La compliance AI per i commercialisti
In questi mesi, in aula e sui social, ognuno ha raccontato la propria versione. Qualcuno ha spiegato che il GDPR non riguarda davvero gli studi più piccoli, qualcun altro ha presentato l’AI Act come una norma pensata per le grandi piattaforme tecnologiche, e molti hanno archiviato la Legge 132/2025 come una legge di principio, priva di conseguenze operative per chi ogni giorno apre Outlook, Excel e il gestionale. Ciascuna di queste affermazioni contiene un frammento di verità, e per questo produce un danno doppio: rassicura chi la ascolta, e gli impedisce di vedere la cornice dentro cui quel frammento si muove.
La cornice esiste, è fatta di quattro normative che, dal 21 novembre 2025, convergono sul commercialista italiano come un quadro che finalmente si chiude con quattro righe, una filiera, un solo perimetro di responsabilità. E se c’è una categoria che dovrebbe sapere, per formazione e per vocazione, che un bilancio con una riga scoperta non è un bilancio, quella categoria siamo noi.
Il quadro e il quadrilatero
La parola quadro è una di quelle che il commercialista maneggia da sempre senza pensarci troppo. Il quadro sinottico, il quadro RF, il quadro di bilancio, il quadro economico di una commessa: ogni volta che la professione ha dovuto dare ordine a una complessità, lo ha fatto costruendo un quadro, cioè uno spazio delimitato in cui ogni elemento trova il suo posto e, soprattutto, il suo contrappeso e non è un caso che la stessa parola indichi, in italiano, sia la cornice che racchiude sia la fotografia che viene racchiusa.
Il quadro normativo dell’intelligenza artificiale, per i commercialisti, funziona nello stesso modo: è una cornice, ed è una fotografia.
Il quadro ha quattro lati, e attenzione non è una metafora letteraria: è un’architettura normativa che si è costruita nell’arco di sette anni, con una logica verticale che va dal principio europeo fino all’obbligo che riguarda il singolo iscritto all’albo.
I quattro lati sono il Regolamento Generale sulla Protezione dei Dati del 2016, il Regolamento europeo sull’intelligenza artificiale del 2024, la Legge italiana 132 del 23 settembre 2025 e il Codice Deontologico aggiornato dal Consiglio Nazionale il 20 novembre 2025. Quattro fonti, quattro livelli di specificità crescente, e un’unica direzione: tradurre un principio generale in un obbligo concreto per chi, ogni mattina, apre uno studio professionale.
Le prime tre righe le conosciamo già
Il Regolamento Generale sulla Protezione dei Dati
che chiamiamo tutti GDPR, è in vigore dal 25 maggio 2018 e in questi otto anni è diventato parte del paesaggio. Il commercialista che usa un sistema di intelligenza artificiale per trattare dati dei clienti è, secondo il GDPR, un titolare del trattamento che affida un trattamento a un responsabile esterno — il fornitore del sistema — e deve farlo nel rispetto degli articoli 5, 28 e 44: finalità determinate, contratto scritto con il responsabile, garanzie adeguate quando i dati lasciano il territorio europeo. Non è una lettura nuova, è la stessa lettura che si applica quando si manda un file in conservazione digitale o quando si affida una comunicazione a un gestionale in cloud, la tecnologia è diversa; il principio è identico.
Il Regolamento europeo sull’intelligenza artificiale
l’AI Act, introduce una figura che il commercialista non aveva mai incontrato: il deployer. Il deployer è chi utilizza un sistema di intelligenza artificiale sotto la propria responsabilità nell’ambito di un’attività professionale, e l’articolo 3 numero 4 del Regolamento lo dice con precisione, in altre parole, il commercialista che usa ChatGPT per redigere una bozza, Claude per ricercare una norma, Copilot per analizzare un bilancio, Gemini per sintetizzare una relazione,
E dal 2 febbraio 2025 è operativo l’articolo 4, quello che impone ai deployer di garantire un livello sufficiente di alfabetizzazione in materia di intelligenza artificiale al proprio personale: la cosiddetta AI literacy, che non richiede di imparare a programmare ma di saper distinguere che cosa fa un sistema, quali sono i suoi limiti, quando il suo output è affidabile e quando non lo è.
La Legge 23 settembre 2025, n. 132,
entrata in vigore il 10 ottobre 2025, è la prima legge italiana che prende posizione esplicita sull’uso dell’intelligenza artificiale nelle professioni intellettuali. L’articolo 13, ai commi 1, 2 e 3, scrive tre cose che i commercialisti dovrebbero conoscere a memoria: l’uso dell’IA deve essere strumentale, mai sostitutivo dell’attività intellettuale; il risultato della prestazione deve rimanere prevalentemente frutto del contributo umano; il cliente deve essere informato quando nella prestazione viene impiegato un sistema di intelligenza artificiale. Sono tre regole apparentemente semplici, ma ciascuna di esse nasconde una traduzione operativa che cambia il modo in cui si lavora in studio.
Il Codice Deontologico: la quarta riga che ha chiuso la cornice, il quadro normativo
“Le prime tre le conosci già. La quarta ha chiuso il cerchio il 21 novembre 2025.” Fino al 20 novembre 2025 il quadro era incompleto, le tre fonti di cui abbiamo parlato esistevano già, con date di efficacia scaglionate, ma nessuna di esse parlava al commercialista in quanto commercialista. Parlavano a lui come titolare del trattamento, come deployer, come professionista intellettuale in senso generico, mancava il passaggio finale, quello che traduce il principio europeo e la legge nazionale in un obbligo deontologico specifico, applicabile al singolo iscritto all’albo, sanzionabile dall’Organo di Disciplina del proprio Ordine territoriale.
Quel passaggio è arrivato il 20 novembre 2025, quando il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili ha approvato l’aggiornamento del Codice Deontologico entrato in vigore il giorno successivo. L’articolo 21 è stato integrato con tre nuovi commi — l’8, il 9 e il 10 — che costituiscono il punto di atterraggio operativo dell’intera filiera.
Il comma 8 dice che l’IA può essere usata esclusivamente per le attività strumentali e di supporto, e che il risultato finale della prestazione deve rimanere il prodotto prevalente dell’attività intellettuale del professionista.
Il comma 9 impone la conoscenza del funzionamento e della tecnologia utilizzata, estendendola espressamente ai dipendenti e ai collaboratori, e pone a carico del professionista il dovere di verificare fonti, veridicità dei dati e conformità dei sistemi alla normativa sulla protezione dei dati.
Il comma 10 stabilisce l’obbligo di comunicare al cliente l’uso dei sistemi di intelligenza artificiale, con linguaggio chiaro, semplice ed esaustivo.
Contestualmente al Codice Deontologico è stato aggiornato il Codice delle Sanzioni Disciplinari. L’articolo 21, con i nuovi commi 2-bis e 2-ter, introduce sanzioni specifiche: fino a sei mesi di sospensione per la violazione dei commi 8 e 9, fino a tre mesi per la violazione del comma 10. È importante pesare queste parole: sei mesi di sospensione significano sei mesi in cui lo studio non può operare, sei mesi di mandati sospesi, sei mesi che riscrivono la carriera di un professionista. Non è una sanzione di principio; è una sanzione operativa.
Le quattro date che hanno chiuso il quadro
Il commercialista ragiona per scadenze, e le quattro date della filiera meritano di essere tenute insieme in un’unica sequenza perché solo così il quadro diventa visibile. Il 25 maggio 2018 è la data del GDPR: otto anni fa, non quattro mesi fa. Il 2 febbraio 2025 è la data in cui è diventato operativo l’articolo 4 dell’AI Act sull’alfabetizzazione: oltre un anno fa. Il 10 ottobre 2025 è la data in cui è entrata in vigore la Legge 132/2025. Il 21 novembre 2025 è la data in cui è entrato in vigore l’aggiornamento del Codice Deontologico.
Tra la prima e l’ultima di queste date sono passati sette anni e mezzo, e il commercialista che oggi scopre il tema dell’intelligenza artificiale come se fosse una novità dell’ultima settimana sta in realtà arrivando alla fine di una filiera che si è costruita pezzo dopo pezzo, con una progressione perfettamente leggibile: prima il principio europeo sui dati, poi il principio europeo sugli algoritmi, poi la traduzione italiana per le professioni, infine la traduzione deontologica per la nostra categoria. Dal 21 novembre 2025 non manca più nessuna riga.
Un bilancio che deve quadrare
“Un bilancio che non quadra non è un bilancio, e una compliance con una riga scoperta non è compliance.”
La partita doppia, che Luca Pacioli ha sistematizzato nel 1494 nella Summa de Arithmetica, si fonda su un principio che a cinque secoli di distanza continua a insegnarci come pensare: ogni operazione ha un dare e un avere, nessuna riga resta isolata, e il totale deve tornare in pareggio. Non è solo una tecnica contabile; è un modo di guardare il mondo, e il quadro normativo dell’intelligenza artificiale, se lo guardiamo con gli occhi della partita doppia, si lascia leggere con sorprendente naturalezza.
Al GDPR corrisponde l’AI Act: la protezione dei dati non ha senso senza la governance dell’algoritmo che quei dati processa, e la governance dell’algoritmo non ha senso senza la protezione dei dati che l’algoritmo elabora. Alla Legge 132/2025 corrisponde il Codice Deontologico: la legge dello Stato pone il principio per la professione intellettuale, il Codice di categoria lo traduce nella pratica del singolo studio. Quattro righe, due coppie di corrispondenze, un totale che deve tornare in pareggio e se anche una sola riga resta scoperta, il bilancio della compliance non quadra, e un bilancio che non quadra è un bilancio che sta dicendo qualcosa — anche quando chi lo guarda preferisce non sentirlo.
Cosa cambia da oggi in studio
Chiudere il quadro non significa semplicemente prenderne atto, significa riorganizzare alcune pratiche che fino a ieri erano lasciate all’iniziativa individuale del singolo professionista o del singolo collaboratore.
La prima conseguenza riguarda la scelta degli strumenti: non è più una decisione tecnica o di preferenza personale, è una decisione di compliance. Un sistema di intelligenza artificiale utilizzato senza contratto di responsabilità del trattamento — il DPA previsto dall’articolo 28 del GDPR — non è semplicemente meno sicuro, è strutturalmente non conforme. I piani gratuiti e i piani individuali dei grandi fornitori non prevedono un DPA, e questo li rende inutilizzabili per qualsiasi trattamento di dati dei clienti, indipendentemente da quanto siano performanti, veloci o convenienti.
La seconda conseguenza riguarda la formazione interna: il comma 9 dell’articolo 21 non parla solo al titolare: parla a tutti coloro che in studio utilizzano sistemi di intelligenza artificiale, dal socio anziano al tirocinante dell’ultimo semestre. La responsabilità del dominus non si delega e non si eredita: se un collaboratore o un tirocinante utilizza uno strumento non autorizzato, o tratta dati senza verifica, la contestazione disciplinare ricade sul titolare. La policy interna di studio, che fino a ieri era una buona pratica raccomandata, diventa uno strumento di tutela concreta del professionista stesso.
La terza conseguenza riguarda la relazione con il cliente: il comma 10 parla di linguaggio chiaro, semplice ed esaustivo, e del dovere di menzionare l’uso dei sistemi di intelligenza artificiale anche nella documentazione prodotta quando opportuno. La clausola nel mandato professionale diventa il luogo naturale in cui questo obbligo si adempie una volta sola, senza dover riscrivere avvertenze ogni volta. Ma attenzione: informare il cliente non esonera dal rispetto dei commi 8 e 9. I tre commi operano in parallelo, non in alternativa. Si può informare correttamente il cliente e violare comunque l’obbligo di prevalenza dell’attività intellettuale, esattamente come si può compilare un quadro RF impeccabile e sbagliare completamente il quadro RS.
La cornice arriva quando l’AI è già in studio
C’è una differenza importante tra questo quadro normativo e le cornici che lo hanno preceduto. Il GDPR, quando è entrato in vigore nel 2018, regolava un’attività — il trattamento dei dati — che gli studi svolgevano da sempre, con modalità sostanzialmente stabili. La cornice arrivava dopo, ma la sostanza era nota. Il quadro normativo dell’intelligenza artificiale, invece, si chiude il 21 novembre 2025 quando negli studi l’IA è già ampiamente presente, spesso in modo non governato, a volte all’insaputa del titolare, frequentemente attraverso strumenti personali e piani gratuiti che non hanno le caratteristiche di conformità richieste dalle quattro righe del quadro.
Questo fenomeno ha un nome — Shadow AI — e merita un articolo dedicato, perché è il punto in cui il quadro normativo incontra la realtà quotidiana dello studio e rivela la distanza tra ciò che la norma prescrive e ciò che nei corridoi sta effettivamente accadendo. Mi limito qui a dire una cosa, che terrò per la prossima riflessione: la Shadow AI non è una causa, è una conseguenza, è quello che succede, con perfetta linearità, quando il quadro normativo non viene conosciuto, condiviso, tradotto in regole pratiche dentro lo studio. Chiudere il quadro, oggi, significa riprendere il controllo di qualcosa che sta già succedendo — non prevenire qualcosa che potrebbe succedere.
La cornice è completa, resta da guardarla tutta
Il messaggio che mi sembra valga la pena lasciare, alla fine di questa ricognizione, è più semplice di quanto le quattro normative lascino immaginare. Il quadro c’è, è fatto di quattro righe che insieme formano un’architettura coerente, in cui ogni livello completa il precedente e nessuno sostituisce l’altro. Dal 21 novembre 2025, con l’entrata in vigore dei nuovi commi dell’articolo 21 del Codice Deontologico, la filiera si è chiusa e il bilancio della compliance ha trovato tutte le sue righe e chi fino a ieri ne leggeva solo una non stava sbagliando perché scelga di sbagliare, ma perché il quadro era ancora incompleto; da oggi, chi continua a leggerne solo una lo fa consapevolmente, e questo cambia la natura stessa della situazione.
Il passo successivo — che richiederà altri articoli, altre conversazioni, altre riflessioni condivise — è quello di capire come il quadro si traduce nella vita quotidiana di uno studio professionale italiano. Come si scrive una policy interna che sia al tempo stesso rigorosa e praticabile, come si forma un collaboratore senza trasformarlo in un informatico, come si informa un cliente senza allarmarlo, come si sceglie uno strumento tra decine di offerte che cambiano ogni trimestre. Sono le domande operative del pilastro successivo. Ma non si possono affrontare seriamente senza avere prima guardato, una volta per tutte, il quadro completo.
La domanda che voglio fare
Delle quattro righe del quadro — GDPR, AI Act, Legge 132, Codice Deontologico — quante ne hai lette davvero, non per sentito dire, ma sulla fonte originale? E se il tuo bilancio di compliance dovesse essere riclassificato oggi, quale delle quattro colonne resterebbe scoperta?
Fausto Turco
Il futuro non si subisce, si governa.
