Lo studio legale italiano medio nel 2026 usa l'IA. Non importa se sei socio di uno studio grosso o un giovane avvocato che lavora in proprio. C'è ChatGPT aperto in un'altra scheda mentre prepari una memoria. C'è Copilot dentro Outlook che ti suggerisce risposte alle email dei clienti. C'è Word con la funzione "riassumi" che usa l'IA Microsoft.
Lo usate tutti. Non è un male in sé. Il problema è che ci sono tre cose che vedo fare di continuo, in studi piccoli e grandi, e ognuna di loro può portarti dritto a un procedimento disciplinare presso il tuo Consiglio dell'Ordine. Non è clickbait: l'articolo 28 del Codice Deontologico Forense parla chiaro, e l'art. 622 del Codice Penale anche.
Non sto qui a citarti norme. Ti dico le tre cose che fai. Tu poi decidi.
Uno: incolli memorie e atti su ChatGPT pubblico
Hai una comparsa di costituzione da scrivere. Hai già la bozza, vuoi solo che ChatGPT te la "metta a posto", la renda "più scorrevole", controlli se manca qualcosa. Selezioni il testo, lo incolli nel chatbot. Cinque minuti dopo hai una versione migliore. Bravo, è davvero migliore.
Solo che dentro la comparsa ci sono i dati di Mario Rossi, residente in via Tal dei Tali, partita IVA, rapporti commerciali con la società XY, importi a sei zeri, situazione economica, nomi di terzi coinvolti. Tutta roba che dal tuo studio è appena passata sui server di OpenAI in California.
Per il tuo cliente, segreto professionale violato. Per il GDPR, trasferimento extra-UE di dati personali senza basi giuridiche. Per il Codice Deontologico, art. 28 sul dovere di segretezza. Per OpenAI, materiale che secondo i loro stessi termini d'uso può essere conservato per 30 giorni e usato per "miglioramento del servizio".
Ti dirai: "ma chi controlla?". Ti rispondo: il Garante della Privacy italiano ha già multato avvocati e studi piccoli per violazioni meno gravi. I procedimenti del Consiglio dell'Ordine partono spesso dalla denuncia di un ex cliente o di una controparte furba. Non serve essere il pesce grosso per finire nel tritacarne.
Due: usi Copilot in Outlook senza saperlo
Il tuo studio ha la suite Microsoft 365 enterprise. Da qualche mese c'è un pulsantino "Riepiloga" nelle email, "Aiutami a scrivere", suggerimenti automatici. Magari pensi che sia tutto locale al tuo PC. Sbagliato.
Microsoft Copilot, quando attivo, manda i contenuti delle tue email ai server Microsoft per essere processati. Le tue email con i clienti, con le controparti, con i magistrati. Tutto.
Microsoft enterprise ha contratti DPA che migliorano la situazione rispetto alla versione consumer, e dicono di non usare i tuoi dati per addestrare modelli pubblici. Ma i dati comunque transitano per la loro infrastruttura, vengono conservati per un periodo, e Microsoft mantiene accesso tecnico. Per uno studio legale che gestisce questioni delicate, la situazione è almeno da analizzare seriamente, non da abilitare di default e dimenticare.
La cosa peggiore che vedo: studi che hanno Copilot attivo per tutti i collaboratori, senza policy interna, senza informativa aggiornata ai clienti, senza valutazione di impatto. Bella roba, eh?
Tre: deleghi la stesura di pareri al collaboratore che usa ChatGPT
Questa è la più subdola. Tu, socio o titolare, sei attento. Mai usato ChatGPT con dati riservati. Ma il tuo collaboratore junior, sgancia un parere il venerdì sera in tre ore invece di sei, e tu non ti chiedi come abbia fatto. Lui ha "trovato un modo".
Il modo è che sta caricando le bozze tue su ChatGPT pubblico, le fa rifinire, te le ridepone come fossero sue. Il cliente paga la consulenza al tuo studio, ma di fatto la sta in parte ricevendo (e regalando dati) a OpenAI. Tu non lo sai. Il collaboratore è convinto di non fare niente di male, anzi, di essere più produttivo.
Quando il problema viene a galla — perché verrà a galla, prima o poi — la responsabilità civile e disciplinare è tua, non sua. Sei tu il dominus dello studio. Sei tu il difensore titolare della pratica. Il tuo collaboratore ha violato il segreto sotto il tuo tetto.
"E quindi cosa devo fare, smettere di usare l'IA?"
No. L'IA è un aumento di produttività reale e chi non la usa resterà indietro. Devi usarla nel modo giusto. Brevemente:
Per ricerca generica (giurisprudenza pubblica, normativa, dottrina, formazione interna): ChatGPT, Claude, Gemini vanno benissimo. Niente dati di clienti, niente atti, niente pareri specifici. Solo informazioni già pubbliche o ipotetiche.
Per lavoro su pratiche di clienti: serve un sistema dedicato. Significa un'IA che gira o sui tuoi server o su un'infrastruttura europea con clausole DPA serie, dove i dati restano dentro il perimetro dello studio. Non è magia, non è complicato, non è costoso come pensi. Ma va impostato consapevolmente.
Per i collaboratori: policy interna scritta, formazione minima (mezza giornata l'anno cambia tutto), e una via "ufficiale" per usare l'IA. Se non gli dai un'alternativa seria, useranno ChatGPT di nascosto. Garantito.
L'AI Act
Non te ne ho ancora parlato. L'AI Act è in vigore. Per gli studi legali entrerà progressivamente nei prossimi mesi. Dovrai fare l'inventario dei sistemi IA in uso, classificarli per rischio, documentare la governance. Non l'ho fatto, devi farlo. Non è un esercizio teorico: i controlli e le sanzioni partiranno.
Su questo scriverò un articolo dedicato alle prossime settimane. Per ora, fai un favore al tuo studio: questo weekend, dieci minuti, fai un piccolo audit interno. Quante volte la settimana qualcuno usa ChatGPT con dati di pratiche? Hai una policy? Hai un'informativa privacy che menziona l'IA? Hai DPA con i tuoi fornitori cloud aggiornati al 2026?
Se la risposta è "non lo so", il prossimo passo lo conosci.