Intelligenza Artificiale nello Studio del Commercialista: la Guida Completa alla Normativa 2026
Legge 132/2025, AI Act europeo, codice deontologico CNDCEC e GDPR: la mappa completa degli obblighi per lo studio che usa l'intelligenza artificiale, con le scadenze da mettere in calendario, la checklist in 10 passi e i template pronti per informare i clienti. Guida quadro della serie "AI e professione".
Intelligenza Artificiale nello Studio del Commercialista: la Guida Completa alla Normativa 2026
Sottotitolo: Legge 132/2025, AI Act europeo, codice deontologico CNDCEC e GDPR: la mappa completa degli obblighi per lo studio che usa l'intelligenza artificiale, con le scadenze da mettere in calendario, la checklist in 10 passi e i template pronti per informare i clienti.
Se usi strumenti AI nell'attività professionale, dal 10 ottobre 2025 devi informare i clienti con "linguaggio chiaro, semplice ed esaustivo" (art. 13, L. 132/2025). Dal 21 novembre 2025 lo stesso obbligo è nel codice deontologico (art. 21, comma 10; i commi 8 e 9 aggiungono uso solo strumentale e doveri di controllo): la violazione è sanzionabile con la sospensione. L'AI Act, per uno studio tipico, oggi impone soprattutto formazione del personale e il rispetto dei divieti; dal 2 agosto 2026 scattano gli obblighi di trasparenza. Il GDPR resta il perimetro di tutto: dati dei clienti dentro strumenti AI solo con garanzie contrattuali adeguate. Gli utenti registrati di StudioCloud trovano nel gestionale tre template pronti per adempiere all'obbligo informativo.
Perché questa guida, adesso
Un commercialista su tre usa già l'intelligenza artificiale nello studio. Secondo l'indagine della Fondazione Nazionale di Ricerca dei Commercialisti presentata al Congresso di Genova (ottobre 2025, oltre 4.000 rispondenti), il 34,1% dichiara di usarla molto o abbastanza; tra tre anni si aspetta di farlo il 71,9%.
Nel frattempo le regole sono arrivate, e da tre direzioni contemporaneamente: l'AI Act europeo, che si applica a tappe; la legge italiana 132/2025, in vigore dal 10 ottobre 2025, con un articolo dedicato proprio alle professioni intellettuali; e la prassi di categoria, perché il CNDCEC ha pubblicato tre guide operative e ha inserito l'AI nel codice deontologico, con tanto di sanzioni disciplinari.
Il risultato è un quadro a più livelli in cui è facile perdersi — o, peggio, credere a due miti opposti: "è tutto rinviato, non devo fare nulla" e "servono adempimenti enormi". Sono falsi entrambi. Gli obblighi veri, oggi, sono pochi e precisi. Ma sono già in vigore, e uno riguarda ogni studio che usa l'AI: informare i clienti.
Questa è la guida quadro di una serie di approfondimenti: mette in ordine l'intera materia e indica, per ogni tassello, che cosa è già obbligatorio, che cosa arriverà e che cosa è (solo) buona pratica. Gli articoli successivi della serie scenderanno nel dettaglio dei singoli temi.
La mappa: chi regola che cosa
Quattro fonti si sovrappongono, ma ciascuna ha un compito diverso. Tenerle distinte è il modo più rapido per orientarsi.
| Fonte | Che cosa regola | Che cosa chiede a uno studio |
|---|---|---|
| AI Act (Reg. UE 2024/1689) | I sistemi di AI, per livello di rischio e per ruolo (fornitore vs utilizzatore) | Divieti, formazione del personale, trasparenza; obblighi pieni solo per chi usa sistemi "ad alto rischio" |
| Legge 132/2025 | I comportamenti in ambito nazionale: principi, settori (sanità, lavoro, PA, giustizia, professioni), governance, penale | Per i professionisti: uso solo strumentale dell'AI e obbligo di informare il cliente (art. 13) |
| Prassi e deontologia CNDCEC | Il professionista iscritto: come usare l'AI in concreto e con quali doveri | Codice deontologico art. 21, commi 8-10; guide operative con policy, checklist e registro dei sistemi AI |
| GDPR (Reg. UE 2016/679) | I dati personali, sempre e comunque | Basi giuridiche, contratti ex art. 28 con i fornitori, minimizzazione, eventuale DPIA |
Due chiarimenti che evitano molti equivoci.
Primo: la legge italiana non duplica l'AI Act e non può contraddirlo. Lo dice lei stessa: le sue disposizioni "si interpretano e si applicano conformemente" al regolamento europeo (art. 1, comma 2) e non producono nuovi obblighi, rispetto a quelli europei, per i sistemi di AI e per i modelli di AI per finalità generali (art. 3, comma 5). La 132/2025 occupa gli spazi lasciati agli Stati membri: principi, settori nazionali, governance, sanzioni penali — e le professioni intellettuali, che l'AI Act non tocca in modo specifico.
Secondo: per il singolo studio la fonte più stringente non è quella europea. È la combinazione tra l'art. 13 della legge italiana e il codice deontologico, che dell'art. 13 è diventato il braccio operativo. È lì che si concentra il rischio concreto, ed è da lì che conviene partire.
AI Act visto dallo studio: che cosa conta davvero
L'AI Act classifica i sistemi di intelligenza artificiale su una piramide di rischio: pratiche vietate (rischio inaccettabile), sistemi ad alto rischio, sistemi soggetti a soli obblighi di trasparenza, e tutto il resto — il rischio minimo, che non ha obblighi nuovi.
La prima domanda è: che ruolo ha lo studio? Nella terminologia del regolamento, chi usa un sistema AI nell'ambito della propria attività professionale è un deployer (utilizzatore). Non è un fornitore: non sviluppa il sistema, non lo immette sul mercato. Gli obblighi del deployer sono molto più leggeri di quelli del provider — ed è la ragione per cui gran parte dell'AI Act, per uno studio, semplicemente non si attiva.
La seconda domanda è: dove cade l'uso tipico di uno studio? Assistenti generativi per ricerche e bozze, AI integrata nel gestionale, strumenti di analisi documentale: tutto questo rientra nel rischio minimo o limitato. Non è alto rischio. Le eccezioni da presidiare sono poche e specifiche: se lo studio usasse un software AI per selezionare il personale o per decidere promozioni e licenziamenti (Allegato III, punto 4), entrerebbe nel perimetro alto rischio con gli obblighi dell'art. 26. E un divieto è già in vigore per tutti dal 2 febbraio 2025: niente sistemi di riconoscimento delle emozioni sul luogo di lavoro.
Che cosa si applica già, che cosa arriva
Il calendario è la parte più fraintesa dell'AI Act, anche perché è cambiato in corsa. Riepilogo aggiornato:
| Data | Che cosa scatta | Rilevanza per lo studio |
|---|---|---|
| 2 febbraio 2025 | Divieti (art. 5) e alfabetizzazione AI (art. 4) | Già applicabile: formazione adeguata di chi usa l'AI |
| 2 agosto 2025 | Regole sui modelli GPAI, governance, quadro sanzionatorio | Indiretta (in gran parte riguarda i fornitori dei modelli) |
| 2 agosto 2026 | Trasparenza (art. 50) e relativa sanzionabilità | Chatbot dichiarati, contenuti AI riconoscibili |
| 2 dicembre 2027 | Obblighi per i sistemi ad alto rischio dell'Allegato III | Solo se lo studio adotta sistemi di quel tipo |
| 2 agosto 2028 | Alto rischio nei prodotti regolamentati (Allegato I) | Marginale |
Le ultime due date sono l'effetto del pacchetto Digital Omnibus, che ha modificato l'AI Act rinviando gli obblighi per l'alto rischio (in origine 2 agosto 2026 e 2 agosto 2027): approvato in via definitiva con il voto del Parlamento europeo del 16 giugno, l'adozione del Consiglio del 29 giugno e la firma dell'atto finale dell'8 luglio 2026, diventa efficace con la pubblicazione nella Gazzetta ufficiale dell'UE, in calendario entro fine luglio 2026.
Non è stato rinviato tutto. Il 2 agosto 2026 resta una scadenza viva per gli obblighi di trasparenza dell'art. 50: i chatbot dovranno dichiararsi tali, i contenuti generati dall'AI dovranno essere riconoscibili (con marcatura a carico dei fornitori), i deepfake dovranno essere etichettati. Per i testi pubblicati per informare il pubblico su questioni di interesse pubblico c'è un'eccezione che interessa da vicino chi cura contenuti di studio: l'obbligo di disclosure non scatta se il testo è passato per revisione umana con responsabilità editoriale. Unica transizione prevista sul fronte trasparenza: per i sistemi generativi già sul mercato prima del 2 agosto 2026, l'obbligo di marcatura tecnica degli output slitta al 2 dicembre 2026. (L'Omnibus aggiunge inoltre un nuovo divieto all'art. 5 — sistemi che generano immagini intime non consensuali o materiale di abuso su minori — operativo dal 2 dicembre 2026.)
L'obbligo di alfabetizzazione (art. 4) merita una parola in più, perché vale per tutti i deployer, a prescindere dal rischio, ed è già applicabile: lo studio deve assicurare che chi usa strumenti AI abbia un livello sufficiente di comprensione di come funzionano e di quali limiti hanno. L'Omnibus lo ridimensiona: non più garantire un livello sufficiente di alfabetizzazione, ma adottare misure per sostenerne lo sviluppo — da obbligo di risultato a obbligo di mezzi (la formulazione italiana ufficiale si conoscerà con la pubblicazione in Gazzetta UE). In pratica, una policy d'uso e qualche ora di formazione documentata sono un presidio ragionevole. Non esiste una sanzione specifica per la sua violazione, ma è il tipo di presidio che pesa — in positivo o in negativo — quando qualcosa va storto altrove.
Quanto alle sanzioni: le fasce arrivano a 35 milioni di euro o al 7% del fatturato mondiale per le pratiche vietate, 15 milioni o 3% per le violazioni degli obblighi (inclusa la trasparenza), 7,5 milioni o 1% per informazioni scorrette alle autorità; per le PMI si applica il minore tra importo fisso e percentuale. Numeri che fanno notizia, ma va detto con onestà: per uno studio che usa AI di supporto e non tocca i casi vietati o ad alto rischio, il rischio sanzionatorio diretto dell'AI Act è oggi basso. Il rischio vero, per la professione, sta nei tre capitoli che seguono.
La legge italiana 132/2025 e le professioni intellettuali
La legge 23 settembre 2025, n. 132 ("Disposizioni e deleghe al Governo in materia di intelligenza artificiale", GU n. 223 del 25 settembre 2025) è in vigore dal 10 ottobre 2025. È la prima legge nazionale organica sull'AI di un Paese UE: 28 articoli in sei capi, che fissano i principi (uso antropocentrico, trasparenza, sorveglianza umana, cybersicurezza come precondizione) e dettano regole per i settori sensibili: sanità, lavoro, pubblica amministrazione, giustizia — e professioni intellettuali.
L'art. 13: la norma che riguarda ogni studio
Vale la pena leggerlo nel testo, perché è breve e le parole contano.
Il comma 1 stabilisce che l'uso di sistemi di AI nelle professioni intellettuali:
"è finalizzato al solo esercizio delle attività strumentali e di supporto all'attività professionale e con prevalenza del lavoro intellettuale oggetto della prestazione d'opera".
Tradotto: l'AI può cercare, organizzare, preparare bozze, monitorare scadenze; non può sostituire la valutazione professionale. La relazione illustrativa chiarisce che la "prevalenza" va intesa in senso qualitativo — conta il primato del giudizio critico del professionista, non il cronometro delle ore.
Il comma 2 contiene l'obbligo operativo:
"Per assicurare il rapporto fiduciario tra professionista e cliente, le informazioni relative ai sistemi di intelligenza artificiale utilizzati dal professionista sono comunicate al soggetto destinatario della prestazione intellettuale con linguaggio chiaro, semplice ed esaustivo".
Tre precisazioni pratiche, perché su questa norma si legge di tutto.
A chi si applica. Secondo la lettura prevalente, a tutte le professioni intellettuali (artt. 2229 e seguenti del codice civile), ordinistiche e non. Per i commercialisti non ci sono dubbi; ma vale anche per i colleghi non ordinistici dello studio.
Come si adempie. La legge non prescrive forma né momento. La prassi — CNDCEC in testa — converge sulla comunicazione scritta, tipicamente una clausola nella lettera d'incarico per i nuovi mandati e un'informativa da consegnare ai clienti già acquisiti. Una formula generica ("lo studio usa tecnologie innovative") non basta: la norma chiede informazioni sui sistemi utilizzati, quindi serve dire almeno a che cosa serve l'AI nello studio, che ruolo ha il professionista sul risultato e che garanzie ci sono sui dati. Il dettaglio — che cosa scrivere, che cosa evitare, come gestire i mandati in corso — sarà l'oggetto del prossimo articolo della serie: lo trovi nella roadmap in fondo a questa guida, che aggiorniamo a ogni uscita.
Che cosa si rischia. La legge non prevede una sanzione specifica per la violazione dell'art. 13. Sarebbe un errore però concluderne che sia una norma senza denti: la violazione dell'obbligo informativo è un inadempimento contrattuale (con possibili riflessi risarcitori e sul compenso) e, soprattutto, per gli iscritti all'Albo è ora un illecito disciplinare autonomo, come vedremo nella sezione sulla deontologia.
Il resto della legge, in pillole
Per completezza di quadro, gli altri pezzi che toccano — direttamente o di riflesso — l'attività di studio:
- Lavoro (art. 11): il datore di lavoro (o committente) che usa AI nei processi che riguardano i dipendenti deve informarli nei casi e modi dell'art. 1-bis del d.lgs. 152/1997 (il "decreto trasparenza"). Riguarda anche lo studio come datore di lavoro.
- Giustizia e PA (artt. 14-15): l'AI è solo strumentale; la decisione resta al funzionario e al magistrato. Utile saperlo anche per gestire le aspettative sui tempi e sugli strumenti della controparte pubblica.
- Diritto d'autore (art. 25): sono protette le opere dell'ingegno umano, anche se create con l'ausilio di AI, purché frutto del lavoro intellettuale dell'autore. Rilevante per chi produce contenuti, circolari, pubblicazioni.
- Penale (art. 26): nuova aggravante comune quando l'AI ha costituito un mezzo insidioso, ha ostacolato la difesa o ha aggravato le conseguenze del reato, e nuovo reato di illecita diffusione di contenuti generati o alterati con AI (il c.d. deepfake, art. 612-quater c.p., reclusione da uno a cinque anni).
- Governance (art. 20): AgID e ACN sono le autorità nazionali per l'AI (rispettivamente notifica e vigilanza sul mercato), ferme le competenze di Banca d'Italia, Consob, IVASS, Garante privacy e AGCOM.
La legge contiene deleghe al Governo in due articoli (artt. 16 e 24) con scadenza 10 ottobre 2026. Il 10 giugno 2026 il Consiglio dei ministri ha approvato in esame preliminare due schemi di decreto legislativo, ora avviati ai pareri di Commissioni parlamentari, Conferenza unificata e Garante privacy. Per i professionisti il punto più rilevante è il capitolo formazione: percorsi di alfabetizzazione AI su tre piani (tecnico, giuridico, deontologico), con gli ordini professionali chiamati ad adeguare i propri regolamenti entro 6 mesi e a integrare entro 12 mesi i parametri dell'equo compenso in funzione della classe di rischio dei sistemi AI utilizzati. In arrivo anche un regime di responsabilità civile con accesso alla documentazione tecnica e presunzione relativa del nesso di causalità, e un nuovo reato di omessa adozione di misure di sicurezza sui sistemi ad alto rischio. Attenzione: sono schemi, non testi definitivi — i contenuti possono cambiare. Quando saranno approvati, dedicheremo loro un articolo della serie.
La prassi CNDCEC: guide operative e codice deontologico
Se la legge fissa il principio, è la prassi dell'Ordine a dire come applicarlo. E il CNDCEC, va riconosciuto, si è mosso prima e meglio di molte altre categorie.
Le tre guide operative
Insieme alla Fondazione Nazionale di Ricerca dei Commercialisti, il Consiglio Nazionale ha pubblicato una collana di tre guide dal titolo "L'aiuto intelligente al Commercialista":
- Guida #1 (ottobre 2024, presentata al convegno "Commercialisti next" di Pesaro): il "quaderno del fare" — quali attività affidare all'AI generativa, con strumenti, comandi ed esiti, più una prima analisi privacy delle principali piattaforme.
- Guida #2 (giugno 2025): deep research, strumenti specializzati, automazione con agenti, software su misura.
- Guida #3 (24 ottobre 2025, presentata al Congresso nazionale di Genova e trasmessa agli Ordini con l'Informativa n. 156/2025): la più rilevante sul piano organizzativo. Contiene tre guide pratiche con checklist — governare l'AI nello studio, offrire servizi ad alto valore aggiunto nel rispetto delle norme sui dati, valutare l'installazione di modelli linguistici in locale — e, in allegato, i materiali che ogni studio dovrebbe conoscere: il template di policy di utilizzo dell'AI, le checklist operative e il modello di Registro dei sistemi di intelligenza artificiale, oltre a un esempio di clausola contrattuale per il mandato professionale ai sensi dell'art. 13, comma 2, della legge 132/2025.
Già a ridosso dell'entrata in vigore della legge (comunicato del 9 ottobre 2025) il Consiglio Nazionale aveva diffuso la clausola-tipo per l'informativa ai clienti, elaborata dalla Commissione Intelligenza artificiale e bilanci con le Commissioni deontologia e compensi: finalità solo ausiliarie dell'AI, responsabilità e controllo in capo al professionista, rispetto di GDPR e AI Act, esclusione di decisioni automatizzate, trasparenza su richiesta e diritto del cliente di opporsi all'uso dell'AI.
L'AI nel codice deontologico
Il passaggio decisivo è del 20 novembre 2025: il Consiglio Nazionale ha modificato il codice deontologico (in vigore dal 21 novembre, Informativa n. 178/2025) aggiungendo tre commi all'art. 21 (Esecuzione dell'incarico):
- comma 8: l'AI può essere impiegata solo per attività strumentali e di supporto; l'esito della prestazione deve restare il risultato prevalente dell'attività intellettuale del professionista; l'AI non può sostituire la valutazione e l'interpretazione dei fatti e delle norme;
- comma 9: il professionista mantiene piena responsabilità e controllo, deve verificare fonti e veridicità dei contenuti generati e usare sistemi con adeguate misure di sicurezza e riservatezza conformi al GDPR; i doveri di competenza (art. 8 del codice) implicano — per il professionista, i dipendenti e i collaboratori — la conoscenza del funzionamento della tecnologia; l'uso dell'AI non è mai un'esimente;
- comma 10: obbligo di comunicare al cliente i sistemi di AI utilizzati "con linguaggio chiaro, semplice ed esaustivo", anche nella documentazione prodotta.
Contestualmente è stato aggiornato il codice delle sanzioni: la violazione dei commi 8 e 9 può costare la sospensione fino a 6 mesi; la violazione dell'obbligo di trasparenza verso il cliente (comma 10) la sospensione fino a 3 mesi. L'art. 13 della legge, da solo, è una norma di principio senza sanzione propria; con il recepimento deontologico, per gli iscritti all'Albo diventa un obbligo presidiato da sanzione disciplinare. Chi usa l'AI e non informa i clienti non sta correndo un rischio teorico.
Completano il quadro di categoria le Linee guida di vigilanza del collegio sindacale sull'adozione dell'AI (CNDCEC-FNC, dicembre 2025) — rilevanti per chi ricopre incarichi di controllo, con particolare attenzione alle società quotate — e il fronte formativo: nel nuovo regolamento della formazione professionale continua l'AI è materia accreditabile, e i decreti attuativi in cantiere (v. sopra) spingeranno gli ordini verso percorsi strutturati.
GDPR: i dati dei clienti dentro gli strumenti AI
Tutto quello che precede riguarda l'AI in quanto tale. Ma nel momento in cui dentro lo strumento passano dati di clienti — nomi, codici fiscali, situazioni reddituali, documenti — si attiva il GDPR, che dell'uso professionale dell'AI resta il perimetro più concreto.
I ruoli. Lo studio che usa un software o un servizio AI resta titolare del trattamento: la responsabilità verso i clienti non si trasferisce al fornitore. Il fornitore del servizio (o il gestionale che integra l'AI) opera come responsabile ex art. 28, e l'eventuale fornitore del modello linguistico come sub-responsabile. Questo schema regge però a una condizione: che esista un contratto sul trattamento dei dati (DPA) con istruzioni documentate e che il fornitore non riutilizzi i dati per finalità proprie. È il motivo per cui gli strumenti in versione consumer — l'account gratuito, il piano personale — non sono adatti a trattare dati di clienti: mancano il DPA e, spesso, la garanzia che i dati non vengano usati per addestrare i modelli.
Le domande da fare al fornitore. Prima di adottare uno strumento: c'è un DPA ex art. 28? I dati sono esclusi dall'addestramento dei modelli (no-training clause)? Dove sono trattati e conservati? Se il fornitore è statunitense, è certificato al Data Privacy Framework o servono le clausole contrattuali standard? (Il DPF oggi è valido — il Tribunale UE lo ha confermato nel settembre 2025 — ma pende un ricorso alla Corte di giustizia: la prudenza suggerisce fornitori che offrano anche le SCC come rete di sicurezza.)
Le decisioni automatizzate. L'art. 22 GDPR vieta, salvo eccezioni, le decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano in modo altrettanto significativo sulle persone. Uno studio che usa l'AI come supporto, con revisione e decisione finale del professionista, resta fuori dal divieto — ma la revisione deve essere sostanziale, non un timbro: la Corte di giustizia (caso SCHUFA, 2023) ha chiarito che quando il risultato automatizzato determina di fatto la decisione finale l'art. 22 si applica comunque — l'intervento umano di facciata non basta. È lo stesso principio dell'art. 13 della legge italiana e del codice deontologico: tre norme diverse, una sola regola di condotta — l'ultima parola è del professionista, davvero.
Gli adempimenti documentali. L'uso di strumenti AI va riflesso nell'informativa privacy (nuove categorie di destinatari, eventuali trasferimenti extra-UE) e nel registro dei trattamenti. La DPIA non è dovuta sempre: il provvedimento del Garante n. 467/2018 la richiede per le tecnologie innovative quando ricorre almeno un altro criterio di rischio (larga scala, valutazioni sistematiche, soggetti vulnerabili); per un uso di supporto con revisione umana può non essere obbligatoria, ma la valutazione va fatta e documentata. L'attualità insegna: nel luglio 2026 il Garante ha sanzionato una società anche per la DPIA predisposta in ritardo — i presidi di processo contano, non solo la sostanza.
L'enforcement c'è. Il Garante italiano è tra le autorità più attive d'Europa sull'AI: la limitazione di ChatGPT nel 2023 e la sanzione da 15 milioni a OpenAI (poi annullata dal Tribunale di Roma nel marzo 2026 per profili di competenza — non un'assoluzione nel merito), il blocco di DeepSeek, i 5 milioni a Replika. Per lo studio il messaggio non è il terrore delle multe: è che le regole su basi giuridiche, trasparenza e garanzie contrattuali vengono applicate sul serio. Al GDPR operativo per lo studio che usa l'AI è dedicato uno dei prossimi articoli della serie (v. roadmap in fondo).
Chi firma risponde
C'è infine il piano più antico e più solido di tutti: la responsabilità del professionista. Qui non serve nessuna norma nuova — e infatti il codice deontologico si limita a dirlo espressamente: l'uso dell'AI non è mai un'esimente. L'errore dell'algoritmo è, giuridicamente, l'errore di chi firma.
La giurisprudenza dei primi mesi lo conferma, per ora soprattutto sul fronte forense, ma con principi trasferibili pari pari alla nostra professione: il Tribunale di Latina (settembre 2025) ha ravvisato la responsabilità aggravata per l'uso "acritico e meccanico" dell'AI generativa; il Tribunale di Verona (febbraio 2026) ha condannato la parte, per responsabilità aggravata ex art. 96, commi 3 e 4, c.p.c., a 2.800 euro (1.800 alla controparte, 1.000 alla Cassa delle ammende), oltre alle spese, per un atto redatto con l'AI e mai riletto — nel testo era rimasta perfino la frase di risposta di ChatGPT; il Tribunale di Siracusa (2026) ha qualificato le "allucinazioni" dell'AI come fatto notorio per il professionista — con la conseguenza che l'omessa verifica delle fonti è colpa grave, non svista scusabile.
Tre indicazioni operative discendono da qui: ogni output AI destinato a un cliente o a un ente va verificato su fonti primarie prima dell'uso; conviene formalizzare questa verifica in una procedura interna (chi controlla, come, con quale traccia); e vale la pena verificare con il proprio broker se la polizza RC professionale copre i danni connessi all'uso di strumenti AI, tema su cui il mercato assicurativo si sta ancora assestando.
Checklist: i 10 passi dello studio in regola
- Censisci gli strumenti: quali sistemi AI usa lo studio, per che cosa, con quali dati (è l'embrione del registro dei sistemi AI suggerito dalla Guida CNDCEC #3).
- Inserisci la clausola AI nella lettera d'incarico per i nuovi mandati (art. 13, comma 2, L. 132/2025 e art. 21, comma 10, codice deontologico).
- Informa i clienti esistenti con un'informativa breve, scritta, in linguaggio chiaro, semplice ed esaustivo.
- Adotta una policy interna sull'uso dell'AI: chi può usare che cosa, con quali dati, con quali divieti (template nella Guida CNDCEC #3).
- Forma il personale e documenta la formazione (art. 4 AI Act: vale anche per dipendenti e collaboratori; i doveri di competenza deontologici li includono espressamente).
- Verifica i fornitori: DPA ex art. 28, no-training clause, sede del trattamento, garanzie per i trasferimenti extra-UE.
- Stabilisci la regola della verifica umana: nessun output AI esce dallo studio senza controllo del professionista su fonti primarie.
- Aggiorna l'informativa privacy e il registro dei trattamenti con i nuovi destinatari e flussi.
- Valuta (e documenta) se serve la DPIA per i trattamenti che coinvolgono AI.
- Metti in calendario le scadenze: 2 agosto 2026 (trasparenza AI Act), decreti attuativi della L. 132/2025 (delega in scadenza 10 ottobre 2026), regolamenti degli ordini a seguire.
I template pronti su StudioCloud
I punti 2 e 3 della checklist sono quelli che nessuno studio può rinviare: l'obbligo informativo è in vigore da ottobre 2025 e presidiato da sanzione disciplinare da novembre 2025. Per questo li abbiamo risolti direttamente dentro StudioCloud.
Gli utenti registrati trovano nella sezione Impostazioni → Compliance AI tre modelli pronti, con la denominazione dello studio già precompilata, da visualizzare, copiare o scaricare:
1. Clausola per la lettera d'incarico — da inserire nei nuovi mandati, riferita all'art. 13 della legge 132/2025;
2. Informativa breve sull'uso dell'AI — da consegnare o esporre ai clienti dello studio già acquisiti;
3. Nota tecnica per il fascicolo — la descrizione di come funziona l'AI in StudioCloud (attivazione manuale, minimizzazione dei dati, no-training, registro delle attivazioni), utile come documentazione interna di accountability.
I modelli sono versionati e datati, così lo studio sa sempre quale versione ha consegnato.
Un'avvertenza dovuta, la stessa che trovate nella pagina: sono modelli da adattare alla realtà del singolo studio — descrivono l'uso dell'AI in StudioCloud, e se lo studio usa anche altri strumenti l'informativa va integrata. Non costituiscono consulenza legale.
La serie: i prossimi approfondimenti
Questo articolo è la mappa; i prossimi saranno i territori. In programma:
- L'informativa AI ai clienti, parola per parola — come scrivere clausola e informativa ex art. 13, errori da evitare, gestione dei mandati in corso. (in arrivo)
- Policy AI e registro dei sistemi — la Guida CNDCEC #3 applicata a uno studio reale. (in arrivo)
- GDPR operativo per lo studio che usa l'AI — ruoli, DPA, DPIA, informativa: il percorso completo. (in arrivo)
- AI Act per il deployer — alfabetizzazione e trasparenza: arrivare pronti al 2 agosto 2026. (in arrivo)
- Responsabilità e assicurazione — giurisprudenza, colpa grave, coperture RC. (in arrivo)
- I decreti attuativi della legge 132/2025 — non appena saranno approvati in via definitiva. (in arrivo)
Man mano che gli articoli escono, i titoli qui sopra diventano link. La materia si muove: questa guida è aggiornata al 12 luglio 2026 e verrà revisionata a ogni novità rilevante (pubblicazione del Digital Omnibus in Gazzetta UE, decreti attuativi, nuovi documenti CNDCEC).
Domande frequenti
Devo già informare i clienti se uso ChatGPT o l'AI del gestionale?
Sì. L'obbligo dell'art. 13, comma 2, della L. 132/2025 è in vigore dal 10 ottobre 2025 e riguarda ogni sistema di AI utilizzato nella prestazione professionale. Dal 21 novembre 2025 è anche un obbligo deontologico (art. 21, comma 10).
Posso usare l'account gratuito di un chatbot per lavorare su pratiche dei clienti?
Sconsigliato. Senza un DPA ex art. 28 e senza garanzia di esclusione dei dati dall'addestramento, inserire dati di clienti in uno strumento consumer espone lo studio a una violazione GDPR. Servono versioni business/enterprise con adeguate garanzie contrattuali, o strumenti integrati che le offrano.
La DPIA è sempre obbligatoria se uso l'AI?
No. È richiesta quando all'uso di tecnologie innovative si somma almeno un altro criterio di rischio (larga scala, valutazioni sistematiche, soggetti vulnerabili). Ma la valutazione di soglia va sempre fatta e documentata.
Che cosa rischio concretamente se non informo i clienti?
Sul piano disciplinare, la sospensione fino a 3 mesi (codice delle sanzioni, in relazione all'art. 21, comma 10, del codice deontologico). Sul piano civile, l'inadempimento di un obbligo informativo, con possibili riflessi su risarcimento e compenso. La legge 132/2025, di suo, non prevede una sanzione specifica.
Che cosa cambia il 2 agosto 2026?
Diventano applicabili (e sanzionabili) gli obblighi di trasparenza dell'art. 50 dell'AI Act: chatbot che si dichiarano, contenuti generati riconoscibili, deepfake etichettati. Gli obblighi per i sistemi ad alto rischio, invece, sono stati rinviati dal pacchetto Digital Omnibus al 2 dicembre 2027 (Allegato III) e al 2 agosto 2028 per l'AI integrata nei prodotti regolamentati (Allegato I).
Fonti ufficiali e normative: - Legge 23 settembre 2025, n. 132 — Normattiva - Regolamento (UE) 2024/1689 (AI Act) — EUR-Lex - Commissione europea — AI Act, quadro e timeline applicativa - Consiglio UE — via libera definitivo al Digital Omnibus AI (29/06/2026) - CNDCEC-FNC — Guida operativa di intelligenza artificiale #3 (PDF) - CNDCEC — Informativa n. 178/2025 (codice deontologico e sanzioni) - Governo — Comunicato CdM n. 177 del 10/06/2026 - Garante privacy — provvedimento OpenAI (comunicato 20/12/2024) - EDPB — Opinion 28/2024
Articoli correlati su StudioCloud.it: - Campagna 730/2026: Guida Operativa per il Commercialista - Rottamazione Quinquies 2026: Guida Operativa Completa per Commercialisti - Legge di Bilancio 2026: Le Novita Fiscali
Guida aggiornata al 12 luglio 2026. Contenuto informativo: non costituisce consulenza legale o professionale sul caso specifico.
Domande frequenti
- Devo già informare i clienti se uso ChatGPT o l'AI del gestionale?
- Sì. L'obbligo dell'art. 13, comma 2, della legge 132/2025 è in vigore dal 10 ottobre 2025 e riguarda ogni sistema di intelligenza artificiale utilizzato nella prestazione professionale. Dal 21 novembre 2025 è anche un obbligo deontologico (art. 21, comma 10, del codice deontologico dei commercialisti).
- Posso usare l'account gratuito di un chatbot per lavorare su pratiche dei clienti?
- Sconsigliato. Senza un contratto sul trattamento dei dati ex art. 28 GDPR e senza la garanzia che i dati non vengano usati per addestrare i modelli, inserire dati di clienti in uno strumento consumer espone lo studio a una violazione del GDPR. Servono versioni business o enterprise con adeguate garanzie contrattuali, o strumenti che le offrano nativamente.
- La DPIA è sempre obbligatoria se uso l'AI nello studio?
- No. È richiesta quando all'uso di tecnologie innovative si somma almeno un altro criterio di rischio, come trattamenti su larga scala, valutazioni sistematiche o soggetti vulnerabili. La valutazione di soglia va però sempre fatta e documentata.
- Che cosa rischio concretamente se non informo i clienti sull'uso dell'AI?
- Sul piano disciplinare, la sospensione fino a 3 mesi (codice delle sanzioni, in relazione all'art. 21, comma 10, del codice deontologico). Sul piano civile, l'inadempimento di un obbligo informativo, con possibili riflessi su risarcimento e compenso. La legge 132/2025, di per sé, non prevede una sanzione specifica.
- Che cosa cambia il 2 agosto 2026 per chi usa l'AI?
- Diventano applicabili e sanzionabili gli obblighi di trasparenza dell'art. 50 dell'AI Act: chatbot che si dichiarano tali, contenuti generati riconoscibili, deepfake etichettati. Gli obblighi per i sistemi ad alto rischio sono invece stati rinviati dal Digital Omnibus al 2 dicembre 2027 (Allegato III) e al 2 agosto 2028 (Allegato I).
Fonti e Riferimenti
- Legge 23 settembre 2025, n. 132 — Normattiva (GU n. 223 del 25/09/2025)(normativa)
- Regolamento (UE) 2024/1689 (AI Act) — EUR-Lex(normativa)
- Consiglio UE — via libera definitivo al Digital Omnibus AI (29/06/2026)(ufficiale)
- Commissione europea — AI Act, quadro e timeline applicativa(ufficiale)
- CNDCEC-FNC — Guida operativa di intelligenza artificiale #3 (24/10/2025)(ufficiale)
- CNDCEC — Informativa n. 156/2025(ufficiale)
- CNDCEC — Informativa n. 178/2025: modifiche al Codice deontologico e al Codice delle sanzioni(ufficiale)
- FNC — Indagine su organizzazione dello studio e impatto dell'IA (Press, 22/10/2025)(ufficiale)
- Garante privacy — provvedimento sanzionatorio OpenAI (comunicato 20/12/2024)(ufficiale)
- EDPB — Opinion 28/2024 su modelli di AI e GDPR(ufficiale)
- Governo — Comunicato CdM n. 177 del 10/06/2026 (schemi di decreti attuativi L. 132/2025)(ufficiale)
Le fonti sono state verificate al momento della pubblicazione dell'articolo.