L'EU AI Act (Regolamento 2024/1689) classifica i sistemi IA utilizzati in contesti di revisione contabile come sistemi ad alto rischio secondo l'Articolo 6(2) e l'Allegato III, richiedendo valutazione della conformità, documentazione tecnica e monitoraggio continuo per qualsiasi strumento che influenzi le conclusioni di revisione a partire dal 2 agosto 2026.

Risposta sintetica

L'EU AI Act (Regolamento 2024/1689) classifica i sistemi IA utilizzati in contesti di revisione contabile come sistemi ad alto rischio secondo l'Articolo 6(2) e l'Allegato III, richiedendo valutazione della conformità, documentazione tecnica e monitoraggio continuo per qualsiasi strumento che influenzi le conclusioni di revisione a partire dal 2 agosto 2026.

Quello che imparerete

Come classificare i vostri strumenti di revisione secondo le categorie di rischio dell'AI Act
Quali adempimenti documentali sono richiesti per i sistemi ad alto rischio prima dell'agosto 2026
Come modificare le vostre procedure di quality control per includere la governance IA
Cosa verificare negli SLA con i fornitori di software per garantire la conformità normativa

Indice

Il quadro regolamentario e le scadenze

L'EU AI Act (Regolamento UE 2024/1689) è entrato in vigore il 1° agosto 2024 con un'applicazione graduale. La scadenza che impatta direttamente gli studi di revisione è il 2 agosto 2026, quando diventano operativi gli obblighi per i sistemi IA ad alto rischio.
L'Articolo 6 del Regolamento stabilisce quattro categorie di rischio: inaccettabile, alto, limitato e minimo. I sistemi utilizzati in "servizi finanziari critici" rientrano nella categoria ad alto rischio secondo l'Allegato III, punto 5(b). La revisione contabile è espressamente inclusa in questa definizione.

Cosa cambia dal 2026


Prima del 2 agosto 2026, gli studi devono completare una valutazione di conformità per ogni sistema IA ad alto rischio utilizzato negli incarichi. L'Articolo 43 richiede che questa valutazione includa:
Il non rispetto di questi obblighi comporta sanzioni amministrative fino al 7% del fatturato annuo globale (Articolo 99).

Chi sono i soggetti responsabili


L'Articolo 2 distingue tra fornitori (chi sviluppa il sistema), distributori e utilizzatori finali. Gli studi di revisione sono tipicamente utilizzatori finali. L'Articolo 26 stabilisce che gli utilizzatori devono:

  • Documentazione tecnica completa del sistema (Allegato IV)
  • Sistema di gestione della qualità conforme all'Articolo 17
  • Tenuta di registri automatici secondo l'Articolo 20
  • Trasparenza e comunicazione all'utente (Articolo 13)
  • Utilizzare il sistema secondo le istruzioni d'uso
  • Monitorare il funzionamento durante l'uso
  • Conservare i log generati automaticamente
  • Segnalare malfunzionamenti gravi alle autorità competenti

Classificazione dei sistemi IA nella revisione

Non tutti gli strumenti tecnologici utilizzati negli studi rientrano nella definizione di "sistema IA" dell'Articolo 3. Il Regolamento definisce un sistema IA come un sistema automatizzato che può generare output che influenzano gli ambienti con cui interagisce.

Sistemi ad alto rischio


L'Allegato III, punto 5(b) include esplicitamente i servizi di revisione tra i settori critici. Rientrano in questa categoria:
Software di campionamento e selezione: I tool che utilizzano algoritmi per selezionare elementi da testare o calcolare dimensioni campionarie sono sistemi IA ad alto rischio se influenzano le scelte del revisore.
Strumenti di data analytics: I software che analizzano popolazioni contabili e identificano anomalie o trend attraverso machine learning rientrano sempre nella categoria ad alto rischio.
Sistemi di risk assessment: Le piattaforme che utilizzano IA per valutare i rischi di errori significativi o frodi sono classificate ad alto rischio secondo l'Articolo 6(2).

Sistemi a rischio limitato


L'Articolo 50 disciplina i sistemi a rischio limitato, che includono chatbot e assistenti virtuali. Questi richiedono solo trasparenza: l'utente deve essere informato che sta interagendo con un sistema IA.

Esclusioni


Non sono sistemi IA secondo l'Articolo 3:

  • Software di elaborazione testi standard
  • Fogli di calcolo Excel senza algoritmi di machine learning
  • Database di ricerca semplici
  • Calcolatrici senza logica decisionale automatica

Obblighi per i sistemi ad alto rischio

L'Articolo 16 stabilisce che i sistemi ad alto rischio devono soddisfare requisiti rigorosi prima dell'immissione sul mercato. Per gli studi di revisione, questo si traduce in verifiche specifiche sui fornitori e modifiche alle procedure interne.

Documentazione tecnica obbligatoria


L'Allegato IV richiede che sia disponibile la seguente documentazione per ogni sistema ad alto rischio:
Descrizione generale del sistema: Finalità prevista, architettura, algoritmi utilizzati, parametri di performance attesi.
Dati di addestramento: Per i sistemi di machine learning, documentazione completa sui dataset utilizzati per l'addestramento, inclusi bias potenziali e misure di mitigazione.
Sistema di monitoraggio: Procedure per il monitoraggio continuo delle prestazioni in produzione, con metriche specifiche e soglie di allerta.
Valutazione dell'accuratezza: Test di prestazione con metriche quantitative su dataset rappresentativi del contesto d'uso.

Gestione della qualità


L'Articolo 17 richiede un sistema di gestione della qualità che documenti:
Per gli studi, questo significa verificare che i fornitori abbiano implementato questi sistemi e mantenerli aggiornati sulle modifiche.

Tenuta di registri


L'Articolo 20 obbliga la registrazione automatica degli eventi durante il funzionamento del sistema. I log devono permettere di:
Gli studi devono assicurarsi che i sistemi utilizzati producano log sufficienti e archiviarli secondo la retention policy richiesta.

  • Strategia e governance per lo sviluppo IA
  • Tecniche di gestione dei dati e data governance
  • Design, controllo qualità e validazione del sistema
  • Monitoraggio, funzionamento e controllo post-market
  • Monitorare il funzionamento del sistema
  • Identificare rischi e anomalie
  • Facilitare il testing post-market
  • Investigare incidenti specifici

Esempio pratico: software di campionamento statistico

Scenario: Bianchi & Associati S.r.l. utilizza un software specializzato per il campionamento statistico negli incarichi di revisione. Il tool analizza le popolazioni contabili, calcola le dimensioni campionarie secondo l'ISA 530 e seleziona gli elementi da testare utilizzando algoritmi di machine learning.
Passo 1: Classificazione del sistema
Il software rientra nella definizione di sistema IA dell'Articolo 3 perché utilizza algoritmi automatizzati che influenzano la selezione degli elementi da testare. Secondo l'Allegato III, punto 5(b), è classificato come sistema ad alto rischio perché utilizzato in servizi di revisione contabile.
Nota di documentazione: documentare la classificazione nel registro dei sistemi IA utilizzati dallo studio, con riferimento agli articoli specifici dell'AI Act.
Passo 2: Verifica della conformità del fornitore
Bianchi & Associati richiede al fornitore la documentazione di conformità richiesta dall'Allegato IV. Il fornitore fornisce:
Nota di documentazione: archiviare tutta la documentazione fornita dal vendor in una cartella dedicata alla conformità AI Act, con data di ricezione e versione.
Passo 3: Implementazione del monitoraggio interno
Lo studio implementa procedure per monitorare l'utilizzo del sistema:
Nota di documentazione: integrare queste verifiche nella checklist di quality control standard dello studio, con frequenza e responsabilità definite.
Passo 4: Aggiornamento delle procedure di engagement
Le procedure operative vengono modificate per includere:
Nota di documentazione: modificare il template delle carte di lavoro per includere una sezione specifica sulla tecnologia IA utilizzata, con riferimenti ai controlli effettuati.
Risultato: Lo studio ha implementato un sistema di governance completo per l'utilizzo del software di campionamento, garantendo la conformità all'AI Act e la tracciabilità delle decisioni automatizzate negli incarichi di revisione.

  • Documentazione tecnica completa degli algoritmi utilizzati
  • Certificazione CE di conformità secondo l'Articolo 43
  • Sistema di gestione qualità conforme all'Articolo 17
  • Log di funzionamento automatici implementati
  • Revisione mensile dei log di funzionamento
  • Confronto periodico tra selezioni automatiche e selezioni manuali su campioni test
  • Documentazione di eventuali anomalie o risultati inaspettati
  • Procedura di escalation per malfunzionamenti
  • Verifica che il sistema utilizzato sia nella lista approvata dallo studio
  • Documentazione delle impostazioni specifiche utilizzate per ogni incarico
  • Revisione dei risultati generati dal sistema prima dell'utilizzo
  • Conservazione dei log per il periodo richiesto dalla normativa

Checklist di conformità

  • Inventario completo: Identificate tutti i sistemi che utilizzano algoritmi decisionali o di machine learning. Classificateli secondo le categorie di rischio dell'AI Act.
  • Verifica fornitori: Per ogni sistema ad alto rischio, richiedete ai fornitori la documentazione di conformità completa secondo l'Allegato IV.
  • Procedure di monitoraggio: Implementate controlli interni per monitorare il funzionamento dei sistemi IA durante l'utilizzo negli incarichi.
  • Gestione dei log: Assicuratevi che tutti i sistemi ad alto rischio producano registri automatici e implementate procedure per la loro conservazione.
  • Formazione del team: Formate il personale sui requisiti dell'AI Act e sui controlli da effettuare prima dell'utilizzo dei sistemi IA.
  • Punto essenziale: La conformità all'AI Act non è solo una questione tecnica ma diventa parte integrante della quality control dello studio e può impattare la qualità degli incarichi se non gestita correttamente.

Errori comuni nella valutazione

  • Sottovalutazione dell'ambito: Molti studi considerano solo i tool più sofisticati, tralasciando software apparentemente semplici che utilizzano algoritmi decisionali automatici.
  • Delega totale ai fornitori: Affidarsi completamente alle dichiarazioni di conformità dei vendor senza verifiche interne sui controlli implementati.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.