Software as a Service (SaaS): aspetti giuridici e negoziali
L’utilizzo del software attraverso le cd. licenze d’uso si è però sempre contraddistinto per la presenza di problematiche connesse, in particolar modo, con gli oneri della gestione in proprio (capacity planning, installazione, manutenzione, update, sicurezza) e dei costi (licenze, hardware, personale).
L’evoluzione informatica, segnata dall’avvento di Internet e dalla diffusione dei web browser, ha portato alla fine degli anni 90, nel pieno della cd. bolla tecnologica, allo sviluppo del modello degli ASP, acronimo di Application Service Provider, in base al quale si sosteneva che qualsiasi software potesse essere in realtà trasformato in un servizio, così da permetterne la fruizione da remoto evitando, nel contempo, tutti gli inconvenienti connessi alla sua gestione tradizionale.
Sono ormai passati diversi anni dalla fine di quel periodo ma un nuovo modello si sta diffondendo grazie anche all’accesso in banda larga, ad una infrastruttura Internet più matura e robusta ed all’affermarsi di modelli di distribuzione dello storage e delle capacità elaborative derivanti dalla necessità di supportare le sempre più diffuse tecnologie mobili.
Parliamo di SaaS, acronimo di Software as a Service, una delle tipologie di servizio alla base del paradigma del cloud computing, che rappresenta una tendenza evolutiva dell’outsourcing, termine con il quale si intende la pratica di affidare all’esterno la gestione delle funzioni non facenti parte del core business aziendale.
La principale novità è rappresentata da un nuovo modello di delivery dei servizi IT che focalizza l’attenzione su ciò che le tecnologie consentono di realizzare, piuttosto che sulle tecnologie in sè, con il risultato che il software non è più un asset gestito in proprio dall’utilizzatore ma è quest’ultimo che sceglie i servizi di cui usufruire, in base alle proprie reali necessità, contribuendo alla diffusione di un modello economico orientato al consumo IT.
Si tratta quindi di servizi che permettono di soddisfare con grande flessibilità alcune esigenze tipiche delle infrastrutture informatizzate quali:
- supporto dei più comuni processi aziendali (gestione di magazzino, CRM, gestione del personale, ecc...)
- applicazioni verticali per garantire soluzioni ad hoc in settori od attività molto specificiapplicazione connesse con la gestione dei dati e delle informazioni (data mining, business intelligence, backup remoto, ecc...)
- spazi virtuali per il team collaborativo (gestione condivisa di progetti, memorizzazione e scambio di documentazione, pianificazione, messaggistica instantanea, ecc...)
- servizi più comuni (webmail, calendario, ecc...)
Caratteristiche ed aspetti legali
- riduzione dei costi di licenza e di gestione connessi con l’infrastruttura IT
- semplificazione od eliminazione degli oneri di gestione
- trasferimento, in parte, del rischio di esercizio sul fornitore
- scalabilità che permette di realizzare soluzioni di capacity on demand
- completo supporto per le esigenze di mobilità aziendale
Tuttavia non mancano implicazioni di natura differente, anche legali, innanzitutto sotto il profilo dell’inquadramento giuridico della fattispecie.
Da questo punto di vista, come già ricordato, il SaaS rappresenta una evoluzione dell’outsourcing che nel nostro ordinamento giuridico è un contratto atipico.
La prevalenza di una prestazione di fare, avente ad oggetto la fornitura di uno o più servizi software o di altra natura, unitamente alla presenza di una organizzazione dotata di mezzi e gestione propri ed al pagamento di un corrispettivo sono tutti elementi che fanno propendere per la configurabilità di un appalto di servizi, sia pure avente ad oggetto prestazioni continuative o periodiche.
La prima diretta conseguenza di tale inquadramento è che l’obbligazione dell’appaltatore costituisce una obbligazione di risultato, anche se nella pratica non mancano casi di soggetti interessati a far figurare nel contratto i propri obblighi come di mezzi.
D’altra parte l’utilizzo delle capacità elaborative e di memorizzazione del fornitore, da questo direttamente controllate, con la finalità di supportare le varie attività ed i processi di business di una organizzazione pone altre questioni concernenti:
- il rispetto di comprovati standard di sicurezza informatica
- l’adempimento di obblighi di conformità di natura normativa (es. quelli posti dal d.lgs. 196/03 in materia di protezione dei dati personali) o contrattuale
- la necessità di fare affidamento su livelli di servizio misurabili in base a parametri tecnici oggettivi
- la protezione della proprietà intellettuale ed industriale
E’ necessario quindi che tali questioni siano prontamente affrontate e risolte, in un ottica di bilanciamento dei contrapposti interessi, nell’ambito di una trattativa diretta alla predisposizione di un regolamento contrattuale il cui oggetto deve essere ben chiaro e dettagliato.
E’ inoltre opportuno che il contratto sia accompagnato da allegati contenenti la descrizione degli aspetti tecnici e la determinazione dei parametri dei livelli di servizio (SLA) connessi all’esecuzione delle varie prestazioni.
Sicurezza informatica
Ciò vale, a maggior ragione, quando una quota, più o meno consistente, di tali informazioni diventa oggetto dei processi di elaborazione e memorizzazione di una infrastruttura informatica gestita da una parte estranea, come appunto nel caso di specie.
Il richiamo all’importanza delle informazioni in gioco serve perciò a sottolineare la necessità che il fornitore, in primis, offra specifiche garanzie e dettagli sull’adozione dei migliori standard e delle misure di sicurezza, tecniche ed organizzative, ritenute idonee, sulla base di una analisi del rischio, a proteggere le informazioni da tutte le minacce, interne od esterne, che siano tali da comprometterne la riservatezza, la disponibilità e l’integrità.
In questa prospettiva può essere utile accertare nella fase negoziale, e successivamente dare conto nel contratto, di alcune condizioni o status dell’outsourcer relativi a:
- il possesso di certificazioni attinenti l’ambito dei servizi offerti (ad es. SAS70, ISO27001,...)
- l’impiego di personale altamente qualificato e certificato
- l’adeguatezza dimensionale e qualitativa delle infrastrutture informatiche e di comunicazione
Mentre la disponibilità dell’outsourcer ad assumere contrattualmente il rischio di tali violazioni deve essere valutata come un segnale di apertura che la dice lunga sulla sua affidabilità complessiva, purtroppo nella prassi contrattuale si ravvisa una tendenza di segno completamente opposto che si manifesta attraverso clausole, dal contenuto spesso poco chiaro, cui è bene prestare la massima attenzione, tenendo comunque presente che il codice civile (art. 1229) sancisce la nullità di qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità di una delle parti per dolo o colpa grave.
Protezione dei dati personali
Tra questi obblighi, la cui violazione è fonte di responsabilità civili, penali ed amministrative, vanno annoverati quelli relativi all’adozione delle misure di sicurezza minime (art. 33 ed All. B) e di tutte le altre, idonee e preventive, che, sulla base delle conoscenze acquisite mediante il progresso tecnico e dell’importanza dei dati trattati, possano ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta (art. 31).
Si tratta, come noto, di obblighi che permangono in capo al titolare, anche quando egli decida di avvalersi di soggetti esterni alla sua organizzazione per l’esecuzione di attività o la fornitura di servizi strumentali al trattamento dei dati.
In questi casi l’appaltatore che, per poter eseguire la propria prestazione, si trova nella condizione di partecipare al trattamento dei dati, di cui è titolare il committente, dovrebbe perciò fornire idonee garanzie al riguardo ed essere designato quale responsabile esterno del trattamento.
Ciò comporta, di fatto, la necessità di includere nel contratto, generalmente sotto forma di allegato:
- la designazione e l’accettazione dell’incarico da parte del responsabile del trattamento
- le istruzioni alle quali il responsabile deve attenersi
- l’indicazione delle specifiche tecniche e delle misure di sicurezza da applicare in relazioni ai rischi
- i poteri di vigilanza e controllo da parte del titolare e le modalità con le quali essi potranno essere esercitati
- la ripartizione del carico di responsabilità tra le parti
A questo proposito occorre riflettere sul fatto che tale rischio può anche essere connesso all’utilizzo da parte dell’outsourcer di strutture di storage e trasmissione ridondanti, situate in posti geograficamente distanti, per far fronte alle inevitabili esigenze di disaster recovery.
I livelli di servizio
- uptime, cioè la garanzia della disponibilità dei servizi secondo una determinata percentuale (es. 99%) riferita ad unità di tempo (settimana, mese, anno, ecc...)
- tempi di risposta, cioè la velocità con la quale devono essere eseguite particolari funzioni elaborative. Si tratta di una variabile differente dal tempo di risposta che gli utenti sperimentano durante l’accesso da remoto alle applicazioni software
- varie metriche di servizio che esprimono misurazioni diverse come il periodo di operatività del servizio tecnico, il tempo di presa in carico o di correzione degli eventuali errori o malfunzionamenti, ecc...
Le clausole di un SLA, quando previste, possono incidere in modo significativo sulla portata delle obbligazioni contrattuali e, perciò, su di esse deve concentrarsi buona parte dell’attenzione dei contraenti.
Proprietà intellettuale ed industriale
Questo non toglie che un esigenza analoga possa essere manifestata anche dall’appaltatore con riferimento ad ipotesi specifiche (es. personalizzazioni del software eseguite su richiesta ed a vantaggio del committente).
Ulteriori aspetti negoziali
- durata del contratto ed eventuali penali in caso di recesso anticipato
- parametri assunti come riferimento per il calcolo dei corrispettivi del servizio
- eventuali personalizzazioni del software con indicazione delle specifiche tecniche di sviluppo, della procedura per l’accettazione delle modifiche, della titolarità dei diritti sul codice custom sviluppato
- procedure e modalità per la restituzione, all’atto della cessazione del rapporto, dei dati di titolarità del committente
- responsabilità del committente per i casi in cui le informazioni dallo stesso gestite attraverso i sistemi dell’appaltatore integrino violazioni di norme di legge (proprietà intellettuale, privacy, diffamazione, ecc...)
- procedure di backup e disaster recovery
- accordi per l’accrescimento on demand della capacità elaborativa o di storage su richiesta del committente
- criteri per dirimere le eventuali controversie che sorgono in relazione al contratto (giuridsdizione competente, clausola arbitrale, ecc...)
Nel contempo, però, le implicazioni legali e la complessità delle questioni che ne derivano, soprattutto in un ottica di bilanciamento di interessi contrapposti, richiedono un attenta valutazione di tutti gli aspetti insiti nel regolamento negoziale.
L’utilizzo del software attraverso le cd. licenze d’uso si è però sempre contraddistinto per la presenza di problematiche connesse, in particolar modo, con gli oneri della gestione in proprio (capacity planning, installazione, manutenzione, update, sicurezza) e dei costi (licenze, hardware, personale).
L’evoluzione informatica, segnata dall’avvento di Internet e dalla diffusione dei web browser, ha portato alla fine degli anni 90, nel pieno della cd. bolla tecnologica, allo sviluppo del modello degli ASP, acronimo di Application Service Provider, in base al quale si sosteneva che qualsiasi software potesse essere in realtà trasformato in un servizio, così da permetterne la fruizione da remoto evitando, nel contempo, tutti gli inconvenienti connessi alla sua gestione tradizionale.
Sono ormai passati diversi anni dalla fine di quel periodo ma un nuovo modello si sta diffondendo grazie anche all’accesso in banda larga, ad una infrastruttura Internet più matura e robusta ed all’affermarsi di modelli di distribuzione dello storage e delle capacità elaborative derivanti dalla necessità di supportare le sempre più diffuse tecnologie mobili.
Parliamo di SaaS, acronimo di Software as a Service, una delle tipologie di servizio alla base del paradigma del cloud computing, che rappresenta una tendenza evolutiva dell’outsourcing, termine con il quale si intende la pratica di affidare all’esterno la gestione delle funzioni non facenti parte del core business aziendale.
La principale novità è rappresentata da un nuovo modello di delivery dei servizi IT che focalizza l’attenzione su ciò che le tecnologie consentono di realizzare, piuttosto che sulle tecnologie in sè, con il risultato che il software non è più un asset gestito in proprio dall’utilizzatore ma è quest’ultimo che sceglie i servizi di cui usufruire, in base alle proprie reali necessità, contribuendo alla diffusione di un modello economico orientato al consumo IT.
Si tratta quindi di servizi che permettono di soddisfare con grande flessibilità alcune esigenze tipiche delle infrastrutture informatizzate quali:
- supporto dei più comuni processi aziendali (gestione di magazzino, CRM, gestione del personale, ecc...)
- applicazioni verticali per garantire soluzioni ad hoc in settori od attività molto specificiapplicazione connesse con la gestione dei dati e delle informazioni (data mining, business intelligence, backup remoto, ecc...)
- spazi virtuali per il team collaborativo (gestione condivisa di progetti, memorizzazione e scambio di documentazione, pianificazione, messaggistica instantanea, ecc...)
- servizi più comuni (webmail, calendario, ecc...)
Caratteristiche ed aspetti legali
- riduzione dei costi di licenza e di gestione connessi con l’infrastruttura IT
- semplificazione od eliminazione degli oneri di gestione
- trasferimento, in parte, del rischio di esercizio sul fornitore
- scalabilità che permette di realizzare soluzioni di capacity on demand
- completo supporto per le esigenze di mobilità aziendale
Tuttavia non mancano implicazioni di natura differente, anche legali, innanzitutto sotto il profilo dell’inquadramento giuridico della fattispecie.
Da questo punto di vista, come già ricordato, il SaaS rappresenta una evoluzione dell’outsourcing che nel nostro ordinamento giuridico è un contratto atipico.
La prevalenza di una prestazione di fare, avente ad oggetto la fornitura di uno o più servizi software o di altra natura, unitamente alla presenza di una organizzazione dotata di mezzi e gestione propri ed al pagamento di un corrispettivo sono tutti elementi che fanno propendere per la configurabilità di un appalto di servizi, sia pure avente ad oggetto prestazioni continuative o periodiche.
La prima diretta conseguenza di tale inquadramento è che l’obbligazione dell’appaltatore costituisce una obbligazione di risultato, anche se nella pratica non mancano casi di soggetti interessati a far figurare nel contratto i propri obblighi come di mezzi.
D’altra parte l’utilizzo delle capacità elaborative e di memorizzazione del fornitore, da questo direttamente controllate, con la finalità di supportare le varie attività ed i processi di business di una organizzazione pone altre questioni concernenti:
- il rispetto di comprovati standard di sicurezza informatica
- l’adempimento di obblighi di conformità di natura normativa (es. quelli posti dal d.lgs. 196/03 in materia di protezione dei dati personali) o contrattuale
- la necessità di fare affidamento su livelli di servizio misurabili in base a parametri tecnici oggettivi
- la protezione della proprietà intellettuale ed industriale
E’ necessario quindi che tali questioni siano prontamente affrontate e risolte, in un ottica di bilanciamento dei contrapposti interessi, nell’ambito di una trattativa diretta alla predisposizione di un regolamento contrattuale il cui oggetto deve essere ben chiaro e dettagliato.
E’ inoltre opportuno che il contratto sia accompagnato da allegati contenenti la descrizione degli aspetti tecnici e la determinazione dei parametri dei livelli di servizio (SLA) connessi all’esecuzione delle varie prestazioni.
Sicurezza informatica
Ciò vale, a maggior ragione, quando una quota, più o meno consistente, di tali informazioni diventa oggetto dei processi di elaborazione e memorizzazione di una infrastruttura informatica gestita da una parte estranea, come appunto nel caso di specie.
Il richiamo all’importanza delle informazioni in gioco serve perciò a sottolineare la necessità che il fornitore, in primis, offra specifiche garanzie e dettagli sull’adozione dei migliori standard e delle misure di sicurezza, tecniche ed organizzative, ritenute idonee, sulla base di una analisi del rischio, a proteggere le informazioni da tutte le minacce, interne od esterne, che siano tali da comprometterne la riservatezza, la disponibilità e l’integrità.
In questa prospettiva può essere utile accertare nella fase negoziale, e successivamente dare conto nel contratto, di alcune condizioni o status dell’outsourcer relativi a:
- il possesso di certificazioni attinenti l’ambito dei servizi offerti (ad es. SAS70, ISO27001,...)
- l’impiego di personale altamente qualificato e certificato
- l’adeguatezza dimensionale e qualitativa delle infrastrutture informatiche e di comunicazione
Mentre la disponibilità dell’outsourcer ad assumere contrattualmente il rischio di tali violazioni deve essere valutata come un segnale di apertura che la dice lunga sulla sua affidabilità complessiva, purtroppo nella prassi contrattuale si ravvisa una tendenza di segno completamente opposto che si manifesta attraverso clausole, dal contenuto spesso poco chiaro, cui è bene prestare la massima attenzione, tenendo comunque presente che il codice civile (art. 1229) sancisce la nullità di qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità di una delle parti per dolo o colpa grave.
Protezione dei dati personali
Tra questi obblighi, la cui violazione è fonte di responsabilità civili, penali ed amministrative, vanno annoverati quelli relativi all’adozione delle misure di sicurezza minime (art. 33 ed All. B) e di tutte le altre, idonee e preventive, che, sulla base delle conoscenze acquisite mediante il progresso tecnico e dell’importanza dei dati trattati, possano ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta (art. 31).
Si tratta, come noto, di obblighi che permangono in capo al titolare, anche quando egli decida di avvalersi di soggetti esterni alla sua organizzazione per l’esecuzione di attività o la fornitura di servizi strumentali al trattamento dei dati.
In questi casi l’appaltatore che, per poter eseguire la propria prestazione, si trova nella condizione di partecipare al trattamento dei dati, di cui è titolare il committente, dovrebbe perciò fornire idonee garanzie al riguardo ed essere designato quale responsabile esterno del trattamento.
Ciò comporta, di fatto, la necessità di includere nel contratto, generalmente sotto forma di allegato:
- la designazione e l’accettazione dell’incarico da parte del responsabile del trattamento
- le istruzioni alle quali il responsabile deve attenersi
- l’indicazione delle specifiche tecniche e delle misure di sicurezza da applicare in relazioni ai rischi
- i poteri di vigilanza e controllo da parte del titolare e le modalità con le quali essi potranno essere esercitati
- la ripartizione del carico di responsabilità tra le parti
A questo proposito occorre riflettere sul fatto che tale rischio può anche essere connesso all’utilizzo da parte dell’outsourcer di strutture di storage e trasmissione ridondanti, situate in posti geograficamente distanti, per far fronte alle inevitabili esigenze di disaster recovery.
I livelli di servizio
- uptime, cioè la garanzia della disponibilità dei servizi secondo una determinata percentuale (es. 99%) riferita ad unità di tempo (settimana, mese, anno, ecc...)
- tempi di risposta, cioè la velocità con la quale devono essere eseguite particolari funzioni elaborative. Si tratta di una variabile differente dal tempo di risposta che gli utenti sperimentano durante l’accesso da remoto alle applicazioni software
- varie metriche di servizio che esprimono misurazioni diverse come il periodo di operatività del servizio tecnico, il tempo di presa in carico o di correzione degli eventuali errori o malfunzionamenti, ecc...
Le clausole di un SLA, quando previste, possono incidere in modo significativo sulla portata delle obbligazioni contrattuali e, perciò, su di esse deve concentrarsi buona parte dell’attenzione dei contraenti.
Proprietà intellettuale ed industriale
Questo non toglie che un esigenza analoga possa essere manifestata anche dall’appaltatore con riferimento ad ipotesi specifiche (es. personalizzazioni del software eseguite su richiesta ed a vantaggio del committente).
Ulteriori aspetti negoziali
- durata del contratto ed eventuali penali in caso di recesso anticipato
- parametri assunti come riferimento per il calcolo dei corrispettivi del servizio
- eventuali personalizzazioni del software con indicazione delle specifiche tecniche di sviluppo, della procedura per l’accettazione delle modifiche, della titolarità dei diritti sul codice custom sviluppato
- procedure e modalità per la restituzione, all’atto della cessazione del rapporto, dei dati di titolarità del committente
- responsabilità del committente per i casi in cui le informazioni dallo stesso gestite attraverso i sistemi dell’appaltatore integrino violazioni di norme di legge (proprietà intellettuale, privacy, diffamazione, ecc...)
- procedure di backup e disaster recovery
- accordi per l’accrescimento on demand della capacità elaborativa o di storage su richiesta del committente
- criteri per dirimere le eventuali controversie che sorgono in relazione al contratto (giuridsdizione competente, clausola arbitrale, ecc...)
Nel contempo, però, le implicazioni legali e la complessità delle questioni che ne derivano, soprattutto in un ottica di bilanciamento di interessi contrapposti, richiedono un attenta valutazione di tutti gli aspetti insiti nel regolamento negoziale.