L’espansione del mercato e la corsa verso le tecnologie cloud impongono a clienti e fornitori di prestare attenzione ad aspetti commerciali e giuridici inediti e significativi in sede di predisposizione e negoziazione dei relativi contratti commerciali. In questo e in altri articoli che seguiranno cercheremo di fornire una panoramica dei profili più rilevanti.
Come funziona il cloud computing
Il processo di trasformazione digitale è accompagnato da una costante e inarrestabile evoluzione delle tecnologie di cloud computing e dalla crescita esponenziale del mercato di riferimento, che offre ormai soluzioni per tutte le esigenze, nelle declinazioni public, private, hybrid ed edge. Questo trend di crescita è amplificato dal contestuale interesse per le tecnologie di Intelligenza Artificiale debole (ad esempio il machine learning) e dalla prassi, sempre più diffusa, di esternalizzare processi e funzioni aziendali a fornitori terzi, mediante il cosiddetto outsourcing (abbiamo già affrontato qui il tema Intelligenza Artificiale e contatti di outsourcing, mentre qui abbiamo accennato alla problematica della responsabilità civile derivante dal malfunzionamento dei sistemi di Intelligenza Artificiale).
Quando si parla di servizi “in cloud”e relativi contratti, si fa riferimento ad un modello di fornitura di software o di altre risorse tecnologiche attraverso l’accesso da remoto alle piattaforme informatiche del fornitore. Questo modello assicura a imprese e altre organizzazioni una notevole flessibilità in termini di scalabilità, rapidità, affidabilità e disponibilità dei servizi, ma anche una razionalizzazione dei costi, grazie soprattutto alle modalità di acquisto on demand e pay-per-use.
I servizi in cloud sono riconducibili e a tre macro categorie: Software-as-a-Service, Infrastructure-as-a-Service e Platform-as-a-Service.
- Nel Software-as-a-Service (“SaaS”) ad essere fornito in modalità cloud è il solo software: con il SaaS non è più necessario installare, né tanto meno possedere alcuna copia fisica del software, in quanto lo stesso può essere utilizzato tramite qualsiasi dispositivo e in qualsiasi luogo, a patto che si disponga di una connessione internet.
- Con l’Infrastructure-as-a-Service (“IaaS”) il cliente può sostituire i propri sistemi informatici fisici con le risorse computazionali messe a disposizione dal fornitore tramite macchine virtuali.
- Infine, grazie al Platform-as-a-Service, i clienti possono fruire di vere e proprie piattaforme che consentono di sviluppare, lanciare e gestire applicativi senza dover disporre delle infrastrutture fisiche tipicamente destinate allo scopo.
Dal punto di vista contrattuale i servizi in cloud si differenziano sia dai servizi professionali in ambito IT, sia dalla “classica” licenza di software. Infatti, il cliente usufruisce dei servizi in cloud accedendo direttamente alla piattaforma del fornitore, senza la necessità di intervento da parte di professionisti IT e senza bisogno di installare e/o scaricare alcun software. Inoltre, mentre nei contratti di licenza di software tradizionali risulta essenziale che le parti specifichino accuratamente i diritti concessi in licenza dal fornitore al cliente e le relative limitazioni (tra cui normalmente il diritto di installare, di utilizzare, di realizzare copie di back-up ecc.), nei contratti di cloud l’assenza di disponibilità del software sulle macchine fisiche del cliente comporta che venga solitamente accordato un mero accesso al servizio. Ciò non significa, tuttavia, che il fornitore possa esimersi dallo stabilire con accuratezza nei relativi contratti il perimetro di utilizzo consentito del software da parte dei clienti.
In ogni caso, è di cruciale importanza sia per i fornitori che per i clienti individuare in maniera chiara e precisa nel contratto di cloud la descrizione del servizio, per evitare fin dal principio che vi siano ambiguità e margini d’incertezza. Per questo motivo nella prassi i servizi forniti in cloud vengono dettagliatamente descritti in uno o più allegati tecnici, che formano parte integrante del relativo contratto.
Gli SLA: i livelli di fornitura dei servizi in cloud
Uno dei principali vantaggi delle soluzioni in cloud è l’affidabilità del servizio che viene normalmente erogato dalle imprese leader nel settore di riferimento, in grado di garantire alti livelli di prestazione e disponibilità del servizio. A tal proposito, le parti contrattuali devono prestare particolare attenzione alle clausole che hanno ad oggetto i livelli di servizio (“Service Level Agreement” o “SLA”). Gli SLA indicano i livelli di performance del servizio in termini di velocità, disponibilità e continuità di funzionamento, costituendo dunque una garanzia e metrica di valutazione per il cliente circa il livello di funzionamento del servizio acquistato.
I livelli di servizio devono essere quantificabili, misurabili e oggettivi e, a seconda del tipo di servizio fornito, all’interno del contratto vengono indicati in maniera differente. In alcuni casi, ad esempio, si prendono in considerazione gli eventi che impattano sulla fruibilità del servizio, i cosiddetti errori, mentre, in altri casi, vengono indicati alcuni parametri di fornitura in termini di disponibilità, velocità o continuità di funzionamento, il cui mancato raggiungimento determina una violazione degli obblighi contrattuali da parte del fornitore.
Se la descrizione degli SLA viene generalmente rimessa al fornitore, che ha una maggiore conoscenza del proprio servizio, i rimedi in caso si verifichino violazioni dei livelli di servizio sono spesso oggetto di negoziazione tra le parti. Di norma l’aspetto più conteso tra le parti è il meccanismo di penali che viene attivato a seguito dell’eventuale inadempimento degli SLA da parte del fornitore, solitamente strutturato tramite cosiddetti “crediti di servizio”, ossia la facoltà per il cliente di dedurre dai corrispettivi dovuti al fornitore le somme previste a titolo di penale. Dal punto di vista del fornitore è vantaggioso se il sistema di penali connesso alla violazione degli SLA viene previsto come rimedio esclusivo azionabile dal cliente, mentre il cliente ha normalmente interesse a cumulare le eventuali penali per la violazione dei livelli di servizio con gli altri possibili rimedi contrattuali, come il risarcimento dell’eventuale maggior danno. Infine, è prassi specificare gli eventuali casi in cui l’inadempimento del fornitore rispetto ai livelli di servizio sia talmente grave da comportare il diritto del cliente di risolvere il contratto di diritto, senza bisogno di rivolgersi al giudice.
La protezione dei dati nei servizi in cloud
Un altro profilo da non sottovalutare nell’ambito dei contratti di cloud è la protezione dei dati personali. La relazione che intercorre tra il fornitore del servizio in cloud e il cliente è solitamente quella tra responsabile e titolare del trattamento, tuttavia vi sono circostanze nelle quali il fornitore agisce anche in qualità di titolare autonomo, ad esempio nella misura in cui tratti i dati dei referenti del cliente per la gestione del rapporto contrattuale tra le parti, ovvero nel caso in cui sia autorizzato a procedere all’ulteriore trattamento dei dati personali per scopi propri.
Le parti devono, quindi, disciplinare il proprio rapporto rispetto al trattamento dei dati personali mediante un apposito contratto di trattamento dei dati nel quale vengano stabiliti, tra l’altro, le istruzioni che il cliente impartisce al fornitore ai fini del trattamento dei dati, i rispettivi obblighi e le misure di sicurezza tecniche e organizzative impiegate dal fornitore nell’effettuare il trattamento. Vi è anche la possibilità che il fornitore stesso ricorra, a sua volta, ad un altro responsabile per il trattamento dei dati purché vi sia l’autorizzazione da parte del titolare e il responsabile stipuli, a sua volta, un contratto che imponga in capo al “sub-responsabile” gli stessi obblighi in materia di protezione dei dati previsti nel contratto a monte tra titolare e responsabile.
La diffusione su vasta scala dei servizi in cloud comporta anche una serie di rischi per la protezione dei dati, sia in termini di controllo sui dati personali da parte del cliente che di carenza di informazioni in merito, ad esempio, alle modalità e al luogo del trattamento o “sub-trattamento” in questione. Il cliente deve, pertanto, valutare attentamente questi aspetti in sede precontrattuale. Nel decidere a quali fornitori affidarsi, il cliente deve anche tenere in considerazione le misure predisposte per la difesa da attacchi cibernetici, aspetto particolarmente critico con riferimento ai servizi cloud.
Inoltre, nel tipico scenario cloud in cui dati del cliente vengono elaborati e conservati su infrastrutture server che spesso si trovano a migliaia di chilometri di distanza dalle sedi operative del cliente, anche il trasferimento dei dati al di fuori dello Spazio Economico Europeo assume particolare rilevanza, specialmente se effettuato verso Paesi che non siano stati oggetto di una decisione di adeguatezza da parte della Commissione Europea, i quali non presentano un livello di protezione adeguato. In questo caso le parti dovranno affidarsi ad altre condizioni legittimanti il trasferimento tra cui, ad esempio, alle clausole contrattuali standard ovvero alle norme vincolanti d’impresa.
Interruzione dei servizi in cloud: business continuity e disaster recovery
Uno dei principali vantaggi che i clienti tipicamente ricercano nei servizi in cloud è l’elevata disponibilità del servizio, vale a dire la continuità temporale con la quale il fornitore è in grado di prestare il servizio senza interruzioni, assieme a qualità e velocità di accesso. Le imprese leader di settore sono, infatti, generalmente in grado di garantire alti livelli di prestazione, permettendo al cliente di poter usufruire del servizio senza soluzione di continuità. L’esigenza di continuità del servizio si presenta anche al manifestarsi di eventuali “incidenti” che potrebbero pregiudicare l’operatività dei sistemi e la continuità del servizio.
A questo riguardo, i fornitori di servizi in cloud adottano degli appositi piani di “business continuity” e “disaster recovery”, che consistono in procedure da adottare al fine di evitare o mitigare il più possibile gli effetti negativi di un’interruzione del servizio, come pure procedure di ripristino del servizio al livello previsto dal contratto. Per il cliente è quindi preferibile affidarsi a fornitori in grado di garantire l’esecuzione di misure di business continuity e disaster recovery il più possibile rapide ed efficaci tra cui, ad esempio, il back-up dei dati, la replica in tempo reale del servizio presso un’infrastruttura alternativa da attivare in caso di necessità (“offsite replication”) e i processi di recupero dei sistemi informatici.
Escrow e servizi in cloud
Nel settore delle licenze di software on-premises (installato sui sistemi informativi del cliente) è prassi concludere tra le parti appositi accordi di deposito a garanzia (escrow), i quali permettono al cliente di avere immediato accesso al codice sorgente del software nel caso in cui si verifichino eventi che impediscano al fornitore di prestare i propri servizi in maniera puntuale, o di erogarli del tutto. Alcuni esempi sono il fallimento del fornitore o la cessazione dei servizi di manutenzione per cause non imputabili al cliente stesso. Il codice sorgente è quindi conservato – anche – da un terzo depositario (escrow agent), solitamente una società specializzata, e il relativo accesso è finalizzato a soddisfare l’esigenza del cliente di continuare utilizzare in autonomia e manutenere correttamente il software in questione. Infatti, in una situazione di normalità il cliente non avrebbe accesso al codice sorgente, che è trattenuto dal produttore, ma soltanto al codice oggetto, necessario per il normale funzionamento del software.
In ambito cloud, come detto, non viene fornito al cliente nemmeno il codice oggetto, in quanto il servizio consiste in un mero accesso e non nella disponibilità fisica del software. Tuttavia, l’esigenza di poter contare sulla continuità del servizio in occasione degli eventi che tipicamente danno luogo all’accesso al codice sorgente si può verificare anche in caso di fornitura di servizi tramite cloud.
A tal fine, in alcuni contratti di cloud viene inserita una forma di garanzia definita “pseudo-escrow”, che consiste sostanzialmente in una off-site replication dell’infrastruttura offerta al cliente presso l’escrow agent. Sebbene meccanismo e finalità di un normale escrow e di uno pseudo-escrow siano i medesimi, lo pseudo-escrow richiede un impiego di risorse decisamente maggiore, dovendo il depositario mantenere ed aggiornare il sistema ospitato per tutta la durata del contratto. Considerato l’investimento economico sotteso alla creazione e al mantenimento di un sistema del genere, assume primario rilievo determinare contrattualmente quale delle parti e in che misura si farà carico dei costi relativi alla sua creazione e mantenimento.
