AI Act: cosa cambia per commercialisti e consulenti
Guida pratica al Regolamento UE 2024/1689 e alla Legge 132/2025 per studi professionali e aziende. Obblighi, scadenze e come prepararsi.
Caricamento...
Checklist pratica con i 15 adempimenti AI Act per aziende e studi professionali: inventario strumenti, formazione, policy interna e informativa clienti.
L'adeguamento all'AI Act non si improvvisa. Ogni settimana arrivano in azienda o in studio nuovi tool, nuovi collaboratori che usano AI in autonomia, nuovi aggiornamenti normativi. Senza un framework strutturato, il rischio è fare una sistemata una tantum e ritrovarsi fuori compliance tre mesi dopo. Questa checklist in 15 punti distribuiti su 5 aree è lo strumento di partenza per un assessment sistematico — non un check da fare una volta sola, ma un documento da riesaminare ogni sei mesi.
Ogni punto va spuntato solo quando la documentazione esiste e può essere esibita, non quando il processo è stato discusso o è "in programma". Se un punto non è completamente soddisfatto, va marcato come aperto e trattato come priorità.
La logica è quella di un audit: immaginate che un ispettore di AgID bussi alla porta della vostra organizzazione domani mattina e chieda di vedere le prove di ogni punto. Se non riuscite a produrle in 15 minuti, il punto non è chiuso.
L'inventario è la base di tutto. Non si può governare ciò che non si conosce, e non si può informare il cliente su strumenti che non si è censiti.
Punto 1.1 — Registro completo degli strumenti AI in uso Esiste un documento aggiornato con: nome del tool, versione, fornitore, data di adozione, attività per cui viene usato, dati trattati? Il registro include non solo i tool adottati ufficialmente dall'organizzazione, ma anche quelli usati individualmente dai collaboratori (ChatGPT personale, Copilot, ecc.)?
Punto 1.2 — Classificazione del rischio per ogni strumento Per ogni tool nel registro è stata assegnata una classificazione di rischio AI Act (minimale, limitato, alto)? La classificazione è documentata con motivazione? I tool ad alto rischio sono stati identificati e trattati separatamente?
Punto 1.3 — Verifica GDPR dei fornitori AI Per ogni tool che tratta dati personali dei clienti è stato firmato un DPA (Data Processing Agreement) con il fornitore? Sono stati verificati i termini di utilizzo per escludere che i dati vengano usati per addestrare i modelli?
L'Art. 4 dell'AI Act impone l'obbligo di AI literacy per tutto il personale che usa sistemi AI. Questo obbligo è in vigore dal 2 febbraio 2025: chi non lo ha ottemperato ha un adempimento arretrato da sanare.
Punto 2.1 — Formazione erogata a tutto il personale Tutti i collaboratori e i responsabili dell'organizzazione che usano strumenti AI hanno ricevuto formazione specifica? La formazione ha coperto: cosa è un sistema AI, come funziona, limiti e rischi, responsabilità professionali, obblighi legali?
Punto 2.2 — Formazione documentata Esistono attestati di partecipazione o registro presenze per ogni sessione formativa? La documentazione riporta: data, durata, contenuti, partecipanti, erogatore? Questi documenti sono conservati e accessibili?
Punto 2.3 — Piano di aggiornamento Esiste un calendario per la formazione di aggiornamento (almeno annuale)? Il piano prevede l'onboarding formativo per i nuovi collaboratori prima che inizino a usare tool AI? È stato identificato chi è responsabile di aggiornare i contenuti formativi?
La trasparenza verso i clienti è l'obbligo più visibile della Legge 132/2025 (Art. 13, per le professioni intellettuali) e quello più direttamente esposto a contenzioso. Anche per le aziende, dichiarare l'uso di AI nelle comunicazioni e nei deliverable verso i clienti è la pratica più difendibile.
Punto 3.1 — Clausola contrattuale nella lettera di incarico Il template standard della lettera di incarico include una clausola AI che identifica gli strumenti in uso, le attività per cui vengono impiegati e la supervisione professionale? La clausola è aggiornata all'elenco attuale degli strumenti nel registro?
Punto 3.2 — Informativa consegnata ai clienti esistenti I clienti con incarichi in corso hanno ricevuto l'informativa sull'uso di AI nello studio? Esiste prova della consegna (firma di ricevuta, email con ricevuta di lettura, PEC)?
Punto 3.3 — Procedura di opt-out documentata L'organizzazione ha definito e comunicato ai clienti la procedura per richiedere che specifiche attività vengano svolte senza AI? Questa procedura è gestibile operativamente senza impatto grave sul servizio?
La policy AI interna è il documento che regola come si usa l'AI nell'organizzazione: chi può usare cosa, per quali attività, con quali dati, con quale supervisione. Non deve essere un manuale enciclopedico — deve essere leggibile e applicabile da ogni collaboratore.
Punto 4.1 — Policy AI redatta e firmata Esiste una policy AI scritta approvata dai vertici (titolare, soci o partner)? La policy è stata consegnata a tutto il personale e firmata per presa visione? È datata e versionata?
Punto 4.2 — Tool autorizzati definiti La policy contiene una lista esplicita dei tool AI autorizzati per uso professionale? È chiaro cosa succede se un collaboratore vuole usare un tool non in lista (procedura di approvazione)?
Punto 4.3 — Procedura di approvazione nuovi strumenti Prima di adottare un nuovo tool AI, esiste una procedura che prevede: valutazione del rischio, verifica GDPR, formazione specifica, aggiornamento del registro e della policy? Chi ha il potere di approvare?
La valutazione del rischio è il cuore dell'AI Act. Senza di essa, tutti gli altri adempimenti mancano di fondamento: non si sa cosa proteggere, con quale priorità, con quale intensità di controllo.
Punto 5.1 — Classificazione di rischio documentata per ogni tool Per ogni strumento nel registro esiste un documento che spiega perché è stato classificato con quel livello di rischio? La classificazione tiene conto del contesto d'uso (non solo delle caratteristiche tecniche del tool)?
Punto 5.2 — Sistemi ad alto rischio identificati I tool potenzialmente classificabili come "alto rischio" ai sensi dell'AI Act (es. sistemi usati per valutare l'affidabilità creditizia, supporto a decisioni che incidono su diritti delle persone) sono stati identificati? È stato valutato se rientrano nell'Allegato III dell'AI Act?
Punto 5.3 — Supervisione umana documentata Per i tool che producono output usati direttamente nella prestazione professionale (pareri, contratti, report fiscali), esiste una procedura documentata di revisione umana? Chi rivisa, come e quando è tracciato?
| Area | Punti | Adempimento principale |
|---|---|---|
| 1. Inventario strumenti AI | 1.1 — 1.2 — 1.3 | Registro aggiornato + GDPR fornitori |
| 2. Formazione AI Literacy | 2.1 — 2.2 — 2.3 | Formazione documentata + piano aggiornamento |
| 3. Trasparenza clienti | 3.1 — 3.2 — 3.3 | Clausola contrattuale + informativa clienti esistenti |
| 4. Policy AI interna | 4.1 — 4.2 — 4.3 | Policy firmata + tool autorizzati + procedura approvazione |
| 5. Valutazione rischio | 5.1 — 5.2 — 5.3 | Classificazione rischio + supervisione documentata |
Non tutti i 15 punti hanno la stessa urgenza. Se dovete scegliere da dove partire, questa è la sequenza raccomandata:
Immediato (entro 2 settimane)
L'Art. 4 dell'AI Act sull'AI literacy è in vigore dal 2 febbraio 2025. Chi non ha ancora erogato formazione è già in violazione. L'inventario degli strumenti (Area 1) è il prerequisito per tutto il resto: senza sapere cosa si usa, non si può fare nulla di sensato.
Entro 30 giorni
Informativa ai clienti (Area 3) e policy interna (Area 4): sono gli adempimenti più visibili verso l'esterno e verso i collaboratori. Richiedono lavoro di scrittura e revisione, non solo raccolta dati.
Entro 60 giorni
Valutazione del rischio (Area 5): richiede più riflessione e, per i tool più complessi, eventuale supporto esterno. Non è un documento che si redige in fretta.
Scarica la versione PDF di questa checklist con campi compilabili dalla sezione Risorse e Guide. Se preferisci partire da una diagnosi guidata, l'AI Readiness Assessment gratuito ti dice in 5 minuti quali di questi punti sono già coperti e quali no. Per il quadro normativo europeo completo che definisce questi adempimenti, consulta la nostra guida all'AI Act.
Dipende dal punto di partenza. Un'azienda o uno studio con buona sensibilità compliance (es. già GDPR-compliant) può completare i passi fondamentali in 10-15 giorni lavorativi. Partendo da zero possono servire 4-6 settimane.
Non necessariamente. Un'organizzazione molto piccola (1-3 persone, pochi tool AI) può fare un self-assessment con questa checklist e sistemare i punti critici in autonomia. Organizzazioni più grandi o con sistemi AI più complessi beneficiano di supporto esterno, soprattutto per la valutazione del rischio e la redazione di una policy robusta.
La legge non impone una figura specifica, ma è buona pratica identificare un 'AI officer' interno — anche informale — che coordina l'inventario, la formazione e l'aggiornamento della policy. Nelle realtà piccole è spesso il titolare o il partner senior. Nelle organizzazioni con più sedi può essere necessaria una figura dedicata.
Le sanzioni AI Act sono proporzionate ma significative: fino al 3% del fatturato globale per violazioni degli obblighi degli operatori (inclusa mancanza di AI literacy). Ma oltre le sanzioni, il rischio reputazionale con i clienti è altrettanto rilevante: un contenzioso basato sull'uso non dichiarato di AI in un parere professionale può essere molto costoso.
Ogni settimana: guide pratiche, novità normative e casi d'uso per aziende e studi professionali. Niente spam.
Guida pratica al Regolamento UE 2024/1689 e alla Legge 132/2025 per studi professionali e aziende. Obblighi, scadenze e come prepararsi.
Cosa prevede l'obbligo di AI literacy, chi riguarda, quali sanzioni rischia chi non si adegua e come adempiere entro la scadenza.
La Legge 132/2025 è la prima legge italiana sull'AI, in vigore dal 10 ottobre 2025. Obblighi concreti per studi professionali: informativa, governance e sanzioni.