nuovi obblighi per gli studi legali

Dal 2 agosto scattano gli obblighi di trasparenza e formazione sull’intelligenza artificiale per gli studi legali. Sanzioni per chi non si adegua all’AI Act.

A partire dal prossimo 2 agosto, l’impiego dell’intelligenza artificiale all’interno degli studi legali e professionali cambia radicalmente volto. Entrano infatti in vigore le disposizioni europee sul corretto utilizzo dei sistemi informatici di ultima generazione, introducendo severi obblighi di trasparenza e precisi requisiti di formazione professionale per tutti i soggetti qualificati come deployer, ossia gli utilizzatori professionali di applicativi sviluppati da terze parti. La regola generale che si ricava da questa imminente scadenza normativa è chiara: l’adozione di strumenti tecnologici avanzati non può più avvenire in modo deregolamentato, ma impone una precisa mappatura dei rischi, l’alfabetizzazione obbligatoria del personale e la tutela assoluta dei dati dei clienti, trasformando l’innovazione in un sistema di compliance strettamente vigilato.

Il censimento dei software e la trasparenza esterna

I professionisti devono innanzitutto avviare una ricognizione completa di tutte le piattaforme dotate di funzionalità basate su algoritmi intelligenti attualmente in uso nelle loro strutture. Rientrano in questo elenco programmi celebri come ChatGPT o Copilot, ma anche i pacchetti applicativi specialistici dedicati alla e-discovery e gli assistenti digitali integrati nei sistemi gestionali. La normativa, mossa dagli articoli 50 e 4 dell’AI Act, impone di tracciare un confine netto tra le attività di carattere puramente interno e i servizi rivolti verso l’esterno.

Nel primo ambito si collocano le ricerche dottrinali e la predisposizione delle prime bozze di atti giudiziari o contratti. Nel secondo perimetro, invece, rientrano i contatti diretti con il pubblico e la clientela. Le regole impongono precise disclosure:

• se il portale web dello studio ospita un chatbot incaricato del primo contatto o del triage delle pratiche, è obbligatorio inserire un banner visibile con la dicitura “Stai interagendo con un assistente virtuale basato su IA”;

• qualora si provveda alla redazione di contenuti sintetici destinati alle newsletter informative, ad articoli per il blog aziendale o a pareri di carattere divulgativo, andrà inserita una nota specifica, preferibilmente a piè di pagina, che segnali il ricorso alla tecnologia informatica;

Questo impianto si inserisce nel contesto della recente chiusura della consultazione pubblica sulle linee guida della Commissione europea e della contestuale finalizzazione, attesa entro la fine del mese corrente, del codice di pratica incentrato sulla marcatura e sulla corretta etichettatura dei contenuti sintetici.

Obblighi di alfabetizzazione e protezione dei dati sensibili

Il quadro normativo vieta espressamente la messa a disposizione di questi strumenti a collaboratori, dipendenti, praticanti o associati di studio in assenza di una preventiva e idonea attività formativa. Dal 2 agosto, le organizzazioni dovranno dimostrare con prove documentali di aver effettivamente implementato programmi strutturati di apprendimento sul proprio organico. Diventa quindi necessario istituire un apposito registro interno dello studio.

Questo documento ufficiale deve contenere dettagli precisi sulle sessioni di aggiornamento svolte:

• l’elenco nominativo del personale che ha completato con successo il percorso di alfabetizzazione digitale;

• l’indicazione dei rischi specifici analizzati durante le lezioni, con particolare riferimento al fenomeno delle cosiddette allucinazioni dei modelli linguistici e ai pericoli di violazione del segreto professionale;

• la data esatta in cui si sono tenute le attività di addestramento;

Parallelamente, i titolari degli uffici devono redigere un protocollo vincolante sulle policy interne. Il testo deve vietare tassativamente il caricamento di informazioni coperte da segreto d’impresa, dati sensibili o dettagli professionali dei clienti all’interno delle piattaforme di IA generative pubbliche. L’alternativa legale consiste nell’adozione di procedure di anonimizzazione preventiva oppure nell’acquisto di versioni commerciali di tipo “enterprise”. Queste ultime garantiscono per via contrattuale il totale isolamento delle informazioni inserite dall’utente, impedendo che i dati privati vengano utilizzati per addestrare ulteriormente il cervello digitale pubblico del sistema.

Responsabilità del professionista e revisione dei contratti

L’adozione di assistenti virtuali non cancella affatto la centralità della figura del professionista. Ogni atto, parere o testo contrattuale elaborato tramite il supporto tecnologico deve essere sottoposto a una integrale revisione critica e alla firma del professionista titolare dello studio. Per gestire correttamente questo flusso, diventa opportuno procedere a un aggiornamento delle lettere di incarico professionale sottoscritte con i clienti.

L’inserimento di una clausola specifica assolve a una duplice funzione difensiva ed informativa:

• rende edotto il cliente in merito all’impiego di applicativi informatici evoluti a supporto dell’attività di consulenza;

• ribadisce la centralità e la titolarità esclusiva della responsabilità umana per l’opera prestata, fungendo da trasparenza e limitando al contempo la responsabilità da scostamenti tecnologici;

Contestualmente, i professionisti devono avviare una attenta verifica dei contratti in essere con i propri fornitori di software chiavi in mano. È necessario richiedere formale documentazione che attesti la piena conformità degli applicativi sia alle prescrizioni dell’AI Act sia alle regole europee sulla privacy stabilite dal Gdpr, accertandosi che i dati inseriti non siano sottratti per scopi di addestramento algoritmico estranei allo studio.

Il quadro sanzionatorio e i rischi deontologici

L’impalcatura sanzionatoria definita a livello europeo per le violazioni degli obblighi di trasparenza appare imponente, prevedendo sanzioni pecuniarie che possono raggiungere i 15 milioni di euro o il 3 per cento del fatturato globale registrato dall’entità inadempiente. Sebbene queste cifre astronomiche siano state modellate dal legislatore comunitario guardando principalmente alle grandi aziende tecnologiche mondiali, l’impatto della normativa non deve essere sottovalutato dai medi e piccoli studi professionali.

Il rischio per i professionisti si sposta su un duplice binario di controllo interno:

• l’attivazione di procedimenti sanzionatori da parte dell’Autorità Garante per la protezione dei dati personali a causa della diffusione illecita di record sensibili;

• l’avvio di contestazioni disciplinari da parte dei rispettivi Ordini professionali di appartenenza per la lesione dei doveri ordinari di fedeltà, diligenza e rispettivo segreto professionale nei confronti della clientela;