Termini di Servizio SaaS: Guida Completa per Contratti B2B e B2C 2026
Guida alla redazione dei termini di servizio SaaS: differenze B2B e B2C, SLA, limitazione di responsabilità, GDPR e DPA, NIS2, AI Act e Legge 132/2025. Aggiornato al 2026.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
I termini di servizio di una piattaforma SaaS non sono un semplice "allegato legale": regolano una relazione continuativa di erogazione del servizio in cui il fornitore si assume il rischio tecnologico, la responsabilità della continuità operativa e gli oneri della protezione dei dati. Ecco tutti gli elementi che non possono mancare.
SaaS, IaaS e PaaS: Perché le Differenze Contano per il Contratto
Il modello SaaS si distingue nettamente dagli altri livelli del cloud computing perché il fornitore consegna un'applicazione completa, già pronta all'uso, gestendo interamente infrastruttura, aggiornamenti e sicurezza. L'utente controlla solo i dati immessi e la configurazione base.
| Modello | Controllo dell'Utente | Responsabilità del Fornitore | Focus Contrattuale |
|---|---|---|---|
| IaaS | OS, dati, applicazioni, runtime | Hardware, rete, virtualizzazione, storage | SLA su hardware e rete |
| PaaS | Applicazioni, dati | Runtime, middleware, OS, hardware | Supporto sviluppo, disponibilità ambiente |
| SaaS | Dati immessi, configurazione base | Applicazioni, dati operativi, OS, hardware | Uptime applicativo, protezione dati, licenza, recesso |
Questa distinzione è cruciale: in un contratto SaaS la licenza non è mai sul codice sorgente, ma sul diritto di accedere e utilizzare il servizio per la durata dell'abbonamento.
Concessione della Licenza: Cosa Può e Non Può Fare l'Utente
La sezione sulla licenza deve delimitare con precisione i confini dell'autorizzazione:
- Licenza non esclusiva e non trasferibile: l'utente non può cedere il contratto a terzi senza consenso scritto del fornitore.
- Divieto di decompilazione e reverse engineering: tutela l'algoritmo e il know-how che risiedono sui server del provider.
- Ambienti non di produzione (sandbox, demo, valutazione): esclusi espressamente dalle garanzie di uptime e dagli obblighi di supporto; vietato per transazioni reali.
- Modelli economici (freemium, tiered pricing, usage-based billing): le dinamiche di upgrade/downgrade devono specificare come e quando i nuovi costi entrano in vigore.
Per approfondire la struttura contrattuale generale degli accordi con i fornitori, v. la guida sui contratti ICT e servizi cloud.
Limitazione di Responsabilità e Manleva
La calibrazione del rischio è l'elemento più critico per la sostenibilità aziendale di un provider SaaS.
Liability Cap: la responsabilità finanziaria complessiva del fornitore viene circoscritta ai canoni versati dal cliente negli ultimi 12 mesi. Sono esclusi i danni indiretti o consequenziali (perdita di profitti, interruzioni operative, opportunità commerciali perse) e i disservizi causati da fattori esogeni (interruzioni di rete globali, malfunzionamenti hardware dell'utente).
Clausola di manleva (Indemnification): l'utente indennizza il fornitore da cause promosse da terzi a causa di violazioni commesse dall'utente stesso (dati illeciti, contenuti protetti da copyright altrui, violazioni della privacy di terzi). La manleva trasferisce sull'effettivo trasgressore l'onere economico della controversia.
Differenze Legali B2B e B2C in Italia
Il Codice del Consumo impone architetture contrattuali sostanzialmente diverse a seconda della natura della controparte.
| Elemento Normativo | SaaS B2B | SaaS B2C |
|---|---|---|
| Garanzia sui difetti | 1 anno | 26 mesi (art. 132 Cod. Consumo) |
| Diritto di recesso | Non obbligatorio per legge | 14 giorni, estendibile a 12 mesi se omessa informativa |
| Art. 54-bis (recesso digitale) | Non applicabile | Obbligo di form online semplificato per disdetta immediata |
| Art. 59 (eccezione al recesso) | Non applicabile | Decadenza se inizia la fornitura digitale con consenso espresso |
| Foro competente | Liberamente negoziabile | Inderogabile (residenza del consumatore) |
| Accettazione clausole | Doppia firma digitale tracciata via log/AgID | Presunzione di vessatorietà e nullità di protezione |
Il Nuovo Recesso Digitale (Art. 54-bis, dal 2026)
Il D.Lgs. 209/2025 ha reso operativo l'art. 54-bis del Codice del Consumo: disdire un abbonamento SaaS deve essere semplice quanto sottoscriverlo. Il fornitore deve predisporre un form online accessibile che richieda solo nome, riferimenti del contratto e recapito elettronico. Al termine la piattaforma genera senza indugio una conferma automatica su supporto durevole.
Se manca l'informativa precontrattuale sull'esistenza del recesso, il termine si estende di 12 mesi oltre i 14 giorni iniziali.
Eccezione art. 59: il diritto di recesso decade per i contenuti digitali immateriali il cui accesso inizia immediatamente, a condizione che il consumatore abbia accettato espressamente la perdita del diritto di ripensamento durante il checkout (checkbox dedicata nel form di pagamento).
Per il quadro completo del recesso nei contratti digitali v. la guida sul diritto di recesso e-commerce.
Service Level Agreement (SLA): Metriche e Protezioni
Lo SLA trasforma promesse tecnologiche astratte in obbligazioni giuridiche quantificabili.
Uptime: la percentuale di disponibilità garantita (es. 99,5% mensile per gli ambienti di produzione), monitorata 24/7 con firewall, router enterprise e load balancer.
Excused Downtime: le interruzioni escluse dal calcolo dell'uptime:
- Manutenzione programmata comunicata in anticipo
- Interruzioni causate da anomalie nei carrier di terze parti
- Attacchi DDoS su scala globale non imputabili a negligenza
- Malfunzionamenti da errate configurazioni lato cliente
Service Credits: in caso di violazione della soglia di uptime, il rimedio è uno sconto percentuale sui canoni dei cicli successivi — non un rimborso monetario diretto. Il contratto deve qualificare i service credits come "unico ed esclusivo rimedio", impedendo che un calo di disponibilità generi cause per danni consequenziali.
GDPR e Data Processing Agreement (DPA)
Ogni volta che un provider SaaS archivia o manipola dati personali per conto dei clienti, il rapporto deve essere disciplinato da un DPA conforme all'art. 28 GDPR:
- Il cliente è Titolare del trattamento (Data Controller): responsabile della legalità della raccolta.
- Il provider SaaS è Responsabile del trattamento (Data Processor): agisce esclusivamente su istruzioni documentate del Titolare.
Il DPA deve:
- Mappare categorie di dati trattati e misure di sicurezza crittografica (dati a riposo e in transito).
- Fissare tempi stringenti per la notifica di data breach al cliente (24–48 ore dalla scoperta), affinché il Titolare possa notificare il Garante entro 72 ore.
- Elencare trasparentemente i sub-processor (es. AWS, Google Cloud) garantendo il flusso degli obblighi di protezione a cascata.
- Per trasferimenti extra-SEE: integrare le Standard Contractual Clauses (SCC) o basarsi su decisioni di adeguatezza della Commissione UE.
Per la gestione dei dati personali nei software aziendali v. la pagina sul software SaaS e GDPR.
Direttiva NIS2 e Resilienza Operativa (D.Lgs. 138/2024)
Il recepimento della NIS2 ha trasformato la cybersecurity in un'obbligazione giuridica strutturale nei contratti cloud. I termini di servizio SaaS del 2026 devono includere:
- Business Continuity e Disaster Recovery documentati, con test periodici e relative evidenze tecniche.
- Procedura di Secure Software Development Life Cycle (SSDLC) documentabile.
- Incident Response con notifica tempestiva (tipicamente entro 24–48 ore) per permettere ai clienti aziendali di adempiere agli obblighi verso l'Agenzia per la Cybersicurezza Nazionale.
- Clausole di exit strategy (Reg. UE 2023/2854 — Data Act): tempi certi per la migrazione e la restituzione dei dati in formati aperti e interoperabili alla cessazione del rapporto, per eliminare il vendor lock-in.
Per il quadro normativo su NIS2 e DORA nel settore enterprise v. la pagina DORA e NIS2.
Intelligenza Artificiale: Proprietà Intellettuale e Training Data
Quando il SaaS incorpora funzionalità AI generativa, il contratto deve isolare tre componenti:
| Componente | Definizione | Chi ne è Titolare |
|---|---|---|
| AI Customer Input | Dati e prompt immessi dall'utente | Il cliente B2B deve ottenere esclusiva |
| AI Customer Output | Testi, analisi, codice generati dall'algoritmo | Il cliente B2B deve ottenere esclusiva |
| Training Data | Dati usati per affinare il modello del provider | Il fornitore; ma vietato usare dati riservati del cliente senza consenso |
Il contratto enterprise deve:
- Vietare al fornitore di usare l'"AI Customer Input" per addestrare modelli pubblici senza autorizzazione esplicita.
- Riconoscere all'utente il diritto di opt-out tecnico e legale dall'addestramento, spesso con diritti di audit sulla segregazione dei dati.
- Garantire contro le rivendicazioni di copyright da terzi qualora l'AI generi output che ricalcano opere protette (eccezioni TDM incluse).
Legge 132/2025 e AI Act: Obblighi per i SaaS in Ambito HR
La Legge n. 132/2025 (Italian AI Act, in vigore da ottobre 2025 in parallelismo con il Reg. UE 2024/1689) classifica come sistemi ad alto rischio i software AI usati in HR, performance management e recruiting. I termini di servizio devono garantire:
| Obbligo (Legge 132/2025) | Impatto Contrattuale | Responsabilità |
|---|---|---|
| Trasparenza e informativa | Documentazione tecnica e notifiche su modifiche algoritmiche con almeno 24h di preavviso | Obbligo del Provider verso il Cliente B2B |
| Controllo umano (Human Oversight) | L'interfaccia deve prevedere override procedures per bloccare la decisione dell'AI | Garanzia architetturale del Provider |
| Data Quality & Bias | Limitazione di responsabilità per i dati di input forniti dall'utente | Rischio condiviso |
| Governance documentata | Policy interne con responsabilità dai livelli dirigenziali a quelli operativi | Compliance aziendale interna del Cliente |
L'intersezione con il Decreto Trasparenza (D.Lgs. 104/2022) impone al datore di lavoro di informare preventivamente i dipendenti sugli strumenti algoritmici: il provider SaaS non può opporre il segreto commerciale per negare l'Explainability del modello.
Per una consulenza sulla conformità AI Act per sistemi software aziendali v. la pagina AI Act.
SaaS per la Pubblica Amministrazione
L'erogazione di servizi SaaS alla PA italiana richiede la qualificazione AgID e l'inserimento nel Catalogo dei Servizi Cloud per la PA. I termini di servizio devono documentare:
- Certificazioni ISO 9001 e relativi documenti pubblicamente consultabili via URL (API, CLI, GUI, lingue disponibili).
- Politiche di Change Management strutturate.
- Cronologie dei test di Disaster Recovery degli ultimi 24 mesi, con piani di ripristino e relative evidenze.
Clausole Vessatorie B2B: La Doppia Firma Digitale
Nei contratti SaaS B2B, le clausole obbligatorie come limitazioni di responsabilità, rinnovi taciti ed elezione del foro esclusivo presso la sede del fornitore sono "clausole onerose" ai sensi dell'art. 1341 c.c. e richiedono approvazione specifica (doppia firma). In ambiente digitale questo si realizza tramite:
- Sistemi di firma elettronica conformi al Regolamento eIDAS e alle linee guida AgID.
- File di log crittografati con traccia cronologica delle attività e dell'indirizzo IP al momento dell'accettazione (clickwrap), conservati secondo standard di inalterabilità.
Per le clausole abusive nei confronti dei consumatori B2C v. la guida su clausole abusive nei termini e condizioni. Per la struttura completa delle condizioni di vendita v. la guida sulle condizioni generali di vendita e-commerce.
Struttura Consigliata per i Termini di Servizio SaaS
Un accordo SaaS completo per il mercato italiano dovrebbe includere le seguenti sezioni:
| # | Sezione | Contenuto Chiave |
|---|---|---|
| 1 | Definizioni | SaaS, Licenza, Dati del Cliente, Output AI, Sub-processor |
| 2 | Concessione della Licenza | Ambito, divieti, ambienti non di produzione |
| 3 | Prezzi e Pagamenti | Modello (tiered/usage-based), upgrade/downgrade, penali ritardo |
| 4 | SLA e Service Credits | Uptime%, excused downtime, rimedio esclusivo |
| 5 | Protezione dei Dati (DPA) | Ruoli GDPR, sub-processor, notifica breach, SCC |
| 6 | Sicurezza e NIS2 | SSDLC, BC/DR, incident response, exit strategy |
| 7 | Proprietà Intellettuale | Licenza, output AI, training data, opt-out |
| 8 | Limitazione di Responsabilità | Cap 12 mesi, esclusione danni indiretti, manleva |
| 9 | Recesso e Disdetta | B2C: art. 54-bis + art. 59; B2B: clausola risolutiva espressa |
| 10 | Foro e Legge Applicabile | B2B: foro provider; B2C: foro consumatore inderogabile |
Per il quadro generale dei contratti ICT v. la guida completa sui termini e condizioni per siti web e e-commerce.
Domande Frequenti
Cos'è esattamente un contratto SaaS e in cosa differisce da IaaS o PaaS?
Un contratto SaaS regola la fornitura remota di un'applicazione software completa tramite abbonamento: il fornitore gestisce interamente infrastruttura, aggiornamenti e sicurezza, l'utente controlla solo i dati immessi e la configurazione base. A differenza di IaaS (hardware grezzo) e PaaS (ambiente di sviluppo), il SaaS concede una licenza d'uso non esclusiva sull'applicazione, non la proprietà del codice.
Quali sono le differenze fondamentali tra contratti SaaS B2B e B2C in Italia?
Nel B2B si applica il Codice Civile: garanzia difetti 1 anno, doppia firma digitale per clausole onerose (art. 1341 c.c.), foro negoziabile, responsabilità contrattualmente limitabile. Nel B2C si applica il Codice del Consumo: garanzia contenuti digitali 26 mesi, diritto di recesso 14 giorni, foro inderogabile del consumatore, nullità di protezione per clausole sbilanciate e obbligo di recesso digitale via form dal 2026.
Come funziona il nuovo recesso digitale (art. 54-bis) per gli abbonamenti SaaS?
Introdotto dal D.Lgs. 209/2025 ed effettivo dal 2026, obbliga i provider SaaS ad esporre un form online che consenta la disdetta immediata dell'abbonamento: il cliente inserisce solo nome, riferimenti del contratto e recapito. Il sistema deve generare senza indugio una conferma automatica su supporto durevole (email).
Il diritto di recesso di 14 giorni si applica sempre agli acquisti SaaS?
No. L'art. 59 del Codice del Consumo prevede che il diritto di recesso decada per i contenuti digitali immateriali il cui accesso inizia immediatamente, a condizione che il consumatore abbia accettato espressamente tale inizio durante il checkout (es. checkbox dedicata nel form di pagamento con dichiarazione della perdita del diritto di ripensamento).
Cosa deve includere uno SLA per proteggere il provider SaaS?
Deve definire la percentuale di uptime garantita (es. 99,5% mensile), le modalità di monitoraggio 24/7, le esclusioni dal calcolo dei disservizi (manutenzione programmata, forza maggiore, errori lato cliente) e qualificare i service credits come "unico ed esclusivo rimedio" per le violazioni, escludendo risarcimenti per danni indiretti o lucro cessante.
Come la NIS2 (D.Lgs. 138/2024) ha modificato i contratti SaaS in Italia?
La NIS2 rende obbligatori nei contratti cloud: procedure di Business Continuity e Disaster Recovery documentate con test periodici, politiche di Secure SDLC, protocolli di Incident Response con notifica tempestiva (24–48 ore) e clausole di exit strategy per la restituzione dei dati in formati aperti al termine del contratto, eliminando il vendor lock-in.
Quali accorgimenti contrattuali richiede l'uso dell'AI generativa nei servizi SaaS?
Il contratto deve attribuire al cliente B2B i diritti esclusivi su AI Input e AI Output, vietare al fornitore di usare i dati riservati del cliente per addestrare modelli pubblici senza consenso, garantire all'utente un opt-out tecnico e legale dall'addestramento e prevedere garanzie contro le rivendicazioni di copyright da terzi per gli output generati dall'AI.
Quali obblighi impone la Legge 132/2025 ai sistemi SaaS in ambito HR?
I software AI usati in recruiting, performance management o allocazione delle mansioni sono classificati come sistemi ad alto rischio. I termini di servizio devono garantire: notifiche preventive su modifiche algoritmiche con almeno 24 ore di preavviso, procedure di override per il controllo umano sulle decisioni dell'AI e documentazione tecnica che consenta al datore di lavoro di adempiere agli obblighi informativi verso i dipendenti (Decreto Trasparenza, D.Lgs. 104/2022).
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze