Sei sulla pagina 1di 7

Software as a service (SaaS)

Aspetti giuridici e negoziali

Studio Legale
Avv. Stefano Bendandi

http://www.stefanobendandi.com
http://stefanobendandi.blogspot.com
Sommario
Caratteristiche ed aspetti legali .............................................................................3
Sicurezza informatica..............................................................................................4
Protezione dei dati personali..................................................................................5
I livelli di servizio.....................................................................................................6
Proprietà intellettuale ed industriale......................................................................6
Ulteriori aspetti negoziali........................................................................................7
Software as a service (SaaS):aspetti giuridici e negoziali

Il software è l'elemento che, più di La principale novità è rappresentata


ogni altro, ha contribuito alla diffusione da un nuovo modello di delivery dei ser­
della scienza informatica, grazie alle vizi IT che focalizza l'attenzione su ciò
sue caratteristiche di strumento idoneo che le tecnologie consentono di realiz­
a supportare l'automazione di processi zare, piuttosto che sulle tecnologie in
ed attività in funzione del business sè, con il risultato che il software non è
aziendale. più un asset gestito in proprio dall'utiliz­
L'utilizzo del software attraverso le zatore ma è quest'ultimo che sceglie i
cd. licenze d'uso si è però sempre con­ servizi di cui usufruire, in base alle pro­
traddistinto per la presenza di proble­ prie reali necessità, contribuendo alla
matiche connesse, in particolar modo, diffusione di un modello economico
con gli oneri della gestione in proprio orientato al consumo IT.
(capacity planning, installazione, manu­ Si tratta quindi di servizi che permet­
tenzione, update, sicurezza) e dei costi tono di soddisfare con grande flessibili­
(licenze, hardware, personale). tà alcune esigenze tipiche delle infra­
L'evoluzione informatica, segnata strutture informatizzate quali:
dall'avvento di Internet e dalla diffusio­ • supporto dei più comuni pro­
ne dei web browser, ha portato alla fine cessi aziendali (gestione di ma­
degli anni 90, nel pieno della cd. bolla gazzino, CRM, gestione del per­
tecnologica, allo sviluppo del modello sonale, ecc...)
degli ASP, acronimo di Application Ser­ • applicazioni verticali per ga­
vice Provider, in base al quale si soste­ rantire soluzioni ad hoc in settori
neva che qualsiasi software potesse od attività molto specifici
essere in realtà trasformato in un servi­ • applicazione connesse con la
zio, così da permetterne la fruizione da gestione dei dati e delle informa­
remoto evitando, nel contempo, tutti gli zioni (data mining, business in­
inconvenienti connessi alla sua gestio­ telligence, backup remoto, ecc...)
ne tradizionale. • spazi virtuali per il team colla­
Sono ormai passati diversi anni dalla borativo (gestione condivisa di
fine di quel periodo ma un nuovo mo­ progetti, memorizzazione e
dello si sta diffondendo grazie anche al­ scambio di documentazione, pia­
l'accesso in banda larga, ad una infra­ nificazione, messaggistica in­
struttura Internet più matura e robusta stantanea, ecc...)
ed all'affermarsi di modelli di distribuzio­ • servizi più comuni (webmail,
ne dello storage e delle capacità elabo­ calendario, ecc...)
rative derivanti dalla necessità di sup­
portare le sempre più diffuse tecnologie CARATTERISTICHE ED ASPETTI LEGALI
mobili.
Parliamo di SaaS, acronimo di Soft­
Il modello Saas prevede la fornitura
ware as a Service, una delle tipologie di
di applicativi software, ospitati all'inter­
servizio alla base del paradigma del
no della infrastruttura dello stesso forni­
cloud computing, che rappresenta
tore, ai quali il cliente accede mediante
una tendenza evolutiva dell'outsour­ Internet. I vantaggi per il fruitore sono
cing, termine con il quale si intende la per lo più rappresentati da:
pratica di affidare all'esterno la gestione
• riduzione dei costi di licenza e
delle funzioni non facenti parte del core
business aziendale. di gestione connessi con l'infra­
struttura IT

Pag. 3
Software as a service (SaaS):aspetti giuridici e negoziali

• semplificazione od eliminazio­ organizzazione pone altre questioni


ne degli oneri di gestione concernenti:
• trasferimento, in parte, del ri­ • il rispetto di comprovati stan­
schio di esercizio sul fornitore dard di sicurezza informatica
• scalabilità che permette di • l'adempimento di obblighi di
realizzare soluzioni di capacity conformità di natura normativa
on demand (es. quelli posti dal d.lgs. 196/03
• completo supporto per le esi­ in materia di protezione dei dati
genze di mobilità aziendale personali) o contrattuale
A ben vedere, alcuni dei benefici ci­ • la necessità di fare affidamen­
tati rendono questo modello appetibile to su livelli di servizio misurabili
soprattutto per le startup e le piccole e in base a parametri tecnici og­
medie imprese, tradizionalmente alle gettivi
prese con problemi di budget e con la • la protezione della proprietà
mancanza, al loro interno, di professio­ intellettuale ed industriale
nalità specifiche nel campo IT. Si tratta ovviamente di aspetti di non
Tuttavia non mancano implicazioni di facile soluzione che finiscono per inci­
natura differente, anche legali, innanzi­ dere in modo significativo sulla posizio­
tutto sotto il profilo dell'inquadramento ne dell'uno o dell'altro contraente, an­
giuridico della fattispecie. che dal punto di vista di una eventuale
Da questo punto di vista, come già responsabilità, soprattutto nel caso in
ricordato, il SaaS rappresenta una evo­ cui emerga un difetto di due diligence.
luzione dell'outsourcing che nel nostro E' necessario quindi che tali questio­
ordinamento giuridico è un contratto ati­ ni siano prontamente affrontate e risol­
pico. te, in un ottica di bilanciamento dei con­
La prevalenza di una prestazione di trapposti interessi, nell'ambito di una
fare, avente ad oggetto la fornitura di trattativa diretta alla predisposizione di
uno o più servizi software o di altra na­ un regolamento contrattuale il cui og­
tura, unitamente alla presenza di una getto deve essere ben chiaro e detta­
organizzazione dotata di mezzi e ge­ gliato.
stione propri ed al pagamento di un cor­ E' inoltre opportuno che il contratto
rispettivo sono tutti elementi che fanno sia accompagnato da allegati contenen­
propendere per la configurabilità di un ti la descrizione degli aspetti tecnici e la
appalto di servizi, sia pure avente ad determinazione dei parametri dei livelli
oggetto prestazioni continuative o pe­ di servizio (SLA) connessi all'esecuzio­
riodiche. ne delle varie prestazioni.
La prima diretta conseguenza di tale
inquadramento è che l'obbligazione del­ SICUREZZA INFORMATICA
l'appaltatore costituisce una obbligazio­
ne di risultato, anche se nella pratica
non mancano casi di soggetti interessa­ Nel mondo odierno le informazioni
ti a far figurare nel contratto i propri ob­ rappresentano per le organizzazioni, di
blighi come di mezzi. ogni genere e dimensione, uno dei prin­
cipali asset da preservare per il rag­
D'altra parte l'utilizzo delle capacità
giungimento dei propri obiettivi.
elaborative e di memorizzazione del for­
nitore, da questo direttamente controlla­ Ciò vale, a maggior ragione, quando
te, con la finalità di supportare le varie una quota, più o meno consistente, di
attività ed i processi di business di una tali informazioni diventa oggetto dei

Pag. 4
Software as a service (SaaS):aspetti giuridici e negoziali

processi di elaborazione e memorizza­ una delle parti per dolo o colpa grave.
zione di una infrastruttura informatica
gestita da una parte estranea, come
appunto nel caso di specie. PROTEZIONE DEI DATI PERSONALI

Il richiamo all'importanza delle infor­


mazioni in gioco serve perciò a sottoli­ Una species della sicurezza informa­
neare la necessità che il fornitore, in tica è quella riguardante i cd. dati per­
primis, offra specifiche garanzie e det­ sonali, da considerare anch'essi alla
tagli sull'adozione dei migliori standard stregua di un asset ed oggetto di strin­
e delle misure di sicurezza, tecniche ed genti obblighi di protezione imposti dal
organizzative, ritenute idonee, sulla codice della privacy (D.Lgs. 196/03).
base di una analisi del rischio, a proteg­ Tra questi obblighi, la cui violazione
gere le informazioni da tutte le minacce, è fonte di responsabilità civili, penali ed
interne od esterne, che siano tali da amministrative, vanno annoverati quelli
comprometterne la riservatezza, la di­ relativi all'adozione delle misure di sicu­
sponibilità e l'integrità. rezza minime (art. 33 ed All. B) e di tut­
In questa prospettiva può essere uti­ te le altre, idonee e preventive, che,
le accertare nella fase negoziale, e suc­ sulla base delle conoscenze acquisite
cessivamente dare conto nel contratto, mediante il progresso tecnico e dell'im­
di alcune condizioni o status dell'ou­ portanza dei dati trattati, possano ridur­
tsourcer relativi a: re al minimo i rischi di distruzione, per­
• il possesso di certificazioni at­
dita, accesso non autorizzato o tratta­
tinenti l'ambito dei servizi offerti mento non consentito o non conforme
(ad es. SAS70, ISO27001,...) alle finalità della raccolta (art. 31).
• l'impiego di personale alta­ Si tratta, come noto, di obblighi che
mente qualificato e certificato permangono in capo al titolare, anche
• l'adeguatezza dimensionale e quando egli decida di avvalersi di sog­
qualitativa delle infrastrutture in­ getti esterni alla sua organizzazione per
formatiche e di comunicazione l'esecuzione di attività o la fornitura di
Una valutazione a parte deve essere servizi strumentali al trattamento dei
invece riservata alla questione della re­ dati.
sponsabilità nel caso di eventuali viola­ In questi casi l'appaltatore che, per
zioni od incidenti di sicurezza. poter eseguire la propria prestazione, si
Mentre la disponibilità dell'outsourcer trova nella condizione di partecipare al
ad assumere contrattualmente il rischio trattamento dei dati, di cui è titolare il
di tali violazioni deve essere valutata committente, dovrebbe perciò fornire
come un segnale di apertura che la idonee garanzie al riguardo ed essere
dice lunga sulla sua affidabilità com­ designato quale responsabile esterno
plessiva, purtroppo nella prassi contrat­ del trattamento.
tuale si ravvisa una tendenza di segno Ciò comporta, di fatto, la necessità di
completamente opposto che si manife­ includere nel contratto, generalmente
sta attraverso clausole, dal contenuto sotto forma di allegato:
spesso poco chiaro, cui è bene presta­ • la designazione e l'accettazio­
re la massima attenzione, tenendo co­ ne dell'incarico da parte del re­
munque presente che il codice civile sponsabile del trattamento
(art. 1229) sancisce la nullità di qualsia­ • le istruzioni alle quali il re­
si patto diretto ad escludere o limitare sponsabile deve attenersi
preventivamente la responsabilità di

Pag. 5
Software as a service (SaaS):aspetti giuridici e negoziali

• l'indicazione delle specifiche borative. Si tratta di una variabile


tecniche e delle misure di sicu­ differente dal tempo di risposta
rezza da applicare in relazioni ai che gli utenti sperimentano du­
rischi rante l'accesso da remoto alle
• i poteri di vigilanza e controllo applicazioni software
da parte del titolare e le modalità • varie metriche di servizio che
con le quali essi potranno essere esprimono misurazioni diverse
esercitati come il periodo di operatività del
• la ripartizione del carico di re­ servizio tecnico, il tempo di presa
sponsabilità tra le parti in carico o di correzione degli
Infine, ma non certo per importanza, eventuali errori o malfunziona­
c'è la doverosa verifica che l'outsour­ menti, ecc...
cing non comporti un trasferimento di L'atto con il quale le parti esprimono
dati personali in un paese posto al di il loro accordo viene normalmente defi­
fuori dei confini della comunità Europea nito Service Level Agreement (SLA),
a causa dei limiti imposti dalla normati­ può assumere la forma di allegato al
va vigente. contratto principale e prevedere, a fron­
A questo proposito occorre riflettere te del mancato rispetto dei livelli con­
sul fatto che tale rischio può anche es­ cordati di servizio, il pagamento di pe­
sere connesso all'utilizzo da parte del­ nali oppure, nei casi più gravi, una clau­
l'outsourcer di strutture di storage e tra­ sola risolutiva espressa ai sensi dell'art.
smissione ridondanti, situate in posti 1456 c.c.
geograficamente distanti, per far fronte Le clausole di un SLA, quando previ­
alle inevitabili esigenze di disaster reco­ ste, possono incidere in modo significa­
very. tivo sulla portata delle obbligazioni con­
trattuali e, perciò, su di esse deve con­
centrarsi buona parte dell'attenzione dei
I LIVELLI DI SERVIZIO contraenti.

La natura dei servizi da erogare e la


necessità di soddisfare particolari esi­ PROPRIETÀ INTELLETTUALE ED
genze, specie del committente, impon­ INDUSTRIALE
gono, in alcuni casi, il rispetto di parti­
colari modalità di esecuzione della pre­ A volte le informazioni gestite me­
stazione che vengono concordate tra le diante il software possono avere natura
parti ed il cui contenuto è definito attra­ riservata per cui il committente può es­
verso parametri tecnici, qualitativi e sere portatore di un legittimo interesse
quantitativi, oggettivi e misurabili. Tra ad includere nel regolamento contrat­
questi parametri i più critici sono in ge­ tuale delle apposite clausole di riserva­
nere rappresentati dai seguenti: tezza, salvagardia o rivendicazione dei
• uptime, cioè la garanzia della diritti di proprietà intellettuale od indu­
disponibilità dei servizi secondo striale propri o di terzi.
una determinata percentuale (es. Questo non toglie che un esigenza
99%) riferita ad unità di tempo analoga possa essere manifestata an­
(settimana, mese, anno, ecc...) che dall'appaltatore con riferimento ad
• tempi di risposta, cioè la velo­
ipotesi specifiche (es. personalizzazioni
cità con la quale devono essere del software eseguite su richiesta ed a
eseguite particolari funzioni ela­ vantaggio del committente).

Pag. 6
Software as a service (SaaS):aspetti giuridici e negoziali

ULTERIORI ASPETTI NEGOZIALI domanda IT sulla base di criteri di fles­


sibilità e dinamicità delle metriche di
servizio e dei prezzi.
Rimangono, infine, alcuni punti che,
Nel contempo, però, le implicazioni
a causa delle complessità sottese alla
legali e la complessità delle questioni
loro regolamentazione o delle conse­
che ne derivano, soprattutto in un ottica
guenze particolarmente gravose che ne
di bilanciamento di interessi contrappo­
possono derivare, richiedono un attenta
sti, richiedono un attenta valutazione di
considerazione durante la fase delle
tutti gli aspetti insiti nel regolamento ne­
trattative ed in sede di stipula:
goziale.
• durata del contratto ed even­
tuali penali in caso di recesso
anticipato
• parametri assunti come riferi­
mento per il calcolo dei corrispet­
tivi del servizio
• eventuali personalizzazioni del
software con indicazione delle
specifiche tecniche di sviluppo,
della procedura per l'accettazio­
ne delle modifiche, della titolarità
dei diritti sul codice custom svi­
luppato
• procedure e modalità per la
restituzione, all'atto della cessa­
zione del rapporto, dei dati di ti­
tolarità del committente
• responsabilità del committente
per i casi in cui le informazioni
dallo stesso gestite attraverso i
sistemi dell'appaltatore integrino
violazioni di norme di legge (pro­
prietà intellettuale, privacy, diffa­
mazione, ecc...)
• procedure di backup e disa­
ster recovery
• accordi per l'accrescimento
on demand della capacità elabo­
rativa o di storage su richiesta
del committente
• criteri per dirimere le eventuali
controversie che sorgono in rela­
zione al contratto (giuridsdizione
competente, clausola arbitrale,
ecc...)
In conclusione il SaaS rappresen­
ta un modello di distribuzione di servi­
zi innovativo, dotato di caratteristiche
che lo rendono idoneo a supportare la

Pag. 7