Legali.com
il sito degli avvocati italiani

Sito per gli avvocati italiani, per tenersi aggiornati, sfruttare le nuove tecnologie, dialogare con i colleghi, sottoporre quesiti giuridici, fare ricerche in ambito legale.
I giuristi che vogliono inviare articoli o notizie, si possono registrare online inserendo i propri dati dal link "Connettersi", posto in fondo alla pagina a sinistra. Clicca qui per vedere il video con le istruzioni per la pubblicazione degli articoli.

Software as a service (SaaS): aspetti giuridici e negoziali
Articolo pubblicato online il 19 dicembre 2008
Ultima modifica il 12 dicembre 2008

di Stefano Bendandi
Stampare logo imprimer

Il software l’elemento che, pi di ogni altro, ha contribuito alla diffusione della scienza informatica, grazie alle sue caratteristiche di strumento idoneo a supportare l’automazione di processi ed attivit in funzione del business aziendale.

L’utilizzo del software attraverso le cd. licenze d’uso si per sempre contraddistinto per la presenza di problematiche connesse, in particolar modo, con gli oneri della gestione in proprio (capacity planning, installazione, manutenzione, update, sicurezza) e dei costi (licenze, hardware, personale).

L’evoluzione informatica, segnata dall’avvento di Internet e dalla diffusione dei web browser, ha portato alla fine degli anni 90, nel pieno della cd. bolla tecnologica, allo sviluppo del modello degli ASP, acronimo di Application Service Provider, in base al quale si sosteneva che qualsiasi software potesse essere in realt trasformato in un servizio, cos da permetterne la fruizione da remoto evitando, nel contempo, tutti gli inconvenienti connessi alla sua gestione tradizionale.

Sono ormai passati diversi anni dalla fine di quel periodo ma un nuovo modello si sta diffondendo grazie anche all’accesso in banda larga, ad una infrastruttura Internet pi matura e robusta ed all’affermarsi di modelli di distribuzione dello storage e delle capacit elaborative derivanti dalla necessit di supportare le sempre pi diffuse tecnologie mobili.

Parliamo di SaaS, acronimo di Software as a Service, una delle tipologie di servizio alla base del paradigma del cloud computing, che rappresenta una tendenza evolutiva dell’outsourcing, termine con il quale si intende la pratica di affidare all’esterno la gestione delle funzioni non facenti parte del core business aziendale.

La principale novit rappresentata da un nuovo modello di delivery dei servizi IT che focalizza l’attenzione su ci che le tecnologie consentono di realizzare, piuttosto che sulle tecnologie in s, con il risultato che il software non pi un asset gestito in proprio dall’utilizzatore ma quest’ultimo che sceglie i servizi di cui usufruire, in base alle proprie reali necessit, contribuendo alla diffusione di un modello economico orientato al consumo IT.

Si tratta quindi di servizi che permettono di soddisfare con grande flessibilit alcune esigenze tipiche delle infrastrutture informatizzate quali:

- supporto dei pi comuni processi aziendali (gestione di magazzino, CRM, gestione del personale, ecc...)
- applicazioni verticali per garantire soluzioni ad hoc in settori od attivit molto specificiapplicazione connesse con la gestione dei dati e delle informazioni (data mining, business intelligence, backup remoto, ecc...)
- spazi virtuali per il team collaborativo (gestione condivisa di progetti, memorizzazione e scambio di documentazione, pianificazione, messaggistica instantanea, ecc...)
- servizi pi comuni (webmail, calendario, ecc...)

Caratteristiche ed aspetti legali

Il modello Saas prevede la fornitura di applicativi software, ospitati all’interno della infrastruttura dello stesso fornitore, ai quali il cliente accede mediante Internet. I vantaggi per il fruitore sono per lo pi rappresentati da:

- riduzione dei costi di licenza e di gestione connessi con l’infrastruttura IT
- semplificazione od eliminazione degli oneri di gestione
- trasferimento, in parte, del rischio di esercizio sul fornitore
- scalabilit che permette di realizzare soluzioni di capacity on demand
- completo supporto per le esigenze di mobilit aziendale

A ben vedere, alcuni dei benefici citati rendono questo modello appetibile soprattutto per le startup e le piccole e medie imprese, tradizionalmente alle prese con problemi di budget e con la mancanza, al loro interno, di professionalit specifiche nel campo IT.

Tuttavia non mancano implicazioni di natura differente, anche legali, innanzitutto sotto il profilo dell’inquadramento giuridico della fattispecie.

Da questo punto di vista, come gi ricordato, il SaaS rappresenta una evoluzione dell’outsourcing che nel nostro ordinamento giuridico un contratto atipico.

La prevalenza di una prestazione di fare, avente ad oggetto la fornitura di uno o pi servizi software o di altra natura, unitamente alla presenza di una organizzazione dotata di mezzi e gestione propri ed al pagamento di un corrispettivo sono tutti elementi che fanno propendere per la configurabilit di un appalto di servizi, sia pure avente ad oggetto prestazioni continuative o periodiche.

La prima diretta conseguenza di tale inquadramento che l’obbligazione dell’appaltatore costituisce una obbligazione di risultato, anche se nella pratica non mancano casi di soggetti interessati a far figurare nel contratto i propri obblighi come di mezzi.

D’altra parte l’utilizzo delle capacit elaborative e di memorizzazione del fornitore, da questo direttamente controllate, con la finalit di supportare le varie attivit ed i processi di business di una organizzazione pone altre questioni concernenti:

- il rispetto di comprovati standard di sicurezza informatica
- l’adempimento di obblighi di conformit di natura normativa (es. quelli posti dal d.lgs. 196/03 in materia di protezione dei dati personali) o contrattuale
- la necessit di fare affidamento su livelli di servizio misurabili in base a parametri tecnici oggettivi
- la protezione della propriet intellettuale ed industriale

Si tratta ovviamente di aspetti di non facile soluzione che finiscono per incidere in modo significativo sulla posizione dell’uno o dell’altro contraente, anche dal punto di vista di una eventuale responsabilit, soprattutto nel caso in cui emerga un difetto di due diligence.

E’ necessario quindi che tali questioni siano prontamente affrontate e risolte, in un ottica di bilanciamento dei contrapposti interessi, nell’ambito di una trattativa diretta alla predisposizione di un regolamento contrattuale il cui oggetto deve essere ben chiaro e dettagliato.

E’ inoltre opportuno che il contratto sia accompagnato da allegati contenenti la descrizione degli aspetti tecnici e la determinazione dei parametri dei livelli di servizio (SLA) connessi all’esecuzione delle varie prestazioni.

Sicurezza informatica

Nel mondo odierno le informazioni rappresentano per le organizzazioni, di ogni genere e dimensione, uno dei principali asset da preservare per il raggiungimento dei propri obiettivi.

Ci vale, a maggior ragione, quando una quota, pi o meno consistente, di tali informazioni diventa oggetto dei processi di elaborazione e memorizzazione di una infrastruttura informatica gestita da una parte estranea, come appunto nel caso di specie.

Il richiamo all’importanza delle informazioni in gioco serve perci a sottolineare la necessit che il fornitore, in primis, offra specifiche garanzie e dettagli sull’adozione dei migliori standard e delle misure di sicurezza, tecniche ed organizzative, ritenute idonee, sulla base di una analisi del rischio, a proteggere le informazioni da tutte le minacce, interne od esterne, che siano tali da comprometterne la riservatezza, la disponibilit e l’integrit.

In questa prospettiva pu essere utile accertare nella fase negoziale, e successivamente dare conto nel contratto, di alcune condizioni o status dell’outsourcer relativi a:

- il possesso di certificazioni attinenti l’ambito dei servizi offerti (ad es. SAS70, ISO27001,...)
- l’impiego di personale altamente qualificato e certificato
- l’adeguatezza dimensionale e qualitativa delle infrastrutture informatiche e di comunicazione

Una valutazione a parte deve essere invece riservata alla questione della responsabilit nel caso di eventuali violazioni od incidenti di sicurezza.

Mentre la disponibilit dell’outsourcer ad assumere contrattualmente il rischio di tali violazioni deve essere valutata come un segnale di apertura che la dice lunga sulla sua affidabilit complessiva, purtroppo nella prassi contrattuale si ravvisa una tendenza di segno completamente opposto che si manifesta attraverso clausole, dal contenuto spesso poco chiaro, cui bene prestare la massima attenzione, tenendo comunque presente che il codice civile (art. 1229) sancisce la nullit di qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilit di una delle parti per dolo o colpa grave.

Protezione dei dati personali

Una species della sicurezza informatica quella riguardante i cd. dati personali, da considerare anch’essi alla stregua di un asset ed oggetto di stringenti obblighi di protezione imposti dal codice della privacy (D.Lgs. 196/03).

Tra questi obblighi, la cui violazione fonte di responsabilit civili, penali ed amministrative, vanno annoverati quelli relativi all’adozione delle misure di sicurezza minime (art. 33 ed All. B) e di tutte le altre, idonee e preventive, che, sulla base delle conoscenze acquisite mediante il progresso tecnico e dell’importanza dei dati trattati, possano ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito o non conforme alle finalit della raccolta (art. 31).

Si tratta, come noto, di obblighi che permangono in capo al titolare, anche quando egli decida di avvalersi di soggetti esterni alla sua organizzazione per l’esecuzione di attivit o la fornitura di servizi strumentali al trattamento dei dati.

In questi casi l’appaltatore che, per poter eseguire la propria prestazione, si trova nella condizione di partecipare al trattamento dei dati, di cui titolare il committente, dovrebbe perci fornire idonee garanzie al riguardo ed essere designato quale responsabile esterno del trattamento.

Ci comporta, di fatto, la necessit di includere nel contratto, generalmente sotto forma di allegato:

- la designazione e l’accettazione dell’incarico da parte del responsabile del trattamento
- le istruzioni alle quali il responsabile deve attenersi
- l’indicazione delle specifiche tecniche e delle misure di sicurezza da applicare in relazioni ai rischi
- i poteri di vigilanza e controllo da parte del titolare e le modalit con le quali essi potranno essere esercitati
- la ripartizione del carico di responsabilit tra le parti

Infine, ma non certo per importanza, c’ la doverosa verifica che l’outsourcing non comporti un trasferimento di dati personali in un paese posto al di fuori dei confini della comunit Europea a causa dei limiti imposti dalla normativa vigente.

A questo proposito occorre riflettere sul fatto che tale rischio pu anche essere connesso all’utilizzo da parte dell’outsourcer di strutture di storage e trasmissione ridondanti, situate in posti geograficamente distanti, per far fronte alle inevitabili esigenze di disaster recovery.

I livelli di servizio

La natura dei servizi da erogare e la necessit di soddisfare particolari esigenze, specie del committente, impongono, in alcuni casi, il rispetto di particolari modalit di esecuzione della prestazione che vengono concordate tra le parti ed il cui contenuto definito attraverso parametri tecnici, qualitativi e quantitativi, oggettivi e misurabili. Tra questi parametri i pi critici sono in genere rappresentati dai seguenti:

- uptime, cio la garanzia della disponibilit dei servizi secondo una determinata percentuale (es. 99%) riferita ad unit di tempo (settimana, mese, anno, ecc...)
- tempi di risposta, cio la velocit con la quale devono essere eseguite particolari funzioni elaborative. Si tratta di una variabile differente dal tempo di risposta che gli utenti sperimentano durante l’accesso da remoto alle applicazioni software
- varie metriche di servizio che esprimono misurazioni diverse come il periodo di operativit del servizio tecnico, il tempo di presa in carico o di correzione degli eventuali errori o malfunzionamenti, ecc...

L’atto con il quale le parti esprimono il loro accordo viene normalmente definito Service Level Agreement (SLA), pu assumere la forma di allegato al contratto principale e prevedere, a fronte del mancato rispetto dei livelli concordati di servizio, il pagamento di penali oppure, nei casi pi gravi, una clausola risolutiva espressa ai sensi dell’art. 1456 c.c.

Le clausole di un SLA, quando previste, possono incidere in modo significativo sulla portata delle obbligazioni contrattuali e, perci, su di esse deve concentrarsi buona parte dell’attenzione dei contraenti.

Propriet intellettuale ed industriale

A volte le informazioni gestite mediante il software possono avere natura riservata per cui il committente pu essere portatore di un legittimo interesse ad includere nel regolamento contrattuale delle apposite clausole di riservatezza, salvagardia o rivendicazione dei diritti di propriet intellettuale od industriale propri o di terzi.

Questo non toglie che un esigenza analoga possa essere manifestata anche dall’appaltatore con riferimento ad ipotesi specifiche (es. personalizzazioni del software eseguite su richiesta ed a vantaggio del committente).

Ulteriori aspetti negoziali

Rimangono, infine, alcuni punti che, a causa delle complessit sottese alla loro regolamentazione o delle conseguenze particolarmente gravose che ne possono derivare, richiedono un attenta considerazione durante la fase delle trattative ed in sede di stipula:

- durata del contratto ed eventuali penali in caso di recesso anticipato
- parametri assunti come riferimento per il calcolo dei corrispettivi del servizio
- eventuali personalizzazioni del software con indicazione delle specifiche tecniche di sviluppo, della procedura per l’accettazione delle modifiche, della titolarit dei diritti sul codice custom sviluppato
- procedure e modalit per la restituzione, all’atto della cessazione del rapporto, dei dati di titolarit del committente
- responsabilit del committente per i casi in cui le informazioni dallo stesso gestite attraverso i sistemi dell’appaltatore integrino violazioni di norme di legge (propriet intellettuale, privacy, diffamazione, ecc...)
- procedure di backup e disaster recovery
- accordi per l’accrescimento on demand della capacit elaborativa o di storage su richiesta del committente
- criteri per dirimere le eventuali controversie che sorgono in relazione al contratto (giuridsdizione competente, clausola arbitrale, ecc...)

In conclusione il SaaS rappresenta un modello di distribuzione di servizi innovativo, dotato di caratteristiche che lo rendono idoneo a supportare la domanda IT sulla base di criteri di flessibilit e dinamicit delle metriche di servizio e dei prezzi.

Nel contempo, per, le implicazioni legali e la complessit delle questioni che ne derivano, soprattutto in un ottica di bilanciamento di interessi contrapposti, richiedono un attenta valutazione di tutti gli aspetti insiti nel regolamento negoziale.

Parole chiave associate

evento a venire

Non di evento a venire


Sito realizzato con SPIP
con il modello ESCAL-V3
Versione: 3.79.33