Il processo di trasformazione digitale, innescato dall’ampia diffusione di soluzioni tecnologiche a prezzi competitivi, dalla spinta incentivante di scelte strategiche nazionali e, da ultimo, dalla pandemia, ha determinato un’ampia diffusione del mercato dei beni e servizi digitali. Approfondiamo le principali questioni relative alla negoziazione di accordi aventi a oggetto software, non dimenticando di evidenziare, purtuttavia, che nell’ampia categoria dei contratti a oggetto informatico possono rientrare anche le forniture di soli sistemi hardware, o la combinazione di hardware e software.
Indice degli argomenti
Il contesto
Non solo le grandi ma anche le medie e piccole imprese optano sempre più per l’esternalizzazione di servizi, o anche di infrastrutture, avvalendosi di provider digitali per tutte quelle attività di supporto al proprio business.
Tali scelte non sempre però vengono effettuate con la piena consapevolezza dei diritti e obblighi dei fornitori né con la giusta attenzione agli aspetti contrattuali.
Questo, da un lato, è ascrivibile al fatto che i provider di grandi dimensioni usano contratti standard, non negoziabili, che spesso non sono conosciuti pienamente dal fruitore, dall’altro, per le realtà più piccole soprattutto, dalla poca consapevolezza circa le implicazioni che possono derivare da problematiche legali connesse alle forniture.
Chiaramente, in tutti gli ambiti una informata ed equilibrata gestione delle dinamiche contrattuali è utile ed auspicabile, ma nel contesto che stiamo descrivendo il tema assume un rilievo particolare, attesa la natura dei beni e dei servizi che comportano spesso una forte dipendenza del cliente dal fornitore.
Pertanto, gli operatori devono avere ben presente che la negoziazione e la redazione di contratti a oggetto informatico (contraddistinti dal carattere informatico del bene e/o del servizio) richiede un elevato livello di approfondimento tecnico ed un costante lavoro di interpretazione.
Software, definizione e profilo regolatorio
Il software, in informatica è definito come l’insieme di procedure e istruzioni scritte in qualsiasi codice o linguaggio, dirette a far eseguire a un programma per elaboratore un compito o realizzare un dato risultato.
Sotto il profilo regolatorio sarebbe stato possibile intraprendere due strade per offrire protezione al software: accordandogli la tutela brevettuale o quella autorale.
La scelta, pur discussa e non priva di conseguenze problematiche, è ricaduta sulla seconda opzione. Per questo, è la legge sul diritto d’autore (l. 633/1941) che accorda la protezione riconosciuta alle opere dell’ingegno di carattere creativo, a quei programmi per elaboratore (nonché alle banche di dati), dotati di una certa originalità.
Restano, invece, esclusi dalla tutela le idee e i principi posti alla base del programma.
Nella normativa sul copyright, dunque, trovano applicazione anche ai programmi per elaboratore quelle previsioni di carattere generale che si occupano di definire e disciplinare i diritti patrimoniali e morali sull’opera. Inoltre, dal 1992, sono state inserite norme specifiche contenenti la disciplina giuridica dei programmi per elaboratore.
Le principali tipologie di contratti aventi a oggetto software
Se la sola disciplina codificata è quella autorale, si comprende come la regolamentazione dei rapporti sia quasi completamente affidata all’autonomia negoziale, ferma la cornice di inderogabilità che il sistema delinea. È possibile ricondurre alcune ipotesi a schemi negoziali tipici, ad esempio all’appalto o alla vendita, ma quasi mai essi risultano di per sé idonei a rispondere a tutte le esigenze del caso concreto.
Passando ad analizzare gli schemi negoziali più diffusi nella prassi troviamo:
Contratti di licenza d’uso
Hanno a oggetto la cessione (o trasferimento) dei diritti di utilizzo dei programmi per elaboratore, in maniera non esclusiva, senza trasferimento della proprietà.
Siamo, dunque, di fronte a un contratto atipico, mediante il quale il titolare conferisce il diritto di utilizzazione del programma a terzi: si realizza, dunque, il trasferimento dal titolare al licenziatario di un diritto personale di godimento del bene, che può avere durata perpetua o temporanea.
Nella prassi i contratti di questo tipo sono in genere standard, con nulle o pressoché minime possibilità di negoziazione. È frequente che a tali contratti accedano ulteriori accordi, aventi a oggetto l’assistenza e la manutenzione dell’applicativo.
È opportuno accennare a quella giurisprudenza (sentenza della CGUE Oracle – UsedSoft) che ha stabilito come, a prescindere dalle definizioni formali, la licenza dovrà essere qualificata come compravendita, volta dunque a trasferire un diritto sul software equiparabile alla proprietà, qualora il contratto preveda la cessione del diritto di godimento perpetuo a fronte della corresponsione di una somma in un’unica soluzione.
Di conseguenza, lo schema della licenza entrerebbe pacificamente in gioco qualora il contratto abbia ad oggetto la cessione del diritto di utilizzazione di una copia del programma per elaboratore, a fronte della corresponsione di un canone periodico. Diversamente, a prescindere dal nomen iuris scelto, si dovrebbe ritenere che le parti abbiano voluto determinare un effetto traslativo della proprietà della copia del software, con l’importante conseguenza dell’esaurimento del diritto di distribuzione.
Tale ricostruzione può assumere un particolare rilievo pratico nel caso di vicende societarie nell’ambito delle quali le software house avanzino pretese di c.d. “transfer fees”: è evidente che, qualora al caso concreto sia applicabile lo schema della vendita, tali pretese dovrebbero essere considerate illegittime.
Contratti di sviluppo software
Cessione dei diritti attinenti allo sfruttamento economico del programma. In questo caso siamo di fronte a una vera e propria vendita con esclusione della possibilità di utilizzo ripetuto del bene da parte di una pluralità di soggetti diversi da colui cui è stata ceduta la proprietà.
In questi casi l’oggetto del contratto è un’attività di analisi e sviluppo per la realizzazione di un software che svolga dati compiti o funzioni. Il risultato sarà rappresentato da un complesso di attività, pertanto, da un punto di vista sistematico, lo schema negoziale che più spesso viene in rilievo è quello dell’appalto (salvo il caso particolare e meno frequente in cui lo sviluppatore sia un professionista intellettuale, nel qual caso si richiamerà lo schema del contratto d’opera).
Contratti di outsourcing
Sono contratti di servizi aventi a oggetto la fruizione di risorse informatiche di terzi (es. manutenzione hw o sw). I servizi informatici esternalizzati spesso non costituiscono il core business dell’azienda e sono demandati a soggetti dotati di un elevato livello di specializzazione. L’outsourcing può accedere a differenti schemi negoziali, variamente combinati tra loro, in ragione delle caratteristiche concrete del servizio erogato: quali l’appalto, la vendita e la licenza.
Contratti di cloud computing
Consistono nella fornitura di eterogenei servizi di information technology online. Caratteristica principale del cloud computing è la modalità di fornitura piuttosto ché la natura del servizio in sé: in questo caso le risorse sono fornite mediante server remoti, gestiti da terzi (c.d. provider) cui l’utilizzatore accede.
Nella prassi le tre forme più usate di fornitura di servizi cloud sono:
- software as a service (SaaS): ipotesi in cui all’utente è conferita la facoltà di accesso remoto al software; esso attualmente è uno dei segmenti in maggior crescita nel mercato IT,
- platform as a service (PaaS): in questo caso l’oggetto di fruizione è un’intera piattaforma tecnologica,
- infrastructure as a service (IaaS): ancor più completa è l’ipotesi in cui l’utente usi risorse hardware da remoto, sulle quali ha anche la possibilità di installare software.
Nel contesto pandemico è stato osservato che l’adozione di strumenti cloud ha permesso alle aziende di garantire la continuità operativa, assicurare l’esecuzione delle prestazioni lavorative, mantenere le relazioni con la clientela e, dunque, in definitiva, tali aziende hanno riscontrato un incremento di competitività rispetto ai propri competitor.
La spinta propulsiva impartita dall’esigenza originata dalla pandemia sembra, peraltro, non conoscere un arretramento. Si stima, infatti, che l’utilizzo di soluzioni cloud continuerà a crescere anche nei prossimi anni.
Profili comuni a tutti i contratti software
I contratti sopra descritti hanno peculiarità differenti, pertanto occorrerà soffermarsi sul caso concreto e analizzare gli aspetti principali di volta in volta rilevanti; tuttavia, è possibile delineare alcuni profili comuni, su cui deve essere posto l’accento, per affrontare al meglio una negoziazione.
In particolare, sarà opportuno:
- elaborare premesse articolate ed esaustive, per descrivere il contesto nell’ambito del quale si opera e che diano conto anche delle attività precontrattuali più significative,
- concertare un vocabolario condiviso, attraverso il quale siano fornite indicazioni univoche circa il significato della terminologia utilizzata,
- individuare un team di progetto e chiari ed esclusivi canali di comunicazione, ciò sia in caso di contratti di sviluppo software che in caso di prestazioni di servizi a carattere continuativo,
- redigere un testo snello, con poche e ben chiare clausole contrattuali, demandando ad un documento separato (che costituirà parte integrante del contratto) la descrizione tecnica del progetto e/o del prodotto o del servizio dedotto in contratto,
- documentare il più possibile i passaggi e gli steps di processo, al fine di poter ricostruire gli eventi ex post,
- disciplinare puntualmente i diritti di proprietà intellettuale sul software,
- nel caso di sviluppo, regolare le eventuali ipotesi di variazioni o modifiche che dovessero intervenire in corso d’opera, così come le modalità di verifica e collaudo, al fine di misurare l’adempimento del fornitore e il momento della sua liberazione,
- nel caso di fornitura di servizi, sarà decisivo definire puntualmente gli SLA e le conseguenze del loro mancato rispetto,
- un passaggio fondamentale deve essere riservato alla disciplina delle garanzie per vizi o difetti, valutando l’inserimento di penali e negoziando eventuali proposte da parte del fornitore di limitazione di responsabilità,
- un approfondimento deve essere riservato alle ipotesi di recesso (c.d. way-out),
- infine, con specifico riguardo alla fornitura di servizi, occorrerà definire e disciplinare gli effetti della cessazione del contratto, con il duplice obiettivo, da un lato, di preservare la continuità operativa dell’azienda e, dall’altro, di limitare il più possibile ipotesi di lock-in.
La supply chain
L’esame condotto non può concludersi senza un approfondimento specifico relativo alla c.d. catena di fornitura (o supply chain).
Come anticipato, l’avvalersi di terzi cui demandare specifiche attività implica, necessariamente, una estensione del perimetro aziendale (anche se non di carattere fisico). Questo ha un impatto significativo sia sotto il profilo data protection, che avuto riguardo al tema della cyber security. Aspetti che dovranno essere presi in considerazione in fase di scelta del fornitore e poi in sede di negoziazione.
In linea generale, la selezione del fornitore richiede una attenta valutazione; in una ottica di accountability, il processo deve tenere in conto di molti elementi, tesi a far emergere l’affidabilità e la competenza del soggetto prescelto.
Sotto il profilo della sicurezza delle informazioni, si parla molto in proposito di “supply chain security”, terminologia con cui si fa riferimento all’insieme dei processi, delle competenze e delle tecnologie attraverso le quali le aziende gestiscono i rapporti con terze parti, per mitigare rischi e minacce cyber derivanti dalla propria catena di valore.
La maturità complessiva in questa materia è molto bassa: solo poche organizzazioni, per lo più di grandi dimensioni, hanno adottato strumenti e soluzioni, sia di carattere organizzativo che tecnico, atti a presidiare e fronteggiare adeguatamente i rischi e le minacce derivanti dall’affidarsi a terzi. Nelle piccole imprese il tema è pressoché ignorato.
Tuttavia, a fronte di questa bassa maturità ci sono però rischi molto alti, capaci di minare la continuità operativa con forte impatto sul business e di comportare perdite di know-how e credibilità.
Questo poiché nelle catene di fornitura il perimetro di sicurezza aziendale viene necessariamente esteso ai terzi, che dovranno essere attentamente selezionati ed impegnarsi ad assicurare precisi standard, assumendosi la responsabilità delle prestazioni rese.
Per questo, il primo passo che l’organizzazione deve compiere, nell’affrontare il processo di selezione, è di tipo ricognitivo e di consapevolezza, identificando e definendo con esattezza la propria catena di fornitura, attraverso un puntuale censimento delle terze parti e delle attività e dei servizi a esse demandati.
Il secondo step richiede un’analisi puntuale dei contratti (per i casi in cui sia impossibile negoziare), o una negoziazione specifica, al fine di verificare la delimitazione dell’oggetto delle prestazioni, dei ruoli e delle responsabilità.
Sarà opportuno svolgere dei security risk assessment, onde verificare i livelli di affidabilità e sicurezza garantiti e prevedere nel contratto di poter svolgere audit e controlli, per monitorare in modo continuativo rischi, anche di natura cyber, associati alle terze parti.
Ovviamente ciò presuppone che l’azienda committente abbia svolto internamente tali accertamenti, al fine di garantire che la propria organizzazione, al suo interno, sia pronta ad assicurare ciò che chiede ai propri fornitori. Solo così sarà possibile formalizzare i requisiti di sicurezza in clausole contrattuali.
L’applicazione della normativa in tema di data protection
Infine, nel caso in cui l’attività oggetto del contratto implichi un trattamento di dati personali – circostanza che si verifica in moltissime ipotesi – troverà applicazione la normativa in tema di data protection. Le considerazioni e le attività descritte in ordine al tema della cyber security sono valide anche a questi fini, poiché il profilo della sicurezza è un aspetto connesso ed intrinseco al trattamento dei dati. In aggiunta, la normativa richiede di compiere alcuni specifici adempimenti tra i quali, sotto il profilo negoziale, rientra il contratto (o altro atto giuridico) con cui il titolare del trattamento deve vincolare il fornitore (responsabile esterno) ai sensi dell’art.28 GDPR.
Tale documento dovrà contenere quanto prescritto dalla norma e potrà essere integrato nel contratto principale o in un documento separato. È importante tenere in considerazione che il rispetto delle previsioni privacy, da parte del fornitore, rileverà ai fini della valutazione dell’adempimento contrattuale.
Conclusioni
Concludendo, l’uso di beni o servizi digitali per supportare il business è un’ottima scelta e anche un passaggio obbligato, nell’attuale mercato, ma richiede una attenta valutazione di molteplici aspetti e una puntuale definizione dei rapporti.
@RIPRODUZIONE RISERVATA
