AI Act per commercialisti: cosa devono fare nel 2026

Gli studi professionali usano sempre più strumenti AI per analisi documenti, ricerca normativa e gestione clienti. L’AI Act è già in vigore e impone obblighi concreti — ma non uguali per tutti. Questa guida spiega cosa cambia per chi lavora con dati fiscali, bilanci e informazioni finanziarie dei clienti.

✓ Aggiornata a marzo 2026 · ✓ Fonti: testo ufficiale AI Act UE · ✓ Non è consulenza legale

⚠️ La situazione per gli studi professionali: La maggior parte degli usi AI tipici in uno studio — analisi documenti, ricerca normativa, bozze di testi — ricade nel rischio minimo o limitato. Chi usa AI per scoring creditizio, valutazioni automatizzate o consulenza finanziaria automatizzata può invece rientrare nell’alto rischio con obblighi più stringenti.

→ Vedi il confronto completo con 25+ tool AI →

Cosa trovi in questa guida

Usi AI nel settore

I tool più usati e il loro livello di rischio

Livello di rischio

Minimo, limitato, alto: cosa cambia

Obblighi concreti

AI literacy, trasparenza, GDPR, DPIA

Checklist operativa

9 punti per studi professionali

Come i commercialisti usano l’AI oggi — e il livello di rischio AI Act

I cinque usi più diffusi negli studi professionali, con indicazione del livello di rischio secondo l’AI Act:

Uso AI	Esempi concreti	Rischio AI Act
Analisi e sintesi di documenti	Lettura bilanci, contratti, visure con ChatGPT o Claude	🟢 Minimo
Ricerca normativa e aggiornamenti	Interrogare AI su circolari, normativa fiscale, giurisprudenza	🟢 Minimo
Generazione di testi e comunicazioni	Bozze di lettere ai clienti, relazioni, verbali	🟢 Minimo
Automazione contabilità e fatturazione	Software AI per categorizzazione movimenti, riconciliazione	🟢/🟡 Da valutare caso per caso
Scoring o valutazione automatizzata	AI che valuta affidabilità creditizia o rischio cliente su persone fisiche	🔴 Potenzialmente alto rischio

Nota sui livelli: “Rischio minimo” indica usi senza obblighi specifici AI Act oltre alle misure organizzative generali. “Rischio limitato” indica casi in cui possono scattare obblighi di trasparenza previsti dall’art. 50. Per l’automazione contabile: in molti casi non è alto rischio; obblighi specifici di trasparenza scattano solo nelle situazioni previste dall’art. 50, non in generale per ogni software con funzioni AI.

Nota sul rischio alto: L’AI Act considera alto rischio i sistemi usati per valutare il merito creditizio o il credit score di persone fisiche (Allegato III, punto 5b). L’inquadramento dipende dall’uso previsto del sistema e dal peso che il risultato ha su decisioni relative a persone fisiche, in particolare in materia di accesso al credito. Non ogni software che uno studio chiama “scoring fiscale” rientra automaticamente in questa categoria.

→ Guida completa all’AI Act per PMI →

Cosa si applica concretamente a uno studio professionale

📋 AI Literacy — già obbligatoria

Dal 2 febbraio 2025 l’obbligo di AI literacy è in vigore per tutte le organizzazioni che usano sistemi AI (art. 4 AI Act). È una delle prime disposizioni ad applicarsi: altri obblighi dell’AI Act, soprattutto per i sistemi ad alto rischio, seguono un calendario successivo, con piena applicabilità dal 2 agosto 2026 salvo eccezioni e periodi transitori specifici. Per uno studio professionale significa che chi usa strumenti AI deve avere una comprensione adeguata del funzionamento, dei limiti e dei rischi degli strumenti utilizzati.

→ AI Literacy: cosa devono fare davvero le PMI →

👁️ Trasparenza verso i clienti

Se usi AI in interazioni con clienti o per produrre contenuti sintetici, va verificato se scattano specifici obblighi di trasparenza dell’art. 50 AI Act. Anche quando non c’è un obbligo espresso, segnalare l’uso dell’AI nei casi più sensibili può essere una buona misura di trasparenza professionale.

🔒 GDPR e DPA — sempre presenti

L’AI Act non sostituisce il GDPR. Ogni volta che elabori dati personali di clienti o dipendenti con strumenti AI devi verificare: DPA firmato con il fornitore, base giuridica del trattamento, informativa aggiornata. I dati fiscali e finanziari dei clienti sono dati personali a tutti gli effetti.

→ Guida GDPR e AI → → Contratti fornitori AI →

⚠️ DPIA — quando serve

Non è automatica per tutti gli usi, ma va valutata se usi AI per trattamenti che coinvolgono dati finanziari su larga scala, profilazione di clienti, o decisioni con effetti significativi. Se usi AI per scoring o valutazioni automatizzate su persone fisiche, la DPIA è fortemente raccomandata.

→ DPIA per strumenti AI: quando serve davvero →

Checklist: AI Act e GDPR per studi professionali

0 di 9 completati

1 Conoscenza degli strumenti 0/3

Hai un elenco aggiornato degli strumenti AI usati nello studio, anche da singoli collaboratori?

Hai verificato il livello di rischio AI Act di ciascun tool, in particolare per quelli usati su dati finanziari dei clienti?

Hai verificato se qualcuno dei tool AI usati rientra nella categoria “alto rischio” (es. valutazioni creditizie o finanziarie automatizzate su persone fisiche)?

2 Obblighi AI Act 0/3

I collaboratori che usano AI hanno una comprensione adeguata del funzionamento, dei limiti e dei rischi degli strumenti (AI literacy, art. 4)?

Hai verificato se nei tuoi usi AI scattano obblighi specifici di trasparenza previsti dall’art. 50, ad esempio in interazioni con clienti o nella produzione di contenuti sintetici?

Per i sistemi potenzialmente ad alto rischio, hai valutato gli obblighi documentali e la necessità di DPIA?
→ Quando serve la DPIA

Hai verificato il ruolo privacy dei fornitori AI usati nello studio e aggiornato informativa, registro e contratti quando necessario?
→ Come fare la mappatura

Hai valutato se serve una DPIA per i trattamenti AI che coinvolgono dati finanziari dei clienti?

I clienti sono informati dell’eventuale uso di AI nell’elaborazione dei loro dati, nei casi e nei modi previsti dal GDPR?

Risorsa gratuita

Vuoi la versione stampabile?

Scarica la Checklist GDPR + AI Act in PDF — 30+ voci, riferimenti normativi, aggiornata a marzo 2026.

Scarica il PDF

Domande frequenti — AI Act e commercialisti

L’AI Act si applica agli studi di commercialisti?+

Sì. L’AI Act si applica anche agli studi professionali che usano sistemi AI nell’UE, in qualità di deployer/utilizzatori. Gli obblighi variano in base al livello di rischio degli strumenti usati: la maggior parte degli usi tipici in uno studio ricade nel rischio minimo, con obblighi ridotti rispetto all’alto rischio.

Un commercialista deve fare la DPIA per usare ChatGPT?+

Non automaticamente. La DPIA va valutata caso per caso, in base al tipo di dati trattati e al rischio per le persone interessate. L’uso di ChatGPT per analisi di documenti anonimi o ricerca normativa generica non richiede DPIA. L’uso su dati personali dei clienti, specialmente dati finanziari o su larga scala, merita una valutazione attenta. → Guida alla DPIA per strumenti AI

Devo informare i clienti se uso AI per elaborare i loro dati?+

Sì, sotto due profili distinti. Il GDPR richiede che l’informativa privacy menzioni i fornitori AI nel ruolo corretto quando trattano dati per conto dello studio. L’AI Act prevede obblighi di trasparenza specifici — disciplinati dall’art. 50 — in determinati contesti d’uso, come interazioni con clienti o produzione di contenuti sintetici.

Uno studio che usa AI per valutazioni finanziarie è ad alto rischio AI Act?+

Dipende dall’uso specifico. L’AI Act classifica come alto rischio i sistemi AI per la valutazione del merito creditizio di persone fisiche (Allegato III, punto 5b). L’inquadramento dipende dall’uso previsto del sistema e dal peso che il risultato ha su decisioni relative a persone fisiche. Un software che supporta l’analisi umana — dove la decisione finale resta al professionista — è valutato diversamente da uno che produce output automatizzati con effetti diretti.

Cosa significa AI literacy obbligatoria per uno studio professionale?+

L’AI literacy è obbligatoria dal 2 febbraio 2025 (art. 4 AI Act) ed è una delle prime disposizioni entrate in vigore. Non richiede corsi formali certificati, ma che chi usa strumenti AI abbia una comprensione adeguata del funzionamento, dei limiti e dei rischi. Per uno studio significa formare i collaboratori che usano AI quotidianamente e documentare questa formazione. → AI Literacy: cosa devono fare davvero le PMI

Guida GDPR e AI

Obblighi del titolare, DPA, checklist operativa per PMI.
Leggi la guida →

Confronto 25+ Tool AI

DPA, training, server EU: tutti i tool a confronto per PMI.
Vedi il comparatore →

AI Act per PMI

La guida hub completa: obblighi, scadenze, livelli di rischio.
Leggi la guida →

📌 Altre guide settoriali: AI Act per agenzie di marketing → | AI Act per e-commerce →

Vuoi sapere quali tool AI sono conformi per il tuo studio?

Abbiamo analizzato 25+ tool AI su DPA, training, server e conformità GDPR. Trovi anche i tool più usati dai professionisti.

Confronta tutti i tool AI → Guida AI Act completa →

Fonti e riferimenti ufficiali

Regolamento (UE) 2024/1689 (AI Act), testo ufficiale — eur-lex.europa.eu — CELEX:32024R1689
AI Act, Allegato III — Sistemi AI ad alto rischio — eur-lex.europa.eu — CELEX:32024R1689
Regolamento (UE) 2016/679 (GDPR), testo consolidato — eur-lex.europa.eu — CELEX:32016R0679
Garante Privacy, sezione Intelligenza Artificiale — garanteprivacy.it/temi/intelligenza-artificiale

Le informazioni contenute in questa guida hanno finalità informative e non costituiscono consulenza legale. Per casi specifici — soprattutto per valutazioni ad alto rischio o trattamenti di dati sensibili — è opportuno verificare con un professionista.