Foto di Pawel Nolbert da Unsplash
“Il cloud computing sta portando incredibili vantaggi alle aziende. Allo stesso tempo però ci sono diversi problemi che minano la relazione tra le parti.
Il dinamismo e l’incertezza degli ambienti cloud possono richiedere il cambiamento nel tempo sia dei requisiti dell’applicazione che della capacità del servizio. Le attuali soluzioni di gestione degli accordi sul livello di servizio (SLA – Service Legal Agreement) non possono garantire facilmente un adattamento SLA affidabile e in tempo reale.
Blockchain e smart legal contracts sono stati utilizzati nel dominio cloud solo di recente ma promettono molto: dinamismo, trasparenza, flessibilità e una relazione tra cliente e provider basata sulla fiducia.
L’articolo che segue scritto dall’ Avv. Eva Cresci, Co-Founder di Iusintech, mette in luce la natura del contratto di cloud, le criticità ed i vantaggi che vi derivano, ma soprattutto propone una soluzione concreta alle sfide poste dallo stesso.”
Romina Zorzini – Legal Architect di Trakti
L’offerta di tecnologia as a Service è cresciuta esponenzialmente negli ultimi anni soprattutto grazie al Cloud Computing, fenomeno del mercato digitale con cui i fornitori (principalmente autorevoli multinazionali statunitensi) sono in grado di garantire ad aziende e consumatori diversi tipi di servizi informatici attraverso il web.
Dopo qualche decennio di sviluppo e di complessità gestionale interna, le aziende hanno compreso che con i sistemi IT proprietari, pur a fronte di investimenti significativi, non sono in grado di rimanere allineati alla spinta dell’innovazione divenuta troppo veloce e dirompente. Tramontato il modello gestionale in house, non più all’altezza delle sfide del progresso in corsa, si è passati a sfruttare – con la massima tempestività e agilità – forze computazionali altamente performanti, spazi di archiviazione elastici, i social media con approccio multicanale e tutte le più innovative tecnologie per continuare a poter operare in un mercato sempre più globale e competitivo.
1. L’escalation del Cloud e il gigantismo delle BigTech
L’arrivo della pandemia ha trasformato il Cloud Computing in una zattera di salvataggio che ha consentito a gran parte delle realtà produttive di mantenersi a galla facendo affidamento sulle molteplici soluzioni collaborative e operative disponibili, sempre peraltro proporzionate al fabbisogno e quindi con l’impegno di risorse relativamente contenute (solo in Italia il mercato del Cloud ha toccato nel 2020 i 3,34 miliardi, registrando un +21% complessivo rispetto al 2019. Fonte Osservatorio Cloud Transformation Polimi).
Mentre le applicazioni informatiche si sono fatte strumenti irrinunciabili per l’impresa, i poteri sulle risorse e sulle funzionalità IT sono invece molto cambiate rispetto al passato. Le facoltà di interazione tra utilizzatore e servizio non sono più quelle che aveva il committente “dominus” rispetto al lavoro sartoriale del suo programmatore, per il fatto che, nell’era della nuvola, il rapporto tra le parti non più trova la sua determinazione nella “relazione tra i contraenti”, ma viene di norma regolato attraverso le clausole di un contratto preconfezionato, rilasciato on line dalle potenti multinazionali del web (almeno così per quel che riguarda il Public Cloud).
Il risultato pratico di velocità, semplificazione e sicurezza nella gestione delle attività d’impresa (pensiamo alla comunicazione aziendale o allo svolgimento dell’attività amministrativa e contabile sensibilmente alleggerite e semplificate dal Cloud) ha mantenuto a lungo in ombra gli aspetti più nevralgici legati alla scelta della migrazione sulla nuvola, primo fra tutti quello della preoccupante asimmetria contrattuale determinata dal gigantismo delle BigTech (Amazon Web Service, Google, Apple e altri).
Oggi, in tempo di emergenza sanitaria, con l’opzione obbligata della Cloud Collaboration come strumento di sopravvivenza, la scalata di questo modello di business, fatto di accordi per adesione, spersonalizzati e scarsamente (o per nulla) negoziabili al centro di un’industria multimiliardaria, rischia di mettere in crisi l’essenza stessa del contratto come istituzionale punto di incontro della volontà delle parti, provocando una sorta di progressiva deriva privatistica con garanzie di sempre maggior potere nelle mani di pochi operatori dalla leadership incontrastabile. E’ per questa ragione che stanno intensificandosi, sia a livello nazionale che transazionale, iniziative “di reazione” alle formule imposte dai grandi Cloud provider (Raccomandazioni dell’Autorità Bancaria Europea, Linee Guida del Garante per la protezione di dati personali, Formulari dell’Uncitral, inchieste dell’Agicom, ecc.). Parallelamente, sembra farsi strada una nuova esigenza di consapevolezza sui rischi del Cloud che l’utenza, soprattutto in ambito B2B, sta imparando a conoscere in ogni sfaccettatura per potervi porre rimedio tempestivamente con adeguato approccio strategico-operativo.
2. Natura del contratto di servizi in Cloud e problemi di inquadramento
Dietro al termine “Cloud Computing” si nasconde una moltitudine aggregata di applicazioni (computazionali, infrastrutturali, di memorizzazione, di archiviazione, di intrattenimento, di protezione, gestionali ecc. ecc.) che non è possibile identificare con una definizione univoca e universalmente accettata. Non esiste, infatti, alcuna specifica normativa o disciplina che ne regoli la fruizione. D’altro canto, la molteplicità delle applicazioni, la diversità delle funzioni e la varietà dei soggetti che interagiscono con questa tecnologia hanno reso fino ad oggi impraticabile un inquadramento giuridico unitario anche del contratto di servizi Cloud.
La sua stessa natura giuridica – che, secondo le logiche as a Service, si sostanzia in una fruizione di risorse informatiche, proporzionata al bisogno contingente, con approvvigionamento on demand attraverso la rete – presenta non poche difficoltà di inquadramento che portano ad una qualificazione di contratto misto e atipico. Parliamo di un intricato complesso di diverse “anime negoziali” riconducibili in tutto o in parte a diversi schemi tipici (il contratto di licenza d’uso, di manutenzione, di somministrazione, di deposito, di locazione, di appalto, di implementazione e di outsourcing e altro ancora). L’oscillazione tra prestazioni “di dare” e “di fare”, la compresenza di obbligazioni di mezzi e di risultato, i rapporti a prestazione istantanea ma anche di durata, come anticipato, non consentono di arrivare ad una sintesi di inquadramento univoca, circostanza che ovviamente incide sulla disciplina da applicare ai fini dell’attribuzione della responsabilità contrattuale. Tutto cambia, infatti, in punto diritto se si è chiamati a rispondere in base al principio della diligenza ex art. 1176 c.c. come nel contratto di licenza o in base al raggiungimento del risultato sotteso alla prestazione come nel contratto di appalto ex art 1665 –1667 c.c. che prevede invece l’accollo del rischio a carico dell’appaltatore e quindi del CSP (Cloud Service provider).
Di fatto, nella pratica contrattuale, la struttura dell’accordo è per sua natura molto sbilanciata a favore del prestatore di servizi e ciò significa in buona sostanza che, a prescindere dai criteri di inquadramento, i principi di responsabilità vengono in buona parte preordinatamente posti a carico della parte più debole, ovvero dell’utenza (anche business) ancora molto inesperta in fatto di digitale o quantomeno generalmente sprovvista di mezzi innovativi per la tutela dei propri diritti sul web (il rapporto Indice di Digitalizzazione dell’Economia e della Società della Commissione Europea, DESI 2020, riporta l’Italia come uno dei Paesi fanalino di coda tra gli stati membri).
3. Opportunità e criticità del Cloud
Com’è noto, la categoria degli utenti che operano in Cloud è ampia e va dai singoli consumatori privati alle aziende pubbliche, anche di grandissime dimensioni, passando per aziende private di ogni taglia.
Le tipologie di ambienti per la collocazione e l’elaborazione dei dati – ovvero la tipologia di spazio concesso dal provider -, può essere principalmente di tre tipi: a. privato, con connessioni remote dedicate e gestione dell’infrastruttura da parte del fruitore; b. pubblico, con servizi e ambienti informatici identici a disposizione di una serie indistinta di soggetti; c. ibrido, un compromesso tra le due precedenti soluzioni da scegliere in base alla qualità delle informazioni da processare.
A prescindere dal tipo di ambiente e dal genere di servizio richiesti, così come dall’inquadramento giuridico, il contratto di servizi in Cloud si contraddistingue per alcuni precisi caratteri distintivi e ricorrenti:
- totale assenza dell’aspetto relazionale tra le parti
- generale spersonalizzazione della soluzione IT oggetto della prestazione
- spiccata vocazione internazionale (lingua inglese)
- significativa scalabilità e flessibilità della fornitura in base alle esigenze contingenti
- marcata asimmetria di forza contrattuale tra fornitore e fruitore del servizio.
Con il passaggio ai servizi sulla nuvola tante aziende hanno potuto, in poco tempo e con investimenti molto contenuti, espandere o ridurre l’infrastruttura IT, migliorando le loro performance digitali per rispondere alle mutevoli condizioni di business con un grande vantaggio in termini di elasticità di spesa, evitando sovra-allocazioni e godendo, nel contempo, di un facile allineamento agli standard innovativi più aggiornati.
Questa svolta presenta però diverse criticità intrinseche, poiché è indubbio che almeno ove si tratti di Public Cloud, il fruitore, si trova sprovvisto anche del minimo potere negoziale nell’affrontare le rigidità delle proposte modulari preconfezionate dal provider (offerte sul mercato nell’ottica del “as it is” ovvero del prendere o lasciare) e talvolta lo sbilanciamento può concretizzarsi addirittura anche in corso d’opera, con l’accettazione forzata di variazioni unilaterali e non concordate del servizio offerto. I pericoli più insidiosi si annidano nelle clausole che riguardano la violazione dei dati personali, la riservatezza delle informazioni, le garanzie contrattuali, la portabilità dei dati, l’interoperabilità dei sistemi, la legge applicabile e il foro competente; sono altresì molto delicate quelle parti dell’accordo focalizzate sulla regolazione delle ipotesi di cattivo funzionamento del servizio, incidenti o cessazione del rapporto, con il famoso rischio del cosiddetto vendor lock-in (quando non è possibile cambiare facilmente fornitore alla scadenza del periodo contrattuale, perché non sono disponibili le informazioni tecniche essenziali sul sistema in uso che consentirebbero a un nuovo fornitore di subentrare in modo rapido ed efficace), tutte circostanze in cui può essere messa in gioco addirittura la stabilità e continuità del business.
4. Nuove tutele contro i rischi del Cloud: lo Smart Legal Contract
I profitti stellari dei player del settore, hanno determinato in breve tempo leadership incontrastabili ed una certa tendenza “compatta” a derive di privatizzazione nella disciplina del contratto, che hanno recentemente spinto addirittura l’Antitrust a verificare se tali condotte commerciali siano o meno compatibili con i principi fondamentali del nostro ordinamento giuridico, davanti ai quali l’autonomia negoziale sancita ex art. 1322 c.c. trova il suo limite (ad esempio nelle norme imperative che tutelano la libera concorrenza e il mercato, vedi i recenti sei procedimenti avviati dall’Antitrust a carico di Google, AWS, Apple, Dropbox).
Anche se oggi esistono, sia a livello nazionale che comunitario, concrete preoccupazioni di carattere geopolitico, legate alla preminenza tecnologica internazionale o connesse alla protezione dei dati personali rispetto a potenziali ingerenze terze, l’indispensabilità delle funzionalità abilitate dal Cloud è sotto gli occhi di tutti e appare irrealistico pensare di riuscire a fare meno delle forniture di risorse informatiche garantite dai provider internazionali, perché è proprio su queste che poggiano quasi integralmente le infrastrutture pubbliche e private in gran parte del pianeta.
E’ dunque chiaro che, ancor più in tempo di pandemia, l’adozione del Cloud Computing rappresenta una leva strategica irrinunciabile sia in termini di flessibilità che di sicurezza, ma è altrettanto palese, che a fronte di questa svolta strutturale l’impresa debba via via rafforzare opportune strategie di vaglio selettivo in fase pre-negoziale (Private o Hybrid Cloud) per identificare, prima di impegnarsi contrattualmente, il miglior fornitore per le proprie esigenze di business; parallelamente, dovrà altresì adottare idonei strumenti di (auto)tutela in corso di erogazione della fornitura.
In questa direzione uno degli aspetti più significativi del contratto di servizi di Cloud Computing e su cui è assolutamente imprescindibile concentrarsi nel corso nella fase di selezione o delle trattative (ove possibili), è senza dubbio il potere di controllo su alcuni elementi chiave dell’accordo come il “Livello di Sevizio”, disciplinato nel Service Level Agreement (SLA); dalla sua qualità e quantità dipende il corrispettivo, che pertanto andrebbe monitorato costantemente sia per la verifica del rispetto degli obblighi assunti dal provider sia per la determinazione delle eventuali penali pattuite in caso di difetto, mancanza o inadeguatezza della prestazione.
Nel caso in cui siano stati individuati precisi KPI e determinati specifici livelli di servizio (SLA), l’inadempimento si verificherà, senza possibilità di contestazione, ogni qual volta detti parametri non risultino oggettivamente rispettati (sia ove espressi in misura percentuale rispetto ad una soglia prestabilita che in misura assoluta rispetto ad un determinato valore concordato).
Trattandosi, come sopra già evidenziato, di contratti atipici, un buon accordo, infatti, non dovrebbe mai prescindere dalla corretta individuazione delle rispettive prestazioni e da precise proiezioni contrattuali anche per l’ipotesi dell’inadempimento a cui possono fare seguito:
- cauzioni o garanzie fidejussorie, anche sotto forma di polizza fidejussoria o bancaria
- commisurate clausole penali nel caso di mancato rispetto di KPI e SLA predefiniti
- risarcimenti in caso di eventuale maggior danno (da provare).
5. Cloud computing e Smart Legal Contracts
Perfettamente funzionale, in questo senso, si prospetta l’impiego dello Smart Legal Contract, con precise finalità di autotutela contrattuale, strumento innovativo molto utilizzato nei casi in cui vi sia da monitorare e gestire, attraverso piattaforme di nuova generazione blockchain-based, flussi di attività predeterminate che accompagnano la vita del contratto. Le clausole SMART prevedono diversi prezzi/corrispettivi corrispondenti ad altrettanti livelli di servizio. Grazie all`uso degli smart contract e della Json API è possibile monitorare la qualità dei servizi e attivare automaticamente il pagamento del prezzo concordato per il livello di servizio rilevato. I dati che “nutrono” lo smart contract permettono cosi` l’attivazione delle azioni stabilite in contratto, aumentando la trasparenza e la verificabilità. Non solo. Le clausole SMART possono prevedere bonus e/o penalità (anche sotto forma di token) che scattano al verificarsi delle condizioni pre-definite dalle parti.
Recentemente, alcuni CSP hanno inserito clausole nell’accordo (SLA) relative all’impegno di garantire uno specifico livello di servizio parametrato, permettendo al cliente di terminare il rapporto per eventuali violazioni dello stesso, a condizione di seguire le procedure previste per farlo, con il rimborso di qualsiasi costo prepagato (una sorta di exitcondizionata).
Gli SLA possono anche prevedere l’obbligo per l’utente di tenere traccia dei tempi di inattività e di fare rapporti per richiedere i crediti di servizio, mentre, di contro, sono pochissimi i fornitori impegnati a riferire proattivamente sui livelli di disponibilità e sulla qualità del servizio effettivamente reso.
Questi aspetti ovviamente mettono in serie difficoltà il cliente in relazione all’obbligo di monitoraggio della fornitura rispetto a quanto stabilito nello SLA anche per la regolazione dei crediti di servizio. In altre fattispecie, ai clienti viene richiesto, entro scadenze prestabilite, di seguire procedure specifiche per segnalare le violazioni del livello di servizio, oltre a fornire dettagli su di esse per un’eventuale verifica da parte del CSP, che spesso, però, rimane contrattualmente libero di non dare alcun seguito alla richiesta di chiarimenti del suo cliente.
Strumenti come gli Smart Legal Contract, nello scenario appena descritto, si rivelano sorprendentemente risolutivi, perché in grado non solo di stigmatizzare la “tipizzazione della performance” (e quindi, nel caso di specie, l’istantanea individuazione dell’inadempimento del prestatore di servizi rispetto ai parametri e alle soglie di efficienza pattuite), ma anche di automatizzare tutta la serie di “azioni” conseguenti, come ad esempio la quantificazione e il rimborso effettivo delle penali secondo la regolamentazione dei crediti di servizio, con concrete ricadute di efficientamento operativo nelle fasi più delicate del rapporto prestatore/utilizzatore, evitando così sia potenziali problemi di business continuity che successive ripercussioni di natura contenziosa tra le parti.
Riproduzione riservata.
Avv. Rita Eva Cresci