L’uso dell’intelligenza artificiale negli studi professionali offre rilevanti vantaggi operativi, ma impone particolare attenzione alla tutela dei dati personali e al rispetto del segreto professionale. Il commercialista resta titolare del trattamento e responsabile dell’eventuale inserimento di dati dei clienti in sistemi AI non conformi.
L’impiego dell’intelligenza artificiale negli studi professionali costituisce una delle principali innovazioni organizzative degli ultimi anni, capace di incidere profondamente sulle modalità di svolgimento dell’attività del commercialista. Tuttavia, a fronte dei vantaggi in termini di efficienza e rapidità, emergono rilevanti criticità sotto il profilo della tutela dei dati personali, soprattutto quando si ricorre a sistemi di AI generalisti.
Il quadro normativo di riferimento, delineato dalla Legge n. 132/2025, dal GDPR e dall’AI Act europeo, ne impone un utilizzo coerente con i principi di trasparenza, responsabilità e protezione dei diritti fondamentali. In tale contesto, il Legislatore italiano ha fornito una vera e propria gerarchia tra la prestazione professionale e lo strumento tecnologico, chiarendo che l’AI può essere impiegata nelle professioni intellettuali esclusivamente come strumento di supporto, dovendo restare prevalente il contributo del professionista umano, il quale mantiene la piena responsabilità delle decisioni e delle prestazioni rese.
Il rischio nascosto nei termini di servizio
Accedere a un agente AI, incollare il bilancio del cliente e ricevere in pochi secondi un’analisi strutturata degli indicatori economico-finanziari è un’esperienza che ormai molti professionisti hanno fatto almeno una volta, con una delle chatbot più diffuse online. Veloce, intuitiva, apparentemente innocua.
Eppure, quella singola azione può integrare contemporaneamente:
- una comunicazione di dati personali a un soggetto terzo senza base giuridica (art. 6, GDPR);
- un trasferimento extra-UE in assenza di garanzie adeguate (artt. 44-49, GDPR);
- una violazione del segreto professionale ex art. 622, c.p., e dei codici deontologici;
- nelle pratiche antiriciclaggio, una potenziale violazione del divieto di tipping-off (art. 39, D.Lgs. n. 231/2007).
Nessuno di questi rischi spesso è palese, essendo “sepolti” nelle condizioni d’uso che, statisticamente, troppo poco si leggono.
I dati dello studio e il Professionista
Il commercialista opera come titolare del trattamento ex art. 4, n. 7, GDPR. Non esiste scarico di responsabilità verso il provider dell’AI: se il dato del cliente finisce in un sistema terzo senza base giuridica, ne risponde il professionista.
I dati trattati in studio (reddituali, patrimoniali, fiscali, giudiziari, di adeguata verifica antiriciclaggio) sono esattamente il tipo di dati per cui il GDPR prevede i presidi più severi.
I rischi concreti dell’AI generalista
Il primo e più sottile rischio riguarda l’addestramento dei modelli: le versioni “consumer” delle principali chatbot prevedono, nella configurazione predefinita, che le conversazioni degli utenti possano essere utilizzate per affinare il modello. Questo integra una violazione del principio di limitazione della finalità (art. 5, par. 1, lett. b, GDPR): il dato del cliente è stato raccolto dal professionista per fornire consulenza, non per addestrare algoritmi di un provider.
Il secondo rischio è il trasferimento extra-UE: la gran parte dei provider opera su server statunitensi, con riferimento quindi al regime degli artt. 44-49, GDPR, e necessità di verificare la copertura del Data Privacy Framework o la presenza di SCC (Decisione 2021/914/UE).
L’utente “consumer” non ha né DPA contrattuale né diritto di audit sul fornitore.
Il terzo profilo riguarda i diritti dell’interessato: il cliente del professionista ha il diritto di accesso, rettifica e cancellazione dei propri dati (artt. 15-17, GDPR).
Se quei dati sono stati immessi in una chatbot generalista, il professionista non è materialmente in grado di poter dar seguito a queste istanze.
Non è un rischio teorico: il Garante italiano ha recentemente condotto un’istruttoria su OpenAI, (Provv. n. 755 del 2/11/2024, sanzione di 15 milioni di euro, poi annullata dal Tribunale di Roma, per ragioni di proporzionalità), e ha bloccato “DeepSeek” in via d’urgenza il 30 gennaio 2025 proprio per l’assenza di garanzie sui trasferimenti extra-UE.
Consumer vs. uso professionale: la differenza che conta
La risposta al problema non è rinunciare all’IA, ma scegliere gli strumenti giusti.
La distinzione rilevante è tra strumenti consumer e soluzioni verticali professionali che offrono un DPA contrattuale ex art. 28, GDPR, esclusione contrattuale dell’addestramento, residenza dei dati nello SEE e diritto di audit.
Alcuni assistenti AI verticali per professioni economico-giuridiche, documentano nella propria privacy policy l’esclusione dell’addestramento per tutti i provider API integrati, la residenza dei dati su data center UE, il DPA incluso nella sottoscrizione con SCC 2021/914 per eventuali trasferimenti residuali, diritto di audit contrattuale e notifica del data breach entro 24 ore.
Questi non sono requisiti aggiuntivi: sono i requisiti minimi che qualsiasi fornitore IT deve soddisfare per essere nominato responsabile del trattamento ex art. 28, GDPR, e, quindi, per essere lecitamente utilizzato in studio.
Regola operativa
Alla luce di ciò, prima di utilizzare qualsiasi sistema di IA, il professionista deve verificare 3 cose:
- se esista un DPA firmato e il provider esclude contrattualmente l’uso dei dati per l’addestramento;
- se i dati siano conservati nel SEE o comunque coperti da SCC o decisione di adeguatezza;
- se sia in grado di rispondere a un’istanza di cancellazione del cliente anche per i dati immessi nel sistema.
La mancanza di un solo requisito tra questi 3 rende il sistema non conforme al GDPR.
A questo si aggiungono gli obblighi introdotti dall’AI Act (art. 4: formazione del personale sull’uso dell’IA, dal 2 febbraio 2025) e dalla Legge n. 132/2025 (art. 13: il lavoro intellettuale umano deve restare prevalente; obbligo di informare il cliente sull’impiego dell’AI).
La scelta degli strumenti tecnologici, in questo quadro, non è una decisione organizzativa: è un atto di responsabilità professionale.
