ALESSANDRO MANTELERO

XXXXXXXXXX XXXXXXXXX

Il contratto per l’erogazione alle imprese di servizi di cloud computing

Sommario: 1. La centralità del modello “as a service” – 2. Il raffronto con i contratti di out- sourcing – 3. Gli elementi strutturali essenziali dei contratti di cloud computing

1. – Al fine di qualificare giuridicamente la tipologia contrattuale in esa- me, occorre dapprima delineare i caratteri dell’ambito operativo che va a di- sciplinare, ovvero i servizi di cloud computing. Quest’ultimi consistono nel- la messa a disposizione dell’utente di un insieme di tecnologie e risorse informatiche, accessibili direttamente on-line (1). Diviene così possibile uti- lizzare spazi di memorizzazione, software o ambienti di sviluppo senza che le risorse relative risiedano nei sistemi informatici dell’utente, bensì me- diante il collegamento a server remoti gestiti da terze parti (2).

L’elemento peculiare di questo modello di fruizione dell’information te- chnology è dunque l’erogazione di un servizio, non a caso le tipologie di pre- stazioni cloud sono tutte connotate dalla locuzione “as a service” (software as a service, platform as a service, infrastructure as a service). Trattasi di una connotazione giuridicamente rilevante, poiché segna la distanza dal tradi- zionale modello lato sensu proprietario della gestione delle risorse informa- tiche aziendali, in cui si hanno un controllo ed una gestione diretti delle stesse. Quello cloud è invece un modello incentrato sull’erogazione di servi- zi informatici da parte di terzi fornitori, in virtù del quale l’informatica esce

(1) Cfr. National Institute of Standards and Technology, The NIST Definition of Cloud Computing. Recommendations of the national Institute of Standards and Technology, September 2011, p. 2 ss., in xxxx://xxxx.xxxx.xxx/xxxxxxxxxxxx/xxxxxxxx/000-000/XX000-000.xxx.

(2) Tale modello di distribuzione dei servizi informatici è divenuto oggi possibile in ra- gione della velocità delle connessioni di rete e della capacità di aggregare in enormi data cen- ter una quantità di potenza di calcolo prima inimmaginabile. I fornitori dei servizi di cloud computing dispongono infatti di data farm localizzate in varie parti del globo, gestite secondo un criterio di efficienza che implica la non staticità dei dati spostati “in the cloud”. Quest’ulti- mi non risiedono infatti in maniera permanente sul medesimo server e nella medesima parti- zione, bensì vengono continuamente spostati da un server all’altro, in ragione della loro allo- cazione ottimale in termini di gestione efficiente delle risorse informatiche. In merito alle conseguenze che questo comporta sul trattamento dei dati personali, in ragione dell’econo- mia del presente contributo, sia consentito rinviare a Mantelero, Processi di outsourcing informatico e cloud computing: la gestione dei dati personali ed aziendali, in Dir. informaz. informat., 2010, pp. 673 ss.

SAGGI 1217

dall’azienda e viene ad essa “restituita” mediante meccanismi incentrati sul- l’accesso, secondo una modalità già da anni individuata nella letteratura economica, che a tal riguardo ha parlato di “cultura dell’accesso” (3). In tale ottica, diviene importante non la dimensione proprietaria, ma la disponibi- lità, in termini di accessibilità alle risorse da terzi detenute ed erogate.

Dal punto di vista contrattuale tale mutamento di paradigma è determi- nante. Se infatti il servizio diviene centrale, allora cresce l’importanza as- sunta dal contratto, che quel servizio è destinato a disciplinare nel tempo. Se la disponibilità delle risorse dipende da terze parti, occorre che venga as- sicurata la continuità della prestazione e la cooperazione fra fornitore ed utilizzatore; serve quindi un’attenta e puntuale regolamentazione del rap- porto.

Da questi diversi elementi, cui si è accennato, deriva dunque un’accre- sciuta rilevanza del profilo contrattuale e la conseguente necessità che, nel- la selezione del cloud provider, le imprese colgano come la qualità del servi- zio non dipenda solamente dai parametri di tipo tecnico-informatico, ma anche dalle clausole pattizie e dalle garanzie offerte.

2. – Sotto il profilo della qualificazione giuridica del contratto, gli accor- di su cui si basa l’erogazione dei servizi di cloud computing hanno natura di contratti misti, in cui coesistono elementi riconducibili all’appalto di servi- zi ed al contratto di licenza. I vari fornitori oscillano poi, nella redazione concreta dei loro modelli contrattuali, fra questi due estremi, dando mag- giore spazio alla componente riconducibile all’uno o all’altro modello, a se- conda dei casi.

Frequente è l’accostamento fra le fattispecie in esame all’outsourcing (4). A tal riguardo va in primo luogo ricordato come quest’ultimo non costitui- sca una tipologia contrattuale a sé stante (5), quanto piuttosto una pluralità

(3) Cfr. Xxxxxx, L’era dell’accesso, Milano, 2000, p. 117, e, con specifico riferimento ai ser- vizi di cloud computing, Sun Microsystems, Introduction to Cloud Computing Architecture. White Paper, 1st Edition, giugno 2009, in xxxx://xxxxxxxxxx.xxx.xxx ed International Tele- communication Union, Distributed Computing: Utilities, Grid & Clouds, 2009, in xxx.xxx.xxx.

(4) Per un approfondimento circa i contratti funzionali alla gestione dei processi di out- sourcing informatico si vedano: Xxxx, Il contratto di outsourcing di sistema informatico, Milano, 2001; Pittalis, Outsourcing, in questa Rivista, 2000, pp. 1010 ss.; Xxxxxxx, Il contratto di out- sourcing del sistema informativo, in Dir. informaz. informat., 1998, pp. 857 ss.; Xxxxxxxxxx, La cooperazione fra imprese nella gestione di risorse informatiche: aspetti giuridici del c.d. outsour- cing, in Dir. informaz. informat., 1993, I, pp. 85 ss.

(5) Cfr. in tal senso Xxxxxxxxxx, La cooperazione fra imprese nella gestione di risorse informatiche: aspetti giuridici del c.d. outsourcing, cit., p. 86 e Pittalis, Outsourcing, cit., p. 1006 ss.

1218 CONTRATTO E IMPRESA 4-5/2012

di fattispecie eterogenee, in gran parte riconducibili all’appalto (6), volte a regolare processi di esternalizzazione di servizi.

Rispetto all’outsourcing, pur stante l’affinità nell’affidamento dei servizi d’impresa a terzi, gli schemi contrattuali impiegati per l’erogazione delle prestazioni di cloud computing presentano però alcune differenze di rilievo, la cui disamina risulta utile al fine di far emergere le peculiarità e le specifi- cità dei contratti qui considerati.

Fra i punti comuni ai due modelli, oltre all’analogia di scopo di cui si è detto, v’è la redazione del contratto in funzione della centralità del servizio e della qualità dello stesso; da qui l’attenzione, presente in entrambe le fat- tispecie, per la definizione di specifici standard inerenti le prestazioni, per la predisposizione di indici e parametri atti a misurare l’efficienza del servizio, nonché per la definizione delle metriche di costo anche in ragione di tali in- dicatori. La necessità di regolare in maniera analitica tali profili comporta, sul piano della forma contrattuale, una certa complessità strutturale dei contratti di cloud computing, in cui il documento contenente gli elementi fondamentali dell’accordo viene ad essere affiancato da tutta una serie di al- legati tecnici, che definiscono nel dettaglio i vari parametri del servizio, as- sicurando in tal modo l’impegno della parte fornitrice circa la qualità della prestazione.

Le divergenze rispetto ai modelli contrattuali che regolamentano i pro- cessi di outsourcing sono invece in primo luogo riscontrabili nel fatto che mediante quest’ultimi non si realizza solamente un’esternalizzazione delle risorse strutturali, ma anche delle c.d. risorse umane, come dimostrato dal- l’esistenza di una fase di formazione del personale, posta in essere diretta- mente presso l’outsourcee ad opera di dipendenti qualificati dell’outsourcer, o dalla creazione di team di raccordo fra le due aziende. Analoghe soluzioni organizzative si riscontrano invece con difficoltà e sono comunque forte- mente ridotte nei servizi di cloud computing, laddove simili esigenze risulta- no minimizzate dalla netta prevalenza dei profili inerenti l’organizzazione di mezzi e strutture rispetto alla dotazione di personale.

Ulteriore elemento distintivo è dato dal fatto che il modello del cloud computing è connotato da uno schema di erogazione uno a molti, mentre

(6) Sebbene i processi di esternalizzazione vengano regolati fra le parti facendo ricorso ad una varietà di modelli contrattuali, per quanto concerne invece l’acquisizione del servizio erogato dall’outsourcee il rapporto sussistente fra le parti risulta solitamente riconducibile al contratto di appalto di servizi, cfr. in dottrina: Cagnasso-Cottino, Contratti commerciali, in Trattato di Diritto Commerciale diretto da X. Xxxxxxx, Padova, 2000, p. 353; Pittalis, Outsour- cing, cit., p. 1015 ss.; Xxxxxxx, Il contratto di outsourcing del sistema informativo, cit., pp. 859 ss.; Xxxxxxxxxx, La cooperazione fra imprese nella gestione di risorse informatiche: aspetti giu- ridici del c.d. outsourcing, cit., p. 94.

SAGGI 1219

nell’outsourcing tradizionale si è solitamente in presenza di un rapporto molto forte fra le parti, sovente anche caratterizzato da vincoli di esclusiva, in un contesto in cui il servizio è molto personalizzato in ragione delle esi- genze del cliente. Nel caso del cloud computing, vengono invece erogate prestazioni standardizzate, destinate ad un’ampia platea di soggetti, ragion per cui la personalizzazione è ridotta limitandosi per lo più all’offerta di di- verse soluzioni modulari predefinite.

Tale distinzione nel modello di offerta è poi destinata a riverberarsi sul piano contrattuale, sin dalla fase che precede la stipulazione dell’ac- cordo, necessariamente più lunga ed articolata nel caso dell’outsurcing, al fine di conseguire una precisa personalizzazione del servizio, mentre più breve nei casi in esame, in ragione della standardizzazione delle presta- zioni.

A mutare è anche la dinamica negoziale, poiché i prodotti cloud vengo- no disciplinati attraverso contratti standard connotati da una assai limitata negoziabilità delle clausole e senza che si preveda un’eventuale rinegozia- zione delle stesse, diversamente da quanto accade nelle ipotesi di outsour- cing in cui, in virtù della personalizzazione del servizio e della forza contrat- tuale dell’outsourcer, si opera in senso opposto. Per la complessità dell’ope- razione, l’outsourcing si presenta infatti come un accordo destinato a durare nel tempo e per questo può rendersi opportuna una rimodulazione degli impegni assunti dalle parti in funzione dei risultati conseguiti e delle neces- sità contingenti. Diversamente, nel caso del cloud computing, il servizio può essere prestato in maniera analoga a più soggetti che, salvo i problemi di in- teroperabilità e di lock-in di mercato, possono decidere di interrompere la fruizione di quanto loro offerto da un cloud provider per godere di analoghi servizi, in tempi assai rapidi, ad opera di altri. Ad essere migrati non sono in- fatti strutture produttive e manodopera, ma “più leggere” informazioni di- gitalizzate.

Rispetto allo sviluppo del rapporto contrattuale nel tempo, va però os- servato come nei servizi di cloud computing la maggior asimmetria di forza esistente in favore del fornitore, unita al ruolo assunto in termini di cono- scenza tecnologica, permetta a quest’ultimo di imporre specifiche clausole contrattuali volte a consentire allo stesso, in maniera unilaterale, variazioni del servizio offerto o l’introduzione di innovazioni. Nei contratti riguardan- ti i processi di outsourcing tali mutamenti derivano invece solitamente dalle richieste dell’outsourcer e non da un’iniziativa del fornitore.

Analogamente nell’outsourcing è chi esternalizza a definire le policies del servizio, in conseguenza della forza contrattuale che detiene, mentre nei rapporti inerenti il cloud computing è il fornitore ad avere una posizione di vantaggio, in ragione del numero circoscritto dei soggetti che erogano ta- li servizi e della peculiarità delle competenze richieste, con la conseguenza

1220 CONTRATTO E IMPRESA 4-5/2012

che sarà questi a dettare le policies ovvero le modalità di erogazione del ser- vizio in maniera uniforme (7).

A variare sono poi anche le forme di audit, incentrate non tanto sulla specifica attività esternalizzata, come accade nell’outsourcing, quanto piut- tosto sulla qualità generale del servizio indistintamente offerto, ricorrendo a certificazioni o ad audit sull’affidabilità del sistema informatico in gene- rale.

La peculiarità dei servizi richiesti dal cliente che connota le operazioni di outsourcing comporta infine una più sofisticata metrica dei costi, che de- ve tener necessariamente conto delle specifiche richieste avanzate dall’out- sourcer, mentre nei contratti di cloud computing la standardizzazione delle prestazioni implica una semplificazione nella determinazione dei costi, in- centrata su alcuni parametri di base quali la frequenza di utilizzo, la quan- tità delle risorse impiegate e la durata dell’impiego.

3.– Dal punto di vista strutturale, i contratti in esame (8) sono solita- mente composti di tre distinti documenti, uno contenente le condizioni ge- nerali del servizio, uno inerente le polices relative al comportamento delle parti ed uno inerente le modalità del trattamento dei dati. Purtroppo in molti casi manca però una coerente sistematizzazione della materia all’in- terno dei vari documenti ed il medesimo aspetto viene disciplinato con- giuntamente in documenti diversi.

Quanto ai contenuti, va rilevato come essi vengano a concentrarsi attor- no a due poli, uno concernente i profili generali del contratto (durata, lin- gua, corrispettivo, legge applicabile, giurisdizione applicabile, ecc.) ed uno riguardante i profili informativi, ovvero la gestione delle informazioni im- messe nell’ambiente cloud (gestione dei dati, flussi transfrontalieri, sicurez- za, ipotesi di disclosure, ecc.). Pur nell’economicità del presente contributo, occorre procedere ad una breve disamina di alcuni di questi diversi elemen- ti, meritevoli di specifica attenzione.

In primo luogo vanno considerate le clausole inerenti la legge applicabi- le, destinate ad assumere un maggior rilievo in un contesto in cui i servizi

(7) Tale uniformità si rende necessaria in presenza dell’offerta di un servizio standardiz- zato, rispetto al quale non sarebbe efficiente declinare in maniera personalizzata le modalità dello stesso ed anzi, per sua natura, richiede che vengano predefiniti a monte criteri uniformi.

(8) Al fine della redazione del presente contributo sono stati analizzati i modelli contrat- tuali adottati al gennaio 2012 da quattro dei principali fornitori di servizi di cloud computing, detentori delle maggiori quote di mercato. Una più estesa indagine, su 27 fornitori, è stata condotta nel 2010 dalla Queen Xxxx Xxxxxxxxxx of London, School of Law, cfr. Xxxxxxxx- Xxxxxxx-Xxxxxx, Contracts for Clouds: Comparison and Analysis of the Terms and Condi- tions of Cloud Computing Services, 1 September 2010, in xxxx://xxxx.xxx.

SAGGI 1221

offerti sono spesso erogati da prestatori localizzati al di fuori dell’Italia e dell’Unione Europea ed in cui, in virtù del già menzionato rapporto uno a molti, i fornitori hanno interesse a gestire in maniera uniforme tali profili, ricorrendo dunque a clausole pattizie volte a definire la legge applicabile. Tale legge, in molti casi, risulta essere quella dello stato in cui il fornitore ha sede, in conseguenza della forza contrattuale di quest’ultimo e delle evi- denti economie organizzative che per lo stesso questa scelta comporta (9). Anche su questo punto il contratto in esame si differenzia da quelli che so- litamente disciplinano i processi di outsourcing, in cui in ragione della diver- sa natura del rapporto in essere, solitamente la legge applicabile – come an- che il foro competente – sono quelli propri di chi esternalizza il servizio (10). Atal riguardo, nella redazione dei contratti, vanno da un lato considera-

te le peculiarità derivanti dalla presenza di Paesi che riconoscono al loro in- terno più ordinamenti, laddove dunque la nazionalità del fornitore non coincide con la legge applicabile ed occorrerà porre in essere una puntuale indicazione dell’ordinamento di riferimento. Devono poi, d’altro canto, es- sere anche valutati i limiti posti dalle norme di diritto internazionale priva- to e comunitario, con riguardo all’ammissibilità di tali pattuizioni di dero- ga (11), specie in merito alla rilevanza di specifiche disposizioni nazionali de- stinate ad imporsi comunque per ragioni di ordine pubblico internazionale o in quanto ritenute di applicazione necessaria.

Specifiche clausole di deroga risultano ricorrenti nei contratti in esame anche con riguardo all’attribuzione esclusiva della giurisdizione, salvi in questo caso i limiti derivanti dal riconoscimento delle sentenze straniere nell’ordinamento italiano.

Sempre all’interno di uno schema pattizio connotato dalla forza con- trattuale del proponente l’accordo (il cloud provider), sono frequenti clauso- le volte a limitare la responsabilità del fornitore o le garanzie dallo stesso of- ferte in relazione alla prestazione erogata. Anche tale peculiarità è frutto

(9) Va incidentalmente osservato come, anche qualora venisse prescelta la legge italiana, potrebbero comunque emergere delle difficoltà interpretative, stante la predisposizione dei testi contrattuali sulla base di modelli statunitensi. In alcuni casi il ricorso ad istituti e concet- ti giuridici di common law può infatti risultare non agevolmente compatibile con la qualifica- zione degli stessi alla luce dell’ordinamento nazionale. Per una più ampia disamina di questi aspetti si rinvia a De Nova, Il contratto alieno, Torino, 2010.

(10) Con riguardo alle clausole contrattuali maggiormente in uso nei contratti volti a re- golare i processi di outsourcing, si rinvia a Xxxxxxx, Outsourcing agreements: a practical guide, Xxxxxx-Xxx Xxxx, 0000.

(11) Cfr. Regolamento (Ce) n. 593/2008 del Parlamento europeo e del Consiglio, del 17 giugno 2008, sulla legge applicabile alle obbligazioni contrattuali (Roma I), in G.U.C.E., L 177, 4 luglio 2008.

1222 CONTRATTO E IMPRESA 4-5/2012

della specificità del contesto in esame, laddove la natura del rapporto uno a molti sovente non permette al fornitore di conoscere esattamente le moda- lità di impiego ed utilizzo del servizio, onde poter valutare l’adeguatezza delle soluzioni offerte rispetto alle attese della controparte, sia in termini qualitativi, che di efficienza e di sicurezza. In tal contesto, a fronte di impie- ghi potenzialmente forieri di notevoli danni in caso di inadeguatezza del servizio, le suddette clausole limitative permettono di contenere per via contrattuale gli eventuali rischi conseguenti (12).

Dal punto di vista concreto ed operativo, le deroghe in tema di respon- sabilità a favore del cloud provider, che troveranno comunque un limite nel disposto dell’art. 1229 c.c., vengono conseguite ricorrendo a tre diversi stru- menti: adozione di clausole volte a definire ipotesi specifiche di esclusione delle responsabilità (talvolta facendo salva la possibilità di indennizzi); li- mitazione dell’oggetto del contratto, traslando sul cliente specifici oneri in materia di sicurezza; introduzione di clausole volte a circoscrivere il danno risarcibile (13).

Va infine sottolineato come, benché la realizzazione dei servizi in esa- me veda non di rado il coinvolgimento di diversi soggetti terzi cui il cloud provider affida varie funzioni inerenti il trattamento dei dati e l’erogazione dei servizi informatici, nei contratti che disciplinano le prestazioni di cloud computing viene tuttavia posta scarsa attenzione alla regolamentazione di tali rapporti, limitandosi in molti casi le parti a prevedere solamente il per- manere della responsabilità in capo al primo contraente.

(12) In proposito va incidentalmente rilevato come, a causa delle peculiarità dei diversi or- dinamenti, tali clausole di deroga risultino essere più incisive nei contratti stipulati sul mer- cato statunitense, mentre assumono rilievo più circoscritto nel contesto comunitario.

(13) Quest’ultima opzione viene realizzata anche mediante la determinazione di un tetto massimo, che in molti casi risulta essere assai contenuto e inadeguato rispetto all’entità dei danni potenziali.