Intelligenza artificiale nello studio professionale, nuova Guida del CNDCEC

Con l’Informativa n. 156/2025, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili ha reso disponibile la terza guida operativa sull’uso dell’Intelligenza Artificiale per fornire ai professionisti un documento organico e approfondito che li accompagni in un percorso strutturato di conoscenza, valutazione e integrazione degli strumenti di AI all’interno dello studio.

Al netto della ricchezza di esempi pratici e di casi d’uso che la caratterizzano, il cuore della guida risiede nelle indicazioni dedicate alla governance dell’AI, ossia in quell’insieme di processi, regole e responsabilità che permettono di far convivere l’innovazione tecnologica con i principi di sicurezza, riservatezza e diligenza propri della professione del commercialista.

Centralità del professionista

L’intelligenza artificiale non deve mai sostituire il giudizio esperto, ma agire come supporto alle attività ripetitive o di analisi massiva. Proprio questa visione antropocentrica si riflette nella declinazione delle policy interne per l’uso dell’AI, che il documento propone in forma di template dettagliato. Questa policy, che assume il carattere di un vero e proprio contratto operativo, definisce innanzitutto lo scopo e l’ambito applicativo dello strumento, richiamando i principi fondamentali di conformità normativa, trasparenza e rispetto del segreto professionale. Il professionista è dunque chiamato a comunicare al cliente, in linguaggio chiaro e accessibile, le tipologie di sistemi impiegati, i rischi connessi e le misure adottate per tutelarne la riservatezza. A questo scopo, il Regolamento UE 2016/679 (GDPR) e il nuovo AI Act europeo forniscono le linee guida essenziali: dal rispetto del principio di minimizzazione dei dati all’applicazione del “privacy by design” fin dalle fasi di progettazione di un’applicazione IA.

Valutazione dei rischi

La Guida affronta anche la valutazione dei rischi collegati a ciascun sistema di AI. Qui entra in gioco la Data Protection Impact Assessment (DPIA), già obbligatoria quando il trattamento di dati personali è suscettibile di generare rischi elevati per i diritti delle persone, e la Fundamental Rights Impact Assessment (FRIA), prevista dall’AI Act per i sistemi a rischio “alto”. La DPIA analizza il tipo di dati trattati, la qualità delle misure di sicurezza e la base giuridica che legittima il trattamento. La FRIA, dal canto suo, approfondisce le possibili implicazioni sui diritti fondamentali: dal rischio di discriminazione all’opacità dei processi decisionali. Grazie a questo doppio binario di analisi lo studio acquisisce consapevolezza dei punti deboli e definisce piani di intervento in grado di mitigare le criticità.

Policy interna

Una volta compresi i profili di rischio, diventa indispensabile dotarsi di una policy interna che fissi regole chiare. Questa policy, redatta in linguaggio semplice e accessibile, non potrà ridursi a un elenco di obblighi burocratici, ma dovrà diventare uno strumento operativo quotidiano, capace di accompagnare il professionista e lo staff nella scelta delle soluzioni tecnologiche più adatte. All’interno del documento andranno definiti i ruoli e le responsabilità, identificando il “Responsabile AI” incaricato di supervisionare tutte le fasi, dal monitoraggio continuo alla gestione degli incidenti. Andranno quindi descritte le regole di utilizzo dei sistemi: nessun output IA potrà essere diffuso senza revisione umana, e ogni interazione con il cliente dovrà essere accompagnata da un’informativa chiara, conforme alle previsioni del Codice Deontologico e della recente legge italiana sull’IA.

Formazione continua e monitoraggio costante

Essenziale per trasformare la policy in azione è la formazione continua di tutti i collaboratori. Non si tratta soltanto di corsi tecnici sull’uso del software, ma di costruire una vera cultura dell’IA all’interno dello studio. Attraverso workshop pratici, esercitazioni di gruppo e momenti di condivisione, squadra e partner possono acquisire la dimestichezza necessaria per porre le domande giuste ai fornitori, selezionare le piattaforme più sicure e riconoscere i possibili bias nelle risposte generate dall’algoritmo. In questo modo si crea un ambiente in cui l’entusiasmo per la tecnologia non si traduce in atteggiamenti passivi, ma si trasforma in scelte informate e responsabili.

Un altro tassello fondamentale è il monitoraggio costante. I sistemi di IA non vanno implementati una sola volta, ma richiedono verifiche periodiche, almeno semestrali, per controllare prestazioni, sicurezza e conformità. Gli audit interni consentono di aggiornare la mappatura dei rischi, verificare che le misure indicate nelle DPIA e FRIA siano effettivamente applicate e che non siano nate nuove “sperimentazioni” non governate. Gli esiti degli audit diventano così motore di miglioramento, offrendo dati concreti per rivedere la policy, eventuali procedure d’emergenza e i programmi formativi.