Intelligenza artificiale negli studi professionali: quando l’uso incontrollato compromette privacy e reputazione aziendale
L’introduzione dell’intelligenza artificiale generativa è una tendenza in crescita nella realtà degli studi professionali poiché risulta molto utile per eliminare quei processi ripetitivi e le attività di tipo ordinario. Tale trend è confermato dalla spesa digitale dei professionisti che nel 2023 ammontava a 1,888 mld (+7%) e che nel 2024 è stimata in 2 mld (fonte Politecnico di Milano).
Avvocati, commercialisti e consulenti del lavoro utilizzano con crescente frequenza applicazioni come ChatGPT, Copilot o Jasper AI per la creazione di documenti, bozze, analisi di provvedimenti giudiziari o sintetizzare normative complesse. Tuttavia, quando questi strumenti vengono impiegati senza il controllo diretto dell’ufficio IT o senza una strategia condivisa all’interno dello studio, si aprono scenari di rischio importanti per la tutela dei dati personali e la conformità alle normative sulla privacy.
Il fenomeno dell’utilizzo di software non autorizzati (c.d. shadow IT), è particolarmente rilevante nel contesto attuale, e nel caso di specie si verifica quando i collaboratori del professionista adottano tools digitali basati sull’AI di propria iniziativa.
Il problema principale riguarda il possibile caricamento di informazioni riservate – come dati personali, inclusi quelli giudiziari, o strategie aziendali – su piattaforme esterne, spesso localizzate al di fuori dell’Unione Europea e utilizzate nella loro versione free/trial. Questo tipo di utilizzo, apparentemente innocuo e finalizzato a ottimizzare il proprio lavoro, può trasformarsi in una violazione del Regolamento Europeo 679/2016, con conseguenze legali per il professionista e reputazionali per lo studio professionale.
Il caso del bug di ChatGPT nel marzo 2023, relativo alla temporanea esposizione dei titoli delle conversazioni di alcuni utenti, ha mostrato quanto sia fragile l’infrastruttura di questi sistemi quando vengono utilizzati in ambiti professionali senza le dovute cautele. Anche se i contenuti delle chat non siano stati divulgati, l’episodio ha sollevato dubbi concreti sulla possibilità di mantenere riservate le informazioni caricate sui server dei provider.
Alcuni studi legali nel Regno Unito hanno già segnalato episodi in cui collaboratori hanno utilizzato software di IA per generare atti giudiziari o contratti, contravvenendo alle policy interne, mettendo a rischio dati sensibili. Sebbene molti di questi incidenti non vengano resi pubblici, le compagnie assicurative e i provider di servizi cloud segnalano un incremento di segnalazioni legate alla perdita o all’esposizione di dati dovuta all’uso improprio di applicazioni basate su intelligenza artificiale (Law Society of England and Wales, 2023).
Secondo un recente report del Capgemini Research Institute, il 65% delle aziende europee ammette che i propri dipendenti utilizzano strumenti di IA senza che esista una policy chiara o controlli da parte del reparto IT. In Italia, la percentuale sale al 72%, evidenziando una maggiore fragilità nella gestione del fenomeno, con oltre il 51% degli studi legali europei che ha già iniziato a sperimentare strumenti di IA, di cui solo il 17% ha messo in atto una strategia strutturata per regolamentarne l’uso interno (Report di Thomson Reuters, 2024).
In Italia, i dati ufficiali dei Consigli Nazionali di categoria confermano una diffusione crescente seppure non sempre consapevole. Il 41% degli avvocati ha testato almeno una volta applicazioni di IA per redigere atti o sintetizzare sentenze, ma solo il 13% ne fa un uso abituale nello studio. Tra i commercialisti, il 36% impiega strumenti di intelligenza artificiale soprattutto per supportare l’attività fiscale e documentale, ma anche in questo caso manca spesso una governance interna. I consulenti del lavoro si mostrano tra i più ricettivi verso il cambiamento: il 68% si dichiara favorevole all’adozione dell’IA, e il 29% ha già integrato applicazioni nel proprio flusso operativo quotidiano, principalmente per attività di analisi normativa o semplificazione dei processi.
L’assenza di una governance definita non rappresenta solo un problema organizzativo, ma espone lo studio a rischi di carattere legale, contrattuale e reputazionale. La condivisione involontaria di dati personali, la perdita di controllo sulle informazioni trattate o la violazione degli obblighi di riservatezza possono portare a sanzioni da parte delle autorità, richieste di risarcimento da parte dei clienti e danni all’immagine professionale. Inoltre, anche i singoli collaboratori/lavoratori possono essere coinvolti direttamente, in quanto l’utilizzo improprio degli strumenti digitali può condurre a provvedimenti disciplinari, anche di carattere espulsivo.
In questo scenario, diventa fondamentale che gli studi professionali inizino a riflettere seriamente sulla governance dell’intelligenza artificiale definendo regole chiare, avviando percorsi di alfabetizzazione AI, coinvolgendo il Data Protection Officer (DPO) e adottando un approccio proattivo alla valutazione dei rischi. Solo un approccio simile consentirà di integrare l’innovazione negli studi professionali senza compromettere la sicurezza e l’affidabilità, che restano alla base di ogni relazione fiduciaria con i clienti e che rappresentano i capisaldi della data protection.
