Contratti ICT e SaaS: Clausole Essenziali da Inserire
Clausole fondamentali nei contratti IT e SaaS: SLA, limitazione di responsabilità, data portability, GDPR compliance e gestione della cessazione del servizio.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente guida è aggiornata al 25 marzo 2026. Le indicazioni fanno riferimento al Codice Civile italiano - Normattiva, al GDPR (Reg. UE 2016/679) - EUR-Lex, alle Linee Guida AGID sui contratti cloud e al Regolamento DORA (Reg. UE 2022/2554) - EUR-Lex per i contratti ICT in ambito finanziario. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
1. Perché un generico contratto B2B non basta a proteggere i servizi ICT in Italia?
Un contratto ICT (Information and Communication Technology), inclusa la variante SaaS (Software as a Service), è l'accordo vincolante tra un'azienda committente e un provider tecnologico per l'erogazione di infrastrutture IT e licenze cloud. Secondo giurisprudenza diffusa, i patti di fornitura regolano la responsabilità civile, i livelli garantiti (SLA) e gli oneri legali della data preservation.
In sintesi: (1) Verificare se gli SLA coprono le finestre di manutenzione e i downtime per degraded service. (2) Limitazioni di responsabilità troppo basse non tutelano il committente rispetto alle sanzioni del Garante (che nel 2024 ha riscosso circa 24 milioni di euro). (3) L'uso di SaaS per dati personali senza Data Processing Agreement (DPA) invalida i requisiti dell'Art. 28 GDPR. (4) È categorico prevedere un'Exit Strategy per l'esportazione dei dati in locale su terminazione contratto. (5) I fornitori critici del settore finanziario devono conformarsi al Regolamento DORA, pienamente applicativo da gennaio 2025.
I contratti IT - nella loro accezione di contratti SaaS, accordi di sviluppo software, contratti di outsourcing e accordi di manutenzione - presentano caratteristiche che li rendono strutturalmente diversi dai contratti commerciali tradizionali:
- Oggetto immateriale: il software non è un bene tangibile; la sua "consegna" e il suo funzionamento dipendono da variabili tecniche che il committente spesso non può verificare autonomamente
- Interdipendenza dei sistemi: un software mal integrato può causare danni a cascata sull'intera infrastruttura IT
- Continuità del rapporto: a differenza di una fornitura una tantum, i contratti SaaS creano dipendenze operative che rendono il cambio di fornitore costoso (vendor lock-in)
- Dati come asset: i dati trattati nell'ambito del contratto appartengono al committente, non al fornitore - ma questa distinzione deve essere esplicitata contrattualmente
2. Come si strutturano le garanzie percentuali delle clausole SLA?
Lo SLA è il cuore di qualsiasi contratto SaaS o di servizi cloud. Definisce i livelli di servizio garantiti e le conseguenze del loro mancato rispetto.
2.1. Uptime e Disponibilità
| Livello di Disponibilità | Downtime annuo tollerato | Adatto per |
|---|---|---|
| 99% | ~87 ore/anno | Strumenti interni non critici |
| 99,9% ("tre nines") | ~8,7 ore/anno | SaaS B2B standard |
| 99,95% | ~4,4 ore/anno | Servizi con continuità operativa rilevante |
| 99,99% ("quattro nines") | ~52 minuti/anno | Servizi mission-critical |
Attenzione: l'uptime nel contratto va letto attentamente. Molti fornitori calcolano la disponibilità escludendo le finestre di manutenzione programmata, i "degraded service" (servizi parziali) e gli eventi di forza maggiore - riducendo di fatto la garanzia reale.
2.2. Penali e Crediti di Servizio
Gli SLA prevedono generalmente crediti di servizio (non rimborsi in denaro) in caso di violazione. Verificare:
- Se i crediti sono automatici o richiedono una richiesta esplicita entro un termine
- Se il credito massimo è cappato (es. 30% del canone mensile) - un cap molto basso rende la penale simbolica
- Se è prevista la risoluzione contrattuale per violazioni reiterate degli SLA
3. In quali casi è lecito imporre un "Cap" di Responsabilità economica?
Le clausole di limitazione di responsabilità (limitation of liability) sono le più rischiose per il committente e le più dibattute nei contratti ICT.
3.1. Il Cap di Responsabilità
La prassi dei fornitori ICT prevede generalmente un cap di responsabilità pari a 1-12 mesi di canone. Per un contratto SaaS da €5.000/mese, il cap potrebbe essere €60.000 anche a fronte di danni da interruzione del servizio di diversi ordini di grandezza superiori.
In Italia, le clausole di limitazione di responsabilità tra imprenditori sono valide ex Art. 1229 c.c., salvo che:
- Limitino la responsabilità per dolo o colpa grave (nulla ex lege)
- Violino norme imperative (es. responsabilità per danni a terzi da trattamento illecito di dati personali)
3.2. Esclusioni Tipiche e Come Negoziarle
I fornitori escludono tipicamente:
- Danni indiretti, consequenziali, lucro cessante
- Perdita di dati (coperta solo se il fornitore non ha eseguito backup contrattualmente previsti)
- Danni derivanti da uso improprio da parte del committente
Clausole da negoziare: escludere dal cap i danni derivanti da violazione degli obblighi GDPR (per cui il committente può essere solidalmente responsabile con il fornitore/responsabile del trattamento) e i danni da perdita permanente di dati.
4. Perché omettere il Data Processing Agreement invalida il servizio cloud erogato?
Quando il fornitore ICT tratta dati personali per conto del committente, è un responsabile del trattamento ex Art. 28 GDPR. Il contratto deve includere un Data Processing Agreement (DPA) con:
- Oggetto e durata del trattamento
- Natura e finalità del trattamento
- Tipologia di dati personali e categorie di interessati
- Obbligo di trattare i dati solo su istruzione documentata del titolare
- Obbligo di riservatezza del personale autorizzato
- Misure di sicurezza adeguate ex Art. 32 GDPR
- Condizioni per il ricorso a sub-responsabili (con obbligo di approvazione preventiva o lista aggiornata)
- Assistenza al titolare per l'esercizio dei diritti degli interessati
- Restituzione o cancellazione dei dati alla cessazione del contratto
- Audit e ispezioni da parte del titolare
L'assenza del DPA espone il titolare a sanzioni del Garante e invalida il trasferimento di dati a soggetti extra-UE.
5. Data Portability e Exit Strategy
Il vendor lock-in è uno dei rischi operativi più sottovalutati nei contratti SaaS. Prima di firmare, verificare:
- Formato di esportazione: i dati devono essere esportabili in formato standard e machine-readable (CSV, JSON, XML) - non solo in formati proprietari
- Tempi di esportazione: quanto tempo ha il fornitore per consegnare i dati dopo la cessazione? 30 giorni è lo standard, ma molti contratti prevedono termini più brevi
- Periodo di grazia post-cessazione: il committente deve poter accedere alla piattaforma per un periodo ragionevole (almeno 30 giorni) dopo la scadenza per esportare i dati
- Cancellazione certificata: il fornitore deve certificare l'avvenuta cancellazione irreversibile dei dati dopo l'esportazione, ai fini GDPR
6. Clausole Specifiche per Contratti DORA (Settore Finanziario)
Per le entità soggette al Regolamento DORA (banche, assicurazioni, CASP), l'Art. 30 DORA prescrive clausole contrattuali obbligatorie con i fornitori ICT critici:
- Descrizione dettagliata delle funzioni e dei servizi ICT forniti
- Luoghi in cui i dati vengono trattati e archiviati
- Disposizioni sulla disponibilità, autenticità, integrità e riservatezza dei dati
- SLA con specifici livelli quantitativi e qualitativi
- Piani di continuità operativa e di disaster recovery
- Partecipazione del fornitore ai programmi di test di resilienza TLPT
- Diritto di accesso, ispezione e audit dell'entità finanziaria e delle autorità di vigilanza
Per una consulenza specifica sui contratti ICT aziendali, si rimanda al servizio di contrattualistica ICT.
Domande Frequenti (FAQ)
Un contratto SaaS senza DPA è legalmente valido? Il contratto commerciale rimane valido tra le parti, ma il trattamento dei dati personali effettuato dal provider diventa illecito ai sensi dell'Art. 28 GDPR. Il Titolare (cliente) è esposto a sanzioni amministrative che, come riportato nella Relazione Annuale 2024 del Garante, colpiscono duramente la mancata regolamentazione dei rapporti con i responsabili esterni.
Come si negozia il "Cap" di responsabilità con i grandi provider Cloud? I grandi player (AWS, Microsoft, Salesforce) offrono termini standard (ToS) difficilmente negoziabili per i singoli clienti. Tuttavia, è possibile mitigare il rischio attraverso polizze assicurative cyber-risk e assicurandosi che il contratto non limiti la responsabilità per dolo o colpa grave, come previsto dall'Art. 1229 del Codice Civile italiano.
Cosa rischia un'azienda senza una Exit Strategy chiara? Il rischio principale è il "Vendor Lock-in", ovvero l'impossibilità tecnica o legale di cambiare fornitore senza perdere l'accesso ai propri dati. È essenziale prevedere l'obbligo di esportazione in formati standard (JSON, CSV) e un periodo di grazia post-cessazione per l'estrazione delle basi dati.
Gli SLA si applicano anche in caso di attacco informatico? Dipende dalla formulazione. Con l'entrata in vigore del Regolamento DORA (gennaio 2025), i fornitori ICT critici del settore finanziario non possono più invocare gli attacchi cyber come causa di forza maggiore per giustificare il mancato rispetto degli obblighi di resilienza operativa. Per gli altri settori, la clausola va negoziata specificamente.
Il Registro dei Trattamenti deve elencare tutti i fornitori ICT? Sì. Ai sensi dell'Art. 30 GDPR, ogni responsabile del trattamento (e i relativi sub-responsabili) deve essere mappato nel RoPA, specificando il DPA di riferimento e le misure di sicurezza adottate, come sottolineato nei recenti piani ispettivi del Garante.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze