Contratti ICT e SaaS: Le Clausole Essenziali che Non Puoi Ignorare
Guida alle clausole fondamentali nei contratti IT: SLA, limitazione di responsabilità, data portability, GDPR compliance e cessazione del servizio. Cosa verificare prima di firmare.
Nota metodologica. La presente guida è aggiornata al 25 marzo 2026. Le indicazioni fanno riferimento al diritto contrattuale italiano (Codice Civile), al GDPR (Reg. UE 2016/679), alle Linee Guida AGID sui contratti cloud e al Regolamento DORA (Reg. UE 2022/2554) per i contratti ICT in ambito finanziario. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
1. Perché i Contratti ICT Meritano Attenzione Specifica
I contratti IT — nella loro accezione di contratti SaaS, accordi di sviluppo software, contratti di outsourcing e accordi di manutenzione — presentano caratteristiche che li rendono strutturalmente diversi dai contratti commerciali tradizionali:
- Oggetto immateriale: il software non è un bene tangibile; la sua "consegna" e il suo funzionamento dipendono da variabili tecniche che il committente spesso non può verificare autonomamente
- Interdipendenza dei sistemi: un software mal integrato può causare danni a cascata sull'intera infrastruttura IT
- Continuità del rapporto: a differenza di una fornitura una tantum, i contratti SaaS creano dipendenze operative che rendono il cambio di fornitore costoso (vendor lock-in)
- Dati come asset: i dati trattati nell'ambito del contratto appartengono al committente, non al fornitore — ma questa distinzione deve essere esplicitata contrattualmente
2. Le Clausole SLA (Service Level Agreement)
Lo SLA è il cuore di qualsiasi contratto SaaS o di servizi cloud. Definisce i livelli di servizio garantiti e le conseguenze del loro mancato rispetto.
2.1. Uptime e Disponibilità
| Livello di Disponibilità | Downtime annuo tollerato | Adatto per |
|---|---|---|
| 99% | ~87 ore/anno | Strumenti interni non critici |
| 99,9% ("tre nines") | ~8,7 ore/anno | SaaS B2B standard |
| 99,95% | ~4,4 ore/anno | Servizi con continuità operativa rilevante |
| 99,99% ("quattro nines") | ~52 minuti/anno | Servizi mission-critical |
Attenzione: l'uptime nel contratto va letto attentamente. Molti fornitori calcolano la disponibilità escludendo le finestre di manutenzione programmata, i "degraded service" (servizi parziali) e gli eventi di forza maggiore — riducendo di fatto la garanzia reale.
2.2. Penali e Crediti di Servizio
Gli SLA prevedono generalmente crediti di servizio (non rimborsi in denaro) in caso di violazione. Verificare:
- Se i crediti sono automatici o richiedono una richiesta esplicita entro un termine
- Se il credito massimo è cappato (es. 30% del canone mensile) — un cap molto basso rende la penale simbolica
- Se è prevista la risoluzione contrattuale per violazioni reiterate degli SLA
3. Clausole sulla Limitazione di Responsabilità
Le clausole di limitazione di responsabilità (limitation of liability) sono le più rischiose per il committente e le più dibattute nei contratti ICT.
3.1. Il Cap di Responsabilità
La prassi dei fornitori ICT prevede generalmente un cap di responsabilità pari a 1-12 mesi di canone. Per un contratto SaaS da €5.000/mese, il cap potrebbe essere €60.000 anche a fronte di danni da interruzione del servizio di diversi ordini di grandezza superiori.
In Italia, le clausole di limitazione di responsabilità tra imprenditori sono valide ex Art. 1229 c.c., salvo che:
- Limitino la responsabilità per dolo o colpa grave (nulla ex lege)
- Violino norme imperative (es. responsabilità per danni a terzi da trattamento illecito di dati personali)
3.2. Esclusioni Tipiche e Come Negoziarle
I fornitori escludono tipicamente:
- Danni indiretti, consequenziali, lucro cessante
- Perdita di dati (coperta solo se il fornitore non ha eseguito backup contrattualmente previsti)
- Danni derivanti da uso improprio da parte del committente
Clausole da negoziare: escludere dal cap i danni derivanti da violazione degli obblighi GDPR (per cui il committente può essere solidalmente responsabile con il fornitore/responsabile del trattamento) e i danni da perdita permanente di dati.
4. Clausole GDPR: Il Data Processing Agreement
Quando il fornitore ICT tratta dati personali per conto del committente, è un responsabile del trattamento ex Art. 28 GDPR. Il contratto deve includere un Data Processing Agreement (DPA) con:
- Oggetto e durata del trattamento
- Natura e finalità del trattamento
- Tipologia di dati personali e categorie di interessati
- Obbligo di trattare i dati solo su istruzione documentata del titolare
- Obbligo di riservatezza del personale autorizzato
- Misure di sicurezza adeguate ex Art. 32 GDPR
- Condizioni per il ricorso a sub-responsabili (con obbligo di approvazione preventiva o lista aggiornata)
- Assistenza al titolare per l'esercizio dei diritti degli interessati
- Restituzione o cancellazione dei dati alla cessazione del contratto
- Audit e ispezioni da parte del titolare
L'assenza del DPA espone il titolare a sanzioni del Garante e invalida il trasferimento di dati a soggetti extra-UE.
5. Data Portability e Exit Strategy
Il vendor lock-in è uno dei rischi operativi più sottovalutati nei contratti SaaS. Prima di firmare, verificare:
- Formato di esportazione: i dati devono essere esportabili in formato standard e machine-readable (CSV, JSON, XML) — non solo in formati proprietari
- Tempi di esportazione: quanto tempo ha il fornitore per consegnare i dati dopo la cessazione? 30 giorni è lo standard, ma molti contratti prevedono termini più brevi
- Periodo di grazia post-cessazione: il committente deve poter accedere alla piattaforma per un periodo ragionevole (almeno 30 giorni) dopo la scadenza per esportare i dati
- Cancellazione certificata: il fornitore deve certificare l'avvenuta cancellazione irreversibile dei dati dopo l'esportazione, ai fini GDPR
6. Clausole Specifiche per Contratti DORA (Settore Finanziario)
Per le entità soggette al Regolamento DORA (banche, assicurazioni, CASP), l'Art. 30 DORA prescrive clausole contrattuali obbligatorie con i fornitori ICT critici:
- Descrizione dettagliata delle funzioni e dei servizi ICT forniti
- Luoghi in cui i dati vengono trattati e archiviati
- Disposizioni sulla disponibilità, autenticità, integrità e riservatezza dei dati
- SLA con specifici livelli quantitativi e qualitativi
- Piani di continuità operativa e di disaster recovery
- Partecipazione del fornitore ai programmi di test di resilienza TLPT
- Diritto di accesso, ispezione e audit dell'entità finanziaria e delle autorità di vigilanza
Per una consulenza specifica sui contratti ICT aziendali, si rimanda al servizio di contrattualistica ICT.
Domande Frequenti
Un contratto SaaS senza DPA è valido?
Il contratto commerciale è valido, ma il trattamento dei dati personali è privo di base giuridica contrattuale ex Art. 28 GDPR. Il titolare del trattamento (committente) è esposto a sanzioni del Garante per aver affidato dati personali a un responsabile senza le garanzie previste dalla norma.
Si può negoziare il cap di responsabilità con un grande fornitore SaaS?
Dipende dal potere negoziale. I grandi fornitori (Microsoft, AWS, Google Cloud, Salesforce) offrono condizioni standard difficilmente modificabili per i clienti SMB. È tuttavia possibile negoziare un cap più elevato nell'ambito di contratti enterprise o richiedere polizze assicurative specifiche a copertura dei rischi residuali.
Cosa succede ai dati se il fornitore SaaS fallisce?
In assenza di clausole specifiche, i dati potrebbero essere inclusi nell'attivo fallimentare. È buona pratica contrattuale prevedere una clausola di escrow dei dati o, quantomeno, un obbligo di notifica preventiva in caso di procedura concorsuale con termine per l'esportazione.
Gli SLA si applicano anche in caso di attacco informatico al fornitore?
Dipende dalla formulazione contrattuale. La maggior parte dei contratti esclude dagli SLA gli eventi di forza maggiore, che spesso includono gli attacchi cyber di terze parti. Con DORA, i fornitori ICT critici del settore finanziario non possono più invocare gli attacchi cyber come causa di forza maggiore per giustificare l'inadempimento degli obblighi di resilienza operativa.