di AI literacy). Ma oltre le sanzioni, il rischio reputazionale con i clienti è altrettanto rilevante: un contenzioso basato sull'uso non dichiarato di AI in un parere professionale può essere molto costoso.
Ogni settimana: guide pratiche, novità normative e casi d'uso per studi professionali. Niente spam.
Guida pratica al Regolamento UE 2024/1689 e alla Legge 132/2025 per studi professionali. Obblighi, scadenze e come prepararsi.
Cosa prevede l'obbligo di AI literacy, chi riguarda, quali sanzioni rischia chi non si adegua e come adempiere entro la scadenza.
La Legge 132/2025 è la prima legge italiana sull'intelligenza artificiale, in vigore dal 10 ottobre 2025. Ecco gli obblighi concreti per gli studi professionali: informativa cliente, governance e sanzioni.