L’introduzione di strumenti operativi da parte degli Ordini forensi italiani in tema di intelligenza artificiale sta ridisegnando il modo in cui l’avvocato gestisce informazioni, dati e responsabilità etico giuridiche. Il “BrevIArio normativo” dell’Ordine degli Avvocati di Torino, il vademecum elaborato dalla Commissione Processo Civile dell’Ordine degli Avvocati di Roma e la Guida del CCBE sul ricorso all’intelligenza artificiale generativa da parte degli avvocati, pubblicata il 2 ottobre 2025, costituiscono oggi un quadro di riferimento composito ma significativo. La Guida del CCBE rappresenta, in particolare, il primo intervento di respiro sovranazionale espressamente dedicato alla professione forense europea, con ricadute dirette sulla prassi domestica.
Segreto professionale, dati personali e uso di strumenti di IA
L’impiego di soluzioni di intelligenza artificiale nel lavoro dell’avvocato non può essere considerato un’operazione neutra dal punto di vista deontologico. L’articolo 6 della legge 31 dicembre 2012 numero 247 impone il rigoroso rispetto del segreto professionale ed estende tale vincolo anche a tutti coloro che, a vario titolo, collaborano con il professionista. Su questo terreno si innestano i principi del Regolamento UE 2016/679 in particolare finalità determinate e legittime, proporzionalità rispetto agli scopi perseguiti e minimizzazione dei dati trattati che impongono una revisione delle modalità di utilizzo di informazioni sensibili quando si interfacciano sistemi di IA, specie se esterni allo studio.
Le regole deontologiche sul trattamento dei dati personali nell’attività forense completano il quadro prescrivendo l’adozione di misure tecniche e organizzative capaci di ridurre al minimo il rischio che dati caratterizzati da elevata confidenzialità possano essere conosciuti da soggetti non autorizzati. Ciò vale tanto per i rapporti interni alla struttura professionale quanto per le interazioni con fornitori di servizi tecnologici, piattaforme e modelli di intelligenza artificiale basati su logiche di apprendimento automatico.
Il ruolo centrale della rimozione degli elementi identificativi
Gli strumenti elaborati dagli Ordini forensi italiani insistono in modo particolare sulla trasformazione preventiva del dato prima che questo venga immesso in un sistema di IA. Il vademecum dell’Ordine degli Avvocati di Roma richiama espressamente l’obbligo per il difensore di eliminare qualsiasi elemento che consenta di risalire all’identità dell’interessato. Si tratta non solo di nomi e cognomi, ma anche di riferimenti geografici, coordinate temporali, numeri identificativi, dettagli di contesto o combinazioni di circostanze che, considerate nel loro insieme, rendano riconoscibile il cliente o altri soggetti coinvolti nella vicenda.
Questa impostazione conferisce alla fase di preparazione del dato un valore sostanziale che va oltre il mero adempimento formale. La lavorazione del contenuto prima della sua introduzione in uno strumento di IA diviene parte integrante del dovere di protezione del segreto professionale e del rispetto dei principi di correttezza e lealtà nei confronti dell’assistito. L’avvocato è chiamato quindi a valutare non soltanto che cosa comunicare al sistema, ma anche in quale forma e con quale grado di astrazione dal caso concreto.
Anonimizzazione e pseudonimizzazione: conseguenze diverse per la tutela
All’interno di questo quadro emerge una distinzione decisiva tra anonimizzazione e pseudonimizzazione, spesso richiamate congiuntamente ma portatrici di effetti giuridici differenti. L’anonimizzazione presuppone che i dati siano trasformati in modo tale da non consentire, neppure indirettamente o attraverso collegamenti con altre informazioni, di identificare la persona fisica a cui si riferiscono. Quando un simile risultato è effettivamente raggiunto, i dati cessano di rientrare nel campo di applicazione della normativa sulla protezione dei dati personali.
La pseudonimizzazione opera diversamente. Gli identificativi vengono sostituiti con codici, sigle o altri marcatori, ma la possibilità di reidentificazione rimane in capo a chi detiene le chiavi o i registri di collegamento. Si tratta dunque di un trattamento che riduce l’immediatezza del riferimento al soggetto, senza escludere la natura personale del dato. In presenza di ulteriori elementi fattuali, specialmente quando il caso venga descritto in modo minuzioso, l’identità dell’interessato può essere ricostruita mediante correlazioni e incroci informativi.
Alla luce di queste differenze, il richiamo all’anonimizzazione contenuto nei documenti operativi degli Ordini deve essere interpretato secondo un criterio sostanziale. Non è sufficiente sostituire il nome del cliente con un’etichetta fittizia se restano dettagli tali da renderlo riconoscibile, anche in modo probabilistico, all’interno del contesto esaminato dal sistema di IA. L’obiettivo pratico diviene dunque la rimozione di ogni elemento che, singolarmente o combinato con altri, risulti idoneo a identificare, direttamente o indirettamente, la persona interessata.
Profilo informativo verso il cliente e modelli di consenso
Tra le misure di garanzia assume un rilievo particolare l’informativa che l’avvocato è tenuto a rendere al proprio assistito in merito al trattamento dei dati personali e all’eventuale impiego di strumenti di intelligenza artificiale nel mandato professionale. Il modello di informativa predisposto dal Consiglio Nazionale Forense si colloca nel solco dei requisiti imposti dal Regolamento UE 2016/679, ma presenta margini di integrazione sul versante delle modalità operative di utilizzo dell’IA.
Non viene infatti dettagliato, in modo puntuale, se e quando il professionista intenda avvalersi di applicazioni di IA generativa, con quali configurazioni tecniche e con quali forme di anonimizzazione o pseudonimizzazione dei dati di causa. Rimane inoltre in parte sullo sfondo l’indicazione delle cautele specifiche adottate per evitare che i dati, anche se trasformati, possano contribuire ad arricchire basi informative esterne allo studio legale, specialmente nei casi di servizi accessibili tramite infrastrutture cloud o modelli addestrati su input forniti dagli utenti.
Verso un’informativa più aderente alla pratica digitale
Una prospettiva sempre più condivisa porta a ritenere opportuno che l’informativa al cliente non si limiti al profilo statico del trattamento, ma dia conto delle scelte metodologiche del difensore nella gestione tecnologica del fascicolo. Informare in modo chiaro circa l’eventuale impiego di sistemi di IA, le tecniche di anonimizzazione adottate, i soggetti che forniscono la tecnologia e i possibili rischi residui costituisce non solo un adempimento di trasparenza, ma anche uno strumento di rafforzamento del rapporto fiduciario che caratterizza il mandato forense.
Norme, prassi tecniche e prossimi sviluppi regolatori
L’attuale assetto normativo offre già parametri significativi per orientare l’uso degli strumenti di intelligenza artificiale nella professione, combinando la disciplina ordinistica, la legge professionale forense, il Regolamento UE 2016/679 e le regole deontologiche sul trattamento dei dati personali. A questi si affiancano i documenti di soft law prodotti dagli Ordini e dalla stessa avvocatura europea attraverso la Guida del CCBE, che suggeriscono percorsi applicativi e prassi operative.
Resta tuttavia evidente come l’evoluzione dei sistemi di IA e l’incremento della loro integrazione nei flussi di lavoro degli studi legali rendano auspicabile un affinamento delle indicazioni regolamentari. Indicazioni che potrebbero giungere sia da interventi legislativi mirati, sia dall’aggiornamento delle norme deontologiche e dei documenti di indirizzo, con un’attenzione crescente ai profili di sicurezza informatica, governance dei dati e responsabilità professionale nell’uso di strumenti decisionali o assistenziali automatizzati.
L’orizzonte che ne deriva non è quello di una contrapposizione tra tecnologia e segreto professionale, bensì di una loro coesistenza governata: l’intelligenza artificiale entra nel perimetro dell’attività forense a condizione che l’avvocato mantenga il pieno controllo sul flusso delle informazioni, sul grado di anonimizzazione dei dati e sulle conseguenze etiche e giuridiche delle proprie scelte tecniche.