Software as a Service (SaaS): aspetti giuridici e negoziali

Il software è l’elemento che, più di ogni altro, ha contribuito alla diffusione della scienza informatica, grazie alle sue caratteristiche di strumento idoneo a supportare l’automazione di processi ed attività in funzione del business aziendale.

L’utilizzo del software attraverso le cd. licenze d’uso si è però sempre contraddistinto per la presenza di problematiche connesse, in particolar modo, con gli oneri della gestione in proprio (capacity planning, installazione, manutenzione, update, sicurezza) e dei costi (licenze, hardware, personale).

L’evoluzione informatica, segnata dall’avvento di Internet e dalla diffusione dei web browser, ha portato alla fine degli anni 90, nel pieno della cd. bolla tecnologica, allo sviluppo del modello degli ASP, acronimo di Application Service Provider, in base al quale si sosteneva che qualsiasi software potesse essere in realtà trasformato in un servizio, così da permetterne la fruizione da remoto evitando, nel contempo, tutti gli inconvenienti connessi alla sua gestione tradizionale.

Sono ormai passati diversi anni dalla fine di quel periodo ma un nuovo modello si sta diffondendo grazie anche all’accesso in banda larga, ad una infrastruttura Internet più matura e robusta ed all’affermarsi di modelli di distribuzione dello storage e delle capacità elaborative derivanti dalla necessità di supportare le sempre più diffuse tecnologie mobili.

Parliamo di SaaS, acronimo di Software as a Service, una delle tipologie di servizio alla base del paradigma del cloud computing, che rappresenta una tendenza evolutiva dell’outsourcing, termine con il quale si intende la pratica di affidare all’esterno la gestione delle funzioni non facenti parte del core business aziendale.

La principale novità è rappresentata da un nuovo modello di delivery dei servizi IT che focalizza l’attenzione su ciò che le tecnologie consentono di realizzare, piuttosto che sulle tecnologie in sè, con il risultato che il software non è più un asset gestito in proprio dall’utilizzatore ma è quest’ultimo che sceglie i servizi di cui usufruire, in base alle proprie reali necessità, contribuendo alla diffusione di un modello economico orientato al consumo IT.

Si tratta quindi di servizi che permettono di soddisfare con grande flessibilità alcune esigenze tipiche delle infrastrutture informatizzate quali:

  • supporto dei più comuni processi aziendali (gestione di magazzino, CRM, gestione del personale, ecc…)
  • applicazioni verticali per garantire soluzioni ad hoc in settori od attività molto specifici
  • applicazione connesse con la gestione dei dati e delle informazioni (data mining, business intelligence, backup remoto, ecc…)
  • spazi virtuali per il team collaborativo (gestione condivisa di progetti, memorizzazione e scambio di documentazione, pianificazione, messaggistica instantanea, ecc…)
  • servizi più comuni (webmail, calendario, ecc…)

Caratteristiche ed aspetti legali

Il modello Saas prevede la fornitura di applicativi software, ospitati all’interno della infrastruttura dello stesso fornitore, ai quali il cliente accede mediante Internet. I vantaggi per il fruitore sono per lo più rappresentati da:

  • riduzione dei costi di licenza e di gestione connessi con l’infrastruttura IT
  • semplificazione od eliminazione degli oneri di gestione
  • trasferimento, in parte, del rischio di esercizio sul fornitore
  • scalabilità che permette di realizzare soluzioni di capacity on demand
  • completo supporto per le esigenze di mobilità aziendale

A ben vedere, alcuni dei benefici citati rendono questo modello appetibile soprattutto per le startup e le piccole e medie imprese, tradizionalmente alle prese con problemi di budget e con la mancanza, al loro interno, di professionalità specifiche nel campo IT.

Tuttavia non mancano implicazioni di natura differente, anche legali, innanzitutto sotto il profilo dell’inquadramento giuridico della fattispecie.

Da questo punto di vista, come già ricordato, il SaaS rappresenta una evoluzione dell’outsourcing che nel nostro ordinamento giuridico è un contratto atipico.

La prevalenza di una prestazione di fare, avente ad oggetto la fornitura di uno o più servizi software o di altra natura, unitamente alla presenza di una organizzazione dotata di mezzi e gestione propri ed al pagamento di un corrispettivo sono tutti elementi che fanno propendere per la configurabilità di un appalto di servizi, sia pure avente ad oggetto prestazioni continuative o periodiche.

La prima diretta conseguenza di tale inquadramento è che l’obbligazione dell’appaltatore costituisce una obbligazione di risultato, anche se nella pratica non mancano casi di soggetti interessati a far figurare nel contratto i propri obblighi come di mezzi.

D’altra parte l’utilizzo delle capacità elaborative e di memorizzazione del fornitore, da questo direttamente controllate, con la finalità di supportare le varie attività ed i processi di business di una organizzazione pone altre questioni concernenti:

  • il rispetto di comprovati standard di sicurezza informatica
  • l’adempimento di obblighi di conformità di natura normativa (es. quelli posti dal d.lgs. 196/03 in materia di protezione dei dati personali) o contrattuale
  • la necessità di fare affidamento su livelli di servizio misurabili in base a parametri tecnici oggettivi
  • la protezione della proprietà intellettuale ed industriale

Si tratta ovviamente di aspetti di non facile soluzione che finiscono per incidere in modo significativo sulla posizione dell’uno o dell’altro contraente, anche dal punto di vista di una eventuale responsabilità, soprattutto nel caso in cui emerga un difetto di due diligence.

E’ necessario quindi che tali questioni siano prontamente affrontate e risolte, in un ottica di bilanciamento dei contrapposti interessi, nell’ambito di una trattativa diretta alla predisposizione di un regolamento contrattuale il cui oggetto deve essere ben chiaro e dettagliato.

E’ inoltre opportuno che il contratto sia accompagnato da allegati contenenti la descrizione degli aspetti tecnici e la determinazione dei parametri dei livelli di servizio (SLA) connessi all’esecuzione delle varie prestazioni.

Sicurezza informatica

Nel mondo odierno le informazioni rappresentano per le organizzazioni, di ogni genere e dimensione, uno dei principali asset da preservare per il raggiungimento dei propri obiettivi.

Ciò vale, a maggior ragione, quando una quota, più o meno consistente, di tali informazioni diventa oggetto dei processi di elaborazione e memorizzazione di una infrastruttura informatica gestita da una parte estranea, come appunto nel caso di specie.

Il richiamo all’importanza delle informazioni in gioco serve perciò a sottolineare la necessità che il fornitore, in primis, offra specifiche garanzie e dettagli sull’adozione dei migliori standard e delle misure di sicurezza, tecniche ed organizzative, ritenute idonee, sulla base di una analisi del rischio, a proteggere le informazioni da tutte le minacce, interne od esterne, che siano tali da comprometterne la riservatezza, la disponibilità e l’integrità.

In questa prospettiva può essere utile accertare nella fase negoziale, e successivamente dare conto nel contratto, di alcune condizioni o status dell’outsourcer relativi a:

  • il possesso di certificazioni attinenti l’ambito dei servizi offerti (ad es. SAS70, ISO27001,…)
  • l’impiego di personale altamente qualificato e certificato
  • l’adeguatezza dimensionale e qualitativa delle infrastrutture informatiche e di comunicazione

Una valutazione a parte deve essere invece riservata alla questione della responsabilità nel caso di eventuali violazioni od incidenti di sicurezza.

Mentre la disponibilità dell’outsourcer ad assumere contrattualmente il rischio di tali violazioni deve essere valutata come un segnale di apertura che la dice lunga sulla sua affidabilità complessiva, purtroppo nella prassi contrattuale si ravvisa una tendenza di segno completamente opposto che si manifesta attraverso clausole, dal contenuto spesso poco chiaro, cui è bene prestare la massima attenzione, tenendo comunque presente che il codice civile (art. 1229) sancisce la nullità di qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità di una delle parti per dolo o colpa grave.

Protezione dei dati personali

Una species della sicurezza informatica è quella riguardante i cd. dati personali, da considerare anch’essi alla stregua di un asset ed oggetto di stringenti obblighi di protezione imposti dal codice della privacy (D.Lgs. 196/03).

Tra questi obblighi, la cui violazione è fonte di responsabilità civili, penali ed amministrative, vanno annoverati quelli relativi all’adozione delle misure di sicurezza minime (art. 33 ed All. B) e di tutte le altre, idonee e preventive, che, sulla base delle conoscenze acquisite mediante il progresso tecnico e dell’importanza dei dati trattati, possano ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta (art. 31).

Si tratta, come noto, di obblighi che permangono in capo al titolare, anche quando egli decida di avvalersi di soggetti esterni alla sua organizzazione per l’esecuzione di attività o la fornitura di servizi strumentali al trattamento dei dati.

In questi casi l’appaltatore che, per poter eseguire la propria prestazione, si trova nella condizione di partecipare al trattamento dei dati, di cui è titolare il committente, dovrebbe perciò fornire idonee garanzie al riguardo ed essere designato quale responsabile esterno del trattamento.

Ciò comporta, di fatto, la necessità di includere nel contratto, generalmente sotto forma di allegato:

  • la designazione e l’accettazione dell’incarico da parte del responsabile del trattamento
  • le istruzioni alle quali il responsabile deve attenersi
  • l’indicazione delle specifiche tecniche e delle misure di sicurezza da applicare in relazioni ai rischi
  • i poteri di vigilanza e controllo da parte del titolare e le modalità con le quali essi potranno essere esercitati
  • la ripartizione del carico di responsabilità tra le parti

Infine, ma non certo per importanza, c’è la doverosa verifica che l’outsourcing non comporti un trasferimento di dati personali in un paese posto al di fuori dei confini della comunità Europea a causa dei limiti imposti dalla normativa vigente.

A questo proposito occorre riflettere sul fatto che tale rischio può anche essere connesso all’utilizzo da parte dell’outsourcer di strutture di storage e trasmissione ridondanti, situate in posti geograficamente distanti, per far fronte alle inevitabili esigenze di disaster recovery.

I livelli di servizio

La natura dei servizi da erogare e la necessità di soddisfare particolari esigenze, specie del committente, impongono, in alcuni casi, il rispetto di particolari modalità di esecuzione della prestazione che vengono concordate tra le parti ed il cui contenuto è definito attraverso parametri tecnici, qualitativi e quantitativi, oggettivi e misurabili. Tra questi parametri i più critici sono in genere rappresentati dai seguenti:

  • uptime, cioè la garanzia della disponibilità dei servizi secondo una determinata percentuale (es. 99%) riferita ad unità di tempo (settimana, mese, anno, ecc…)
  • tempi di risposta, cioè la velocità con la quale devono essere eseguite particolari funzioni elaborative. Si tratta di una variabile differente dal tempo di risposta che gli utenti sperimentano durante l’accesso da remoto alle applicazioni software
  • varie metriche di servizio che esprimono misurazioni diverse come il periodo di operatività del servizio tecnico, il tempo di presa in carico o di correzione degli eventuali errori o malfunzionamenti, ecc…

L’atto con il quale le parti esprimono il loro accordo viene normalmente definito Service Level Agreement (SLA), può assumere la forma di allegato al contratto principale e prevedere, a fronte del mancato rispetto dei livelli concordati di servizio, il pagamento di penali oppure, nei casi più gravi, una clausola risolutiva espressa ai sensi dell’art. 1456 c.c.

Le clausole di un SLA, quando previste, possono incidere in modo significativo sulla portata delle obbligazioni contrattuali e, perciò, su di esse deve concentrarsi buona parte dell’attenzione dei contraenti.

Proprietà intellettuale ed industriale

A volte le informazioni gestite mediante il software possono avere natura riservata per cui il committente può essere portatore di un legittimo interesse ad includere nel regolamento contrattuale delle apposite clausole di riservatezza, salvagardia o rivendicazione dei diritti di proprietà intellettuale od industriale propri o di terzi.

Questo non toglie che un esigenza analoga possa essere manifestata anche dall’appaltatore con riferimento ad ipotesi specifiche (es. personalizzazioni del software eseguite su richiesta ed a vantaggio del committente).

Ulteriori aspetti negoziali

Rimangono, infine, alcuni punti che, a causa delle complessità sottese alla loro regolamentazione o delle conseguenze particolarmente gravose che ne possono derivare, richiedono un attenta considerazione durante la fase delle trattative ed in sede di stipula:

  • durata del contratto ed eventuali penali in caso di recesso anticipato
  • parametri assunti come riferimento per il calcolo dei corrispettivi del servizio
  • eventuali personalizzazioni del software con indicazione delle specifiche tecniche di sviluppo, della procedura per l’accettazione delle modifiche, della titolarità dei diritti sul codice custom sviluppato
  • procedure e modalità per la restituzione, all’atto della cessazione del rapporto, dei dati di titolarità del committente
  • responsabilità del committente per i casi in cui le informazioni dallo stesso gestite attraverso i sistemi dell’appaltatore integrino violazioni di norme di legge (proprietà intellettuale, privacy, diffamazione, ecc…)
  • procedure di backup e disaster recovery
  • accordi per l’accrescimento on demand della capacità elaborativa o di storage su richiesta del committente
  • criteri per dirimere le eventuali controversie che sorgono in relazione al contratto (giuridsdizione competente, clausola arbitrale, ecc…)

In conclusione il SaaS rappresenta un modello di distribuzione di servizi innovativo, dotato di caratteristiche che lo rendono idoneo a supportare la domanda IT sulla base di criteri di flessibilità e dinamicità delle metriche di servizio e dei prezzi.
Nel contempo, però, le implicazioni legali e la complessità delle questioni che ne derivano, soprattutto in un ottica di bilanciamento di interessi contrapposti, richiedono un attenta valutazione di tutti gli aspetti insiti nel regolamento negoziale.

Avv. Stefano Bendandi
www.stefanobendandi.com
stefanobendandi.blogspot.com

Bendandi Stefano

Scrivi un commento

Accedi per poter inserire un commento