L’AI Act (Regolamento UE 2024/1689) introduce nuove regole per l’utilizzo dell’intelligenza artificiale da parte di studi professionali e aziende, integrandosi con GDPR, cybersecurity, NIS2 e DORA.
L’entrata in vigore del Regolamento UE 2024/1689 (AI Act) segna l’inizio di una nuova era per gli studi professionali e le aziende clienti.
Non solo per i Commercialisti, ma anche per Avvocati e Consulenti del lavoro; non si tratta solo di adottare nuovi strumenti di produttività, ma di governare un sistema normativo complesso dove l’intelligenza artificiale si intreccia inscindibilmente con la protezione dei dati personali (GDPR) e la sicurezza informatica (NIS2 e DORA).
L’AI Act non è una legge sulla tecnologia, ma sulla gestione del rischio. Il Legislatore europeo ha classificato i sistemi di IA in diverse categorie, con obblighi crescenti:
- rischi inaccettabili: sistemi vietati (es. social scoring o identificazione biometrica remota in tempo reale in spazi pubblici, salvo eccezioni);
- alto rischio: sistemi che incidono su salute, sicurezza o diritti fondamentali. In questa categoria rientrano spesso i software usati dai consulenti del lavoro per il recruiting o la gestione delle performance;
- rischio limitato: sistemi come i chatbot, che richiedono obblighi di trasparenza (l’utente deve sapere che sta interagendo con una macchina).
Per il professionista, il primo passo è il censimento degli algoritmi in uso nello studio o nelle aziende clienti, identificando quali ricadano nella categoria “alto rischio”.
Come ben si è imparato, l’intelligenza artificiale si nutre di dati, spesso personali o particolari (ex sensibili) e il GDPR rimane la “lex generalis” che disciplina ogni trattamento.
Il trattamento dei dati deve avvenire:
- secondo una Base Giuridica legittima: l’addestramento o l’uso di una IA non esenta dalla ricerca di una base giuridica valida (consenso, legittimo interesse, obbligo legale);
- rispettando il Principio di Minimizzazione: l’AI Act richiede dati di alta qualità per evitare bias (distorsioni), il che sembra collidere con il principio del GDPR di trattare “meno dati possibile”. Il professionista deve bilanciare queste 2 esigenze: dati sufficienti per l’accuratezza, ma limitati per la privacy;
- garantendo alla persona fisica a cui si riferiscono i dati il Diritto all’Opposizione.
Nonché nel caso in cui il trattamento del dato avvenga tramite Processi Automatizzati si deve ricordare che l’art. 22 del GDPR vieta decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici, a meno di specifiche garanzie. L’AI Act rafforza questo concetto imponendo la sorveglianza umana (human-in-the-loop).
L’introduzione dell’IA ha, di fatto, portato con se nuove vulnerabilità a livello informatico nella attività professionale quotidiana e sempre più ne porterà.
Gli attacchi di “data poisoning” (corruzione dei dati di addestramento) o il “prompt injection” (manipolazione dell’output) richiedono difese specifiche.
La conformità all’AI Act non può prescindere dalla cybersecurity.
Per gli studi professionali che gestiscono dati contabili e previdenziali, la sicurezza informatica si declina oggi in tre direttrici:
- riservatezza: impedire che i prompt inseriti dai dipendenti (es. “Analizza questo bilancio…”) finiscano nel dataset pubblico del fornitore di IA;
- integrità: assicurarsi che l’output dell’IA non sia stato alterato da attori esterni;
- disponibilità: garantire che i processi critici dello studio non si fermino in caso di blackout del servizio IA.
I Commercialisti e i Consulenti del lavoro, come gli Avvocati, devono prestare attenzione alla distinzione tra:
- fornitore (Provider): chi sviluppa l’IA o la immette sul mercato con il proprio marchio;
- utilizzatore (Deployer): il professionista o l’azienda che utilizza il sistema di IA sotto la propria autorità.
Il Deployer ha obblighi precisi, quali:
- monitorare il funzionamento del sistema;
- conservare i log generati automaticamente e istruire il personale.
Un errore nell’output di un’IA utilizzata per il calcolo delle imposte o per l’elaborazione di paghe non esime il professionista dalla responsabilità professionale verso il cliente.
Per passare dalla teoria alla pratica, il professionista dovrebbe implementare una strategia in 5 punti. Qui di seguito si propone una check-list per lo Studio Professionale:
- AI Literacy: formare i collaboratori sulla comprensione del funzionamento dell’IA e sui suoi limiti (allucinazioni, bias);
- aggiornamento dell’Informativa Privacy: specificare se e come i dati dei clienti vengono trattati tramite sistemi di IA;
- DPIA (Valutazione d’Impatto): effettuare sempre una valutazione d’impatto sulla protezione dei dati prima di introdurre sistemi di IA che possano presentare rischi elevati per i diritti degli interessati;
- governance dei Fornitori: rivedere i contratti con i vendor di software, verificando le certificazioni di sicurezza e le garanzie di conformità all’AI Act;
- policy Interna sull’IA: definire linee guida chiare su cosa può essere inserito nei modelli di linguaggio (es. evitare dati identificativi dei clienti in ChatGPT o altre intelligenze artificiali in versione gratuita).
L’AI Act non deve essere visto come un ostacolo burocratico, ma come una guida per un’innovazione etica e sicura. Per Avvocati, Commercialisti e Consulenti del lavoro, la sfida è diventare i “custodi della conformità” per i propri clienti, integrando competenze giuridiche, capacità di analisi del dato e sensibilità verso la sicurezza informatica.
La tecnologia corre veloce, ma la cornice dei diritti resta il fondamento della professione.
