L’architettura che regge il quadro normativo

Nell’articolo precedente ci siamo detti una cosa che a chi lavora ogni giorno con la partita doppia non dovrebbe sfuggire, e che invece ho la sensazione passi sotto traccia in quasi tutte le conversazioni che sto avendo con professionisti e titolari di studio: il quadro normativo dell’intelligenza artificiale si è chiuso il 21 novembre 2025, quattro lati della cornice sono al loro posto, GDPR, AI Act, Legge 132/2025, Codice Deontologico, da quella data in poi nessun commercialista può più dire, in buona fede, che la norma non c’è, che non si capisce, che non si applica al suo studio. La cornice è completa.

Ma una cornice, per quanto perfetta nella geometria, non regge da sola la fotografia che vi sta dentro. È questo il punto da cui partiamo oggi, dentro al quadro c’è qualcosa che le quattro norme, lette per intero, vi mettono davanti riga per riga: ci sono cinque pilastri, cinque adempimenti operativi che traducono il principio europeo, la legge italiana e l’obbligo deontologico in cose concrete da fare, da sapere, da documentare in uno studio professionale. E se la cornice è la fotografia istituzionale della professione vista  da Bruxelles, da Roma e dal Consiglio Nazionale, i pilastri sono ciò che, dentro lo studio, regge in piedi quella fotografia dalla mattina alla sera.

Si chiamano Sapere, Proteggere, Formare, Scegliere, Usare. La sequenza non è alfabetica ed è tutto fuorché casuale: prima si conosce, poi si proteggono i dati che si trattano, poi si forma chi quei dati li tocca, poi si sceglie lo strumento con cui si lavora, infine si usa quello strumento secondo un metodo. Capovolgere l’ordine — che è quello che oggi sta succedendo nella stragrande maggioranza degli studi italiani — significa scegliere prima di sapere, usare prima di proteggere, formare dopo aver fatto danno: significa, in sostanza, partire dal tetto per costruire una casa.

Il primo pilastro: Sapere

Il primo pilastro è il più sottovalutato perché chi non sa di non sapere si convince che la fase del Sapere lui l’ha già superata. L’AI Act, all’articolo 4, in vigore dal 2 febbraio 2025 — non da una settimana, non da un mese, da quasi un anno e mezzo — impone ai deployer, e ricordo che un deployer secondo la definizione dell’articolo 3 numero 4 dello stesso Regolamento è esattamente il commercialista che usa ChatGPT per redigere una bozza, Claude per ricercare una norma, Copilot per leggere un bilancio, di garantire un livello sufficiente di alfabetizzazione in materia di intelligenza artificiale al proprio personale. È un obbligo già operativo, non una buona pratica raccomandata, e ha trovato il suo gemello deontologico nell’articolo 21, comma 9, del Codice Deontologico CNDCEC, che chiede al professionista e ai suoi collaboratori la conoscenza del funzionamento e della tecnologia utilizzata.

Il punto, qui, è una distinzione che il commercialista coglie benissimo, perché l’ha già praticata mille volte nel discriminare le competenze del proprio studio: la norma chiede competenza tecnologica, non competenza tecnica. Nessuno vi sta domandando di programmare in phyton, di addestrare un modello, di gestire l’infrastruttura cloud che ospita Gemini. Vi si chiede di sapere che cosa fa un sistema di intelligenza artificiale, di capire la differenza tra un dato verificabile e una inferenza statistica, di riconoscere quando un output è probabilmente un’allucinazione e quando invece tiene, di sapere che cosa è il bias algoritmico e perché, se per le vostre SRL il bilancio si redige secondo il codice civile italiano, una risposta che vi applica acriticamente gli IFRS è tecnicamente corretta ma normativamente inutilizzabile. È competenza di lettura, non competenza di costruzione.

Ed è anche, va detto chiaramente, una protezione dell’ obiettività, l’articolo 7 del Codice Deontologico chiede da sempre di agire in assenza di pregiudizi che possano influenzare il vostro giudizio; un sistema di intelligenza artificiale è strutturalmente non neutrale, perché eredita gli squilibri del dataset su cui è stato addestrato, e usare acriticamente un suo output viziato non è un errore tecnico: è una violazione deontologica.

Per questo la sequenza corretta — su cui torneremo nel quinto pilastro, perché lì si chiude — è prima il giudizio professionale autonomo, poi la consultazione del sistema. Mai il contrario, perché chi parte dall’output dell’AI è già esposto al rischio di ancoraggio cognitivo, e l’ancoraggio è la forma più silenziosa con cui il giudizio del professionista viene sostituito da quello della macchina.

Il secondo pilastro: Proteggere

Il secondo pilastro porta il nome di una delle parole più antiche del: proteggere. Proteggere il segreto professionale, proteggere i dati dei clienti, proteggere la riservatezza di un fascicolo che non è nostro ma ci è stato affidato. La novità è che, oggi, proteggere significa anche conoscere quattro sigle che fino a pochi mesi fa stavano nei manuali tecnici dei dipartimenti IT delle grandi società: DPA, SCC, DPF, ZDR. Il commercialista, qui, non può delegarle all’informatico di studio, perché non sono dettagli tecnici: sono la discriminante legale tra un trattamento di dati conforme al GDPR e uno strutturalmente illecito.

Il DPA, Data Processing Agreement previsto dall’articolo 28 del GDPR, è il contratto obbligatorio tra il professionista — titolare del trattamento — e il provider del sistema AI — responsabile del trattamento, senza DPA, qualunque trattamento di dati personali tramite intelligenza artificiale è illecito, e questa è l’affermazione che dovrebbe togliere il sonno a chi oggi sta usando ChatGPT Plus, Claude Pro, Gemini AI Pro o Copilot personale per attività che riguardano i clienti dello studio. Quei piani, lo dico con la stessa precisione con cui si scrive una nota integrativa, non prevedono il DPA per definizione: sono piani consumer, e i piani consumer non possono firmare un Data Processing Agreement perché non hanno l’infrastruttura contrattuale per farlo. La conformità non si compra con un upgrade qualunque: si ottiene solo passando ai tier Business o Enterprise, dove il DPA è incluso, le SCC — le Standard Contractual Clauses — sono incorporate, il training opt-out è garantito contrattualmente e non più solo come impostazione modificabile, e la EU Data Residency è una garanzia documentabile.

Sul tavolo del segreto professionale, poi, il livello di attenzione si alza. L’articolo 622 del codice penale punisce con la reclusione fino a un anno la rivelazione del segreto professionale, anche involontaria, e un dato di un cliente inserito in un piano consumer senza DPA equivale, sul piano giuridico, a una comunicazione a un terzo — il provider — senza garanzie. Per le categorie particolari, dati sanitari, contenziosi, procedimenti penali, dati giudiziari, non basta il tier Business: serve anche la Zero Data Retention, cioè la garanzia che nessun prompt e nessun output vengano conservati dopo l’elaborazione. Ed è qui che il mito del server in casa, dell’LLM locale come soluzione miracolosa di sicurezza, si sgonfia con i numeri della letteratura di sicurezza informatica: secondo le rilevazioni di Gartner, l’ottanta per cento delle violazioni di dati nasce da errori di configurazione, non da attacchi esterni sofisticati, e fino al novantanove per cento dei fallimenti di sicurezza in ambiente cloud è attribuibile, sempre per Gartner, al modo in cui il cliente ha configurato l’ambiente, non al provider. La sicurezza è un processo, non un luogo.

La posizione fisica del server non aggiunge un grammo di conformità, perché ciò che conta è chi configura, chi monitora, chi aggiorna, ed è esattamente il tipo di competenza che un grande provider enterprise garantisce con team dedicati e investimenti continui e che uno studio professionale italiano, con tutto il rispetto della categoria, non può ragionevolmente avere al proprio interno.

Il terzo pilastro: Formare

Il terzo pilastro è quello che molti titolari leggono come competenza individuale del titolare e che invece la norma scrive nei termini esattamente opposti. L’articolo 21, comma 9, del Codice Deontologico parla del professionista medesimo e dei suoi dipendenti e collaboratori: tutti, dal socio fondatore al tirocinante dell’ultimo semestre, devono conoscere il funzionamento e la tecnologia utilizzata. L’articolo 29 del GDPR aggiunge un livello: chi agisce sotto l’autorità del titolare non può trattare dati personali se non è stato istruito in tal senso. Sovrapponete le due fonti e ottenete una fotografia che cambia completamente il modo in cui un titolare deve guardare al proprio organico.

Il rischio più trascurato — e quello che più spesso emerge nelle conversazioni in aula durante i corsi — non è il collaboratore senior che conosce le proprie abitudini e tende, semmai, a essere prudente per indole. È il tirocinante. La nuova generazione che entra in studio porta con sé una familiarità digitale nativa che è un vantaggio enorme se la guidi e un rischio strutturale se non la supervisioni: il tirocinante è tentato, comprensibilmente, di velocizzare con l’AI compiti che altrimenti gli porterebbero ore, e se usa uno strumento non autorizzato dallo studio o tratta dati senza verifica, la responsabilità disciplinare ricade integralmente sul dominus. Non sul tirocinante, sul dominus. Per questo la lettera di incarico del tirocinante, che oggi nella maggior parte degli studi è un documento standard non aggiornato, va integrata con clausole specifiche sull’uso dell’AI e sul patrimonio di prompt, workflow e configurazioni che lo studio ha sviluppato e che non può essere portato via al termine del tirocinio.

Va aggiunto, e qui il discorso si fa concreto, che la formazione esiste solo se è documentata. Senza documentazione, la formazione per la legge non c’è. Data, durata, partecipanti, contenuti, strumenti discussi, firma di ricezione: questa è la traccia che, in caso di procedimento disciplinare, dimostra l’adempimento dell’obbligo dell’articolo 21 comma 9. La sessione di formazione che fate in studio, la giornata di SAF a cui i collaboratori partecipano, la lezione interna che il titolare improvvisa il giovedì dopo pranzo: sono tutte adempimento, ma solo se conservate per iscritto. Vale la pena di tenerlo a mente come si tiene a mente la corretta tenuta del libro giornale: un libro giornale che non è stato vidimato esiste materialmente ma giuridicamente non c’è. Allo stesso modo una formazione non documentata.

Il quarto pilastro: Scegliere

Il quarto pilastro è il primo che si tiene in piedi solo se i due precedenti reggono. Scegliere lo strumento di intelligenza artificiale per lo studio non è il punto da cui si parte: è il punto in cui si arriva, ed è il pilastro che il commercialista può affrontare con serenità soltanto dopo aver fatto suoi i pilastri del Sapere e del Proteggere. Se sapete come funziona un sistema di AI e che cosa significa, dentro al perimetro del vostro studio, proteggere i dati dei clienti, la scelta dello strumento smette di essere una decisione presa al mattino sulla base dell’ultima novità sentita al corso, dell’ultima recensione letta in rete o dell’ultimo amico che vi ha consigliato la sua piattaforma preferita: diventa, con sorprendente naturalezza, una conseguenza.

Il rischio in questo pilastro è esattamente l’opposto di quello che la maggior parte di noi immagina. Non è scegliere male, è scegliere per i motivi sbagliati. Si sceglie perché lo strumento è veloce, perché si integra bene con un processo che dentro lo studio già funziona, perché il prezzo è interessante, perché in aula un collega ha detto che lo usa, perché il tirocinante o il collaboratore “smanettone” l’ha installato sul proprio account personale e ha portato in studio l’abitudine. Tutti questi sono criteri perfettamente legittimi quando si compra un gestionale fiscale; nessuno di essi, da solo, è sufficiente quando si tratta di un sistema di intelligenza artificiale che processerà dati riconducibili ai clienti. La norma — articolo 21 comma 9 lettera b del Codice Deontologico, articolo 28 del GDPR — non vi sta chiedendo di scegliere lo strumento più moderno, più performante o più popolare: vi sta chiedendo di scegliere uno strumento di cui possiate accertarvi della conformità. Sono due verifiche diverse, e si fanno in momenti diversi della decisione.

I criteri sui quali quella verifica si poggia sono pochi, oggettivi e leggibili in pochi minuti, e sono gli stessi che il pilastro del Proteggere ha già introdotto. Tre, in particolare, sono eliminatori: il DPA firmato — non promesso, firmato — come previsto dall’articolo 28 del GDPR; la residenza dei dati in Unione Europea o, in alternativa, le Standard Contractual Clauses incorporate nel contratto, che rendono lecito il trasferimento extra-UE secondo l’articolo 44 del GDPR e la Decisione UE 2021/914; il training opt-out come garanzia contrattuale del fornitore, non come impostazione modificabile dall’utente. Se uno solo di questi tre criteri manca, lo strumento è fuori, indipendentemente da quanto sia performante o conveniente; se tutti e tre sono presenti, lo strumento entra nel novero di quelli da valutare insieme agli altri criteri di compliance — sicurezza, certificazioni, cancellazione dei dati, retention, documentazione tecnica — che determinano la scelta finale.

Una considerazione di proporzionalità, in chiusura di questo pilastro, scegliere un sistema di AI integrato nel proprio ecosistema non è una preferenza di brand: è la scelta proporzionata all’ambiente reale dello studio, perché l’AI deve poter vivere dove il lavoro vive davvero, non in una pagina web a parte. Il criterio finale, in questo pilastro, è proporzionalità all’ecosistema reale dello studio, non moda tecnologica.

Il quinto pilastro: Usare

Il quinto pilastro è quello che chiude la filiera e che, se i primi quattro non reggono, non si tiene da solo: si chiama Usare, e si fonda sui commi 8 e 9 dell’articolo 21 del Codice Deontologico. L’AI può essere impiegata esclusivamente per le attività strumentali e di supporto, dovendo assicurare che l’esito della prestazione sia il risultato prevalente dell’attività intellettuale del professionista. Tre parole pesano in questa formula: strumentale, supporto, prevalente. La prima e la seconda definiscono il perimetro; la terza, prevalente, è quella che si decide ogni volta che il professionista mette il proprio giudizio sopra o sotto l’output del sistema.

Qui la norma usa un criterio che è insieme semplicissimo e severissimo: il discrimine non è quanto tempo ha lavorato il professionista rispetto all’AI, ma se il giudizio intellettuale del professionista è stato determinante nel risultato finale. È un criterio qualitativo, non quantitativo. Il professionista che si limita a un controllo superficiale, che approva senza rielaborare, che incolla l’output con qualche ritocco di stile, viola il comma 8 anche se ha dedicato ore a leggere quell’output. Il rischio, in altre parole, non è la pigrizia: è il click che approva. Ed è il motivo per cui la sequenza che protegge è, e resta, sempre la stessa: prima il vostro giudizio in modo autonomo, poi l’AI come verifica, integrazione, accelerazione. Mai partire dall’AI e limitarsi a revisionare.

Il comma 9, lettera a, completa l’architettura imponendo l’obbligo esplicito di verificare le fonti e la veridicità dei dati. Le allucinazioni non sono un bug, sono una caratteristica strutturale del sistema, e la norma lo sa: ogni riferimento normativo, ogni citazione giurisprudenziale, ogni dato statistico prodotto dall’AI va verificato sulla fonte primaria, non secondaria, prima di essere usato. La parte finale del comma 9 è quella che chiude il discorso senza appello: in nessun caso il ricorso ai sistemi di intelligenza artificiale può considerarsi esimente. La responsabilità è integralmente del professionista. L’AI non firma niente, non risponde a nessuno, non si presenta davanti all’Organo di Disciplina. Lo facciamo noi.

La partita doppia tra i pilastri

Se prendete i cinque pilastri e li disponete come Pacioli ci ha insegnato a leggere ogni operazione — un dare e un avere, un movimento di entrata e uno di uscita — vedrete con sorprendente naturalezza le corrispondenze interne. Sapere e Usare sono il primo e l’ultimo movimento dello stesso conto: senza la consapevolezza non si arriva all’uso conforme, senza l’uso si dimostra che la consapevolezza era reale. Proteggere e Scegliere sono la coppia che dà ordine al perimetro tecnologico: cosa difendere è la domanda; con quale strumento è la risposta. E in mezzo, come la riga di rettifica che lega l’attivo e il passivo, sta Formare: il pilastro che fa transitare la consapevolezza del titolare nella pratica quotidiana di chi quella consapevolezza la deve incarnare nei propri gesti, dai dipendenti ai tirocinanti.

Nessun pilastro tiene da solo, e nessuna norma del quadro si tiene da sola. La cornice dei quattro lati senza i cinque pilastri è una fotografia appesa al muro. Il quadro completo è il bilancio della compliance, e — come sappiamo da cinque secoli di partita doppia — un bilancio che non quadra non è un bilancio. Il punto, oggi, non è scegliere quale pilastro privilegiare: è capire quale dei cinque, nel proprio studio, regge davvero al test della verifica formale.

Da lunedì in studio

Da poco più di cinque mesi la cornice è chiusa, il passo successivo, quello che la presentazione che condivido in aula chiama da lunedì in quest’ordine, è semplice da enunciare e meno semplice da praticare.

Questa settimana, prendete in mano i tre strumenti di intelligenza artificiale che usate più spesso — voi titolari e i vostri collaboratori — e annotate, per ciascuno, il piano sottoscritto, l’esistenza o meno del DPA, l’attivazione o meno del training opt-out: tre voci, una tabella di sei celle.

Entro trenta giorni, scrivete la policy AI dello studio in cinque punti, non più di due pagine, e condividetela con tutti. Verificate il tier dei sistemi che usate: se non hanno DPA, smettete di inserire dati di clienti finché non avete uno strumento conforme, e nel frattempo organizzate la sessione di formazione interna — che, se documentata, è già adempimento dell’articolo 21 comma 9.

Entro novanta giorni, aggiornate la lettera di incarico dei tirocinanti con la clausola sul patrimonio AI dello studio, inserite la clausola AI nel mandato professionale standard, contattate il vostro broker assicurativo per verificare se la polizza RCP copre i rischi derivanti dall’uso dell’intelligenza artificiale: se la risposta è no o incerta, chiedete un’estensione specifica prima che si verifichi un sinistro.

Sono passi piccoli, e per questo realistici. Nessuno di essi richiede investimenti di tempo che uno studio professionale non possa permettersi nelle finestre tra una scadenza fiscale e l’altra. Tutti, presi insieme, fanno la differenza tra uno studio che ha riconosciuto i cinque pilastri e uno che continua a guardare solo la cornice.

:

Post correlati

Loghi di ChatGPT, Google Gemini e Microsoft Copilot: i tre strumenti AI più usati negli studi professionali e commercialisti

L’87% degli studi professionali usa ChatGPT: il dato che dovrebbe preoccupare

cloud e videocall

Cloud e videocall: così cambiano gli Studi Professionali

È possibile per un commercialista cambiare il proprio modello di business? 

Menu