Contratto di Servizi Informatici (Assistenza IT)

Il Contratto di Servizi Informatici (Assistenza IT) in Italia è l'atto disciplinato da Codice Civile artt. 1655–1677; D.Lgs. 82/2005 (CAD).

Inquadramento sistematico e distinzione dagli strumenti contigui. Rispetto al contratto di appalto di lavori (art. 1655 c.c.), il contratto di servizi informatici riguarda risultati continuativi e non un'opera unica; rispetto al contratto di somministrazione (art. 1559 c.c.), il fornitore non si limita a mettere a disposizione capacità elaborativa ma organizza autonomamente la prestazione. La distinzione è rilevante ai fini del D.Lgs. 276/2003 (riforma Biagi): un contratto di assistenza IT strutturato come semplice cessione di personale (body rental) integra somministrazione illecita di manodopera ex art. 29 D.Lgs. 276/2003, con responsabilità solidale del committente per retribuzioni e contributi INPS/INAIL. La Corte di Cassazione, Sez. lavoro, n. 11490/2021 ha chiarito i criteri per distinguere l'appalto genuino di servizi informatici dalla somministrazione illecita: il fornitore deve esercitare un potere direttivo effettivo sul proprio personale e deve avere un'organizzazione autonoma di mezzi. Il D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy) e il GDPR impongono misure di sicurezza minime per i sistemi informatici che trattano dati sensibili; l'art. 32 GDPR richiede una valutazione del rischio che deve essere documentata nel contratto di assistenza IT e aggiornata periodicamente. Le aziende che fanno parte della supply chain IT di infrastrutture critiche devono rispettare le direttive NIS2 (Direttiva UE 2022/2555) recepite con D.Lgs. in corso di adozione, che impongono requisiti di sicurezza rafforzati e notifica obbligatoria degli incidenti all'ACN entro 24 ore.

Il Contratto di Servizi Informatici e di Assistenza IT in Italia è necessario in tutti i casi in cui un'azienda o un professionista esternalizza la gestione totale o parziale dei propri sistemi informativi a un fornitore esterno. Le situazioni tipiche includono: outsourcing completo dell'IT (il fornitore gestisce l'intera infrastruttura hardware, software, rete e sicurezza); managed services (contratti a canone mensile per la gestione proattiva di server, endpoint, backup e aggiornamenti di sicurezza); help desk e supporto utenti (assistenza telefonica, da remoto o in loco per risolvere problemi tecnici quotidiani); migrazione cloud (trasferimento di sistemi e dati verso piattaforme Microsoft Azure, Amazon AWS, Google Cloud con configurazione e monitoraggio); disaster recovery e business continuity (progettazione e gestione di sistemi di ripristino in caso di incidente); cyber security (vulnerability assessment, penetration testing, gestione degli incidenti di sicurezza); manutenzione di software gestionali (ERP, CRM, sistemi di contabilità) su misura o di terze parti; sviluppo e manutenzione di siti web e applicazioni aziendali. In tutti questi scenari, la mancanza di un contratto scritto con SLA definiti espone il committente all'impossibilità di contestare il livello di servizio ricevuto e il fornitore al rischio di pretese indeterminate in caso di incidente informatico.

Scadenze e obblighi normativi temporalmente determinati. Il GDPR impone che la nomina a Responsabile del Trattamento ex art. 28 sia firmata prima che il fornitore IT acceda ai dati personali del committente: qualsiasi accesso privo di nomina è violazione immediata. In caso di data breach (violazione dei dati personali), il fornitore IT deve notificare il committente senza ingiustificato ritardo ex art. 33, c. 2 GDPR e il committente deve notificare il Garante per la protezione dei dati personali entro 72 ore dalla conoscenza del breach (art. 33 GDPR). L'ACN prevede per le aziende qualificate NIS2 obblighi di notifica degli incidenti significativi entro 24 ore dalla rilevazione e rapporto dettagliato entro 72 ore. Per i contratti con la Pubblica Amministrazione (appalti di servizi IT sopra soglia), il Codice dei Contratti Pubblici (D.Lgs. 36/2023) impone l'iscrizione all'Albo dei fornitori e il DURC (Documento Unico di Regolarità Contributiva) in corso di validità. La L. 300/1970 (Statuto dei Lavoratori), art. 4, richiede accordo sindacale o autorizzazione dell'INL (Ispettorato Nazionale del Lavoro) prima che il fornitore IT installi sistemi di monitoraggio remoto sui dispositivi dei lavoratori del committente.

Contexto regolatoria per settore: PA e imprese private a confronto. Per le Pubbliche Amministrazioni che affidano servizi IT in outsourcing, il contratto deve rispettare il D.Lgs. 36/2023 (Codice dei Contratti Pubblici): è obbligatorio il capitolato tecnico con SLA certificati, il DURC dell'aggiudicatario e i requisiti di qualificazione SOA per appalti sopra soglia. Per le imprese private del settore sanitario (ospedali, cliniche, laboratori), il contratto IT deve includere misure specifiche per il trattamento di dati sanitari (categoria speciale ex art. 9 GDPR) con riferimento al Regolamento del Garante per il settore sanitario (Autorizzazione n. 9/2016 e successive). Per le imprese finanziarie e assicurative, EBA (European Banking Authority) e IVASS richiedono che i contratti di outsourcing IT includano clausole di audit del regolatore, diritto di revoca immediata per ragioni di vigilanza prudenziale e accesso continuo ai dati da parte dell'autorità di supervisione.

Un Contratto di Servizi Informatici conforme al diritto italiano deve includere i seguenti elementi essenziali. Primo: l'identificazione completa delle parti con denominazione, partita IVA, codice fiscale, sede legale, numero REA, PEC e legale rappresentante — dati necessari anche ai fini della nomina ex art. 28 GDPR. Secondo: la descrizione dettagliata dei servizi erogati (catalogo dei servizi), distinta per tipologia (help desk, gestione server, backup, sicurezza, monitoraggio) con indicazione del perimetro tecnico coperto (numero di postazioni, server, applicazioni). Terzo: i livelli di servizio (SLA) con disponibilità garantita (es. 99,5% annua), tempi di risposta e risoluzione per categoria di incidente (critico, alto, medio, basso), finestre di manutenzione programmata e penali per il mancato rispetto (art. 1382 c.c.). Quarto: il canone e le modalità di pagamento, con riferimento al D.Lgs. 231/2002 per gli interessi moratori nelle transazioni B2B (BCE + 8 punti percentuali, € 40 forfettari di recupero). Quinto: la nomina a Responsabile del Trattamento ex art. 28 GDPR con allegato elenco dei trattamenti autorizzati, misure di sicurezza (art. 32 GDPR), regime dei sub-responsabili e procedure di cancellazione dei dati a fine contratto. Sesto: la proprietà intellettuale dei software e degli strumenti sviluppati durante il contratto, con chiarimento sulla titolarità e sulla licenza d'uso (artt. 64-bis ss. LDA). Settimo: le condizioni di riservatezza (NDA integrato), con obbligo del fornitore di non divulgare informazioni riservate del committente. Ottavo: le procedure di exit e transizione, con consegna della documentazione tecnica, delle credenziali e dei dati al termine del rapporto.

Base normativa di ciascun elemento con riferimenti giurisprudenziali e regolamentari. La clausola SLA trova il suo fondamento nell'art. 1453 c.c. (risoluzione per inadempimento) e nell'art. 1382 c.c. (clausola penale): la penale contrattuale consente di liquidare il danno da mancato rispetto degli SLA senza necessità di prova del danno effettivo, con il limite della riduzione giudiziale per manifesta eccessività (art. 1384 c.c.). La clausola di nomina a Responsabile del Trattamento deve rispettare l'art. 28, c. 3 GDPR che impone un contenuto minimo: istruzioni documentate, obblighi di riservatezza del personale, cancellazione o restituzione dei dati, assistenza al titolare per l'esercizio dei diritti degli interessati. La clausola di proprietà intellettuale si basa sugli artt. 12-bis e 64-bis della L. 633/1941 (Legge sul Diritto d'Autore): le banche dati create dal fornitore IT nell'ambito del contratto possono essere tutelate anche come opere autonome (artt. 102-bis LDA) e occorre disciplinare espressamente a chi appartiene il diritto di riproduzione, distribuzione e modifica. La clausola di riservatezza è potenziata dal D.Lgs. 63/2018 sui segreti commerciali (trade secrets): le informazioni aziendali riservate a cui il fornitore IT accede (architettura dei sistemi, dati di business intelligence, algoritmi proprietari) godono di tutela autonoma con risarcimento del danno ex artt. 9-11 D.Lgs. 63/2018. Sul portale forms-legal.com il modello integra tutte queste clausole in forma strutturata e pronta all'uso.

Per compilare correttamente il Contratto di Servizi Informatici in Italia seguire questa procedura. Sezione Parti: per il committente indicare ragione sociale, partita IVA, codice fiscale, sede legale, numero REA della Camera di Commercio competente, PEC e nome del legale rappresentante; per il fornitore IT indicare gli stessi dati e aggiungere l'eventuale certificazione (ISO 27001, ISO 9001) e le competenze specifiche (es. Microsoft Partner, Cisco Certified). Sezione Servizi: elencare con precisione ogni servizio incluso nel contratto, specificando se si tratta di servizi in canone fisso mensile o di attività a consumo (tariffa oraria); definire il numero di ticket inclusi nel canone, le ore di assistenza mensile e le modalità di apertura e tracciatura dei ticket (sistema di ticketing). Sezione SLA: per ogni categoria di servizio definire la disponibilità garantita, i tempi di risposta (entro quanto il fornitore prende in carico il ticket), i tempi di risoluzione (entro quanto il problema è risolto) e le penali in caso di mancato rispetto. Sezione GDPR: allegare il modulo di Nomina a Responsabile del Trattamento ex art. 28 GDPR con l'elenco dei trattamenti e delle misure di sicurezza adottate. Sezione Corrispettivo: indicare il canone mensile o annuo, le condizioni di indicizzazione (ISTAT), i termini di pagamento (30 o 60 giorni dalla fattura) e l'IBAN. Sezione Durata: specificare se il contratto è a tempo determinato (con data di scadenza) o indeterminato (con preavviso di disdetta di 30, 60 o 90 giorni), e la durata del periodo di transizione alla cessazione. Firme: firma digitale qualificata (D.Lgs. 82/2005) o firma autografa con due originali.

Procedura campo per campo per le sezioni più tecniche. Per la sezione SLA: formulare le categorie di incidente con definizioni chiare — «incidente critico»: sistema principale non disponibile o perdita massiva di dati (time to respond: 1 ora / time to resolve: 4 ore); «incidente alto»: funzionalità principale degradata (respond: 2 ore / resolve: 8 ore lavorative); «incidente medio»: funzionalità secondaria non disponibile (respond: 4 ore / resolve: 24 ore lavorative); «incidente basso»: disservizio minore o richiesta di informazioni (respond: 8 ore / resolve: 5 giorni lavorativi). Per la clausola penale ex art. 1382 c.c.: specificare la percentuale di riduzione del canone per ogni ora di downtime non pianificato oltre la soglia SLA (es. 0,1% del canone mensile per ogni ora eccedente). Per la sezione GDPR, indicare nell'allegato di nomina: categorie di dati trattati (es. dati identificativi dipendenti, dati contabili, dati clienti), basi giuridiche del trattamento del committente (es. contratto, obbligo legale), lista dei sub-responsabili autorizzati (provider cloud, sub-contractor), misure tecniche (cifratura AES-256, pseudonimizzazione, controllo accessi role-based), misure organizzative (ISMS ISO 27001, formazione annua del personale IT). Per il periodo di transizione alla cessazione: prevedere almeno 30 giorni di affiancamento del nuovo fornitore, con obbligo di restituzione entro 5 giorni lavorativi di tutte le credenziali, configurazioni, documentazione tecnica e dati in formato standard interoperabile (es. CSV, XML, JSON).

I requisiti legali del Contratto di Servizi Informatici in Italia derivano da diverse normative. Il Codice Civile (artt. 1655–1677) impone che l'appalto di servizi abbia un oggetto determinato o determinabile (art. 1346 c.c.) e regola la responsabilità per vizi (artt. 1667–1668 c.c.) con decadenza dalla garanzia se i vizi non sono denunciati entro 60 giorni dalla scoperta. Il GDPR (Reg. UE 2016/679) rende obbligatoria la nomina ex art. 28 ogni volta che il fornitore tratta dati personali per conto del committente: l'assenza di tale nomina costituisce violazione sanzionata dal Garante fino a € 10 milioni o 2% del fatturato mondiale. Il D.Lgs. 231/2002 disciplina i termini di pagamento nelle transazioni commerciali B2B (massimo 60 giorni) e gli interessi moratori automatici in caso di ritardo. Il D.Lgs. 82/2005 (CAD) conferisce piena validità legale ai contratti firmati con firma digitale qualificata o firma elettronica avanzata. Le clausole limitative di responsabilità del fornitore IT (es. limite del risarcimento al valore del canone annuo) sono clausole vessatorie ai sensi dell'art. 1341, c. 2 c.c. nei contratti tra imprenditori e richiedono la specifica approvazione scritta con doppia sottoscrizione. La L. 300/1970 (Statuto dei Lavoratori), art. 4, regola i sistemi di controllo a distanza dei lavoratori tramite strumenti informatici: il committente che fornisce dati di log o monitoraggio degli utenti al fornitore IT deve rispettare le procedure di accordo sindacale o autorizzazione dell'Ispettorato del Lavoro.

Requisiti normativi articolo per articolo con pronunce del Garante Privacy. L'art. 1667 c.c. stabilisce che il committente deve denunciare i vizi e le difformità del servizio entro 60 giorni dalla scoperta, pena decadenza dalla garanzia; nel contratto di servizi informatici il vizio si manifesta spesso nel tempo (es. progressiva corruzione di un database) e occorre prevedere una clausola contrattuale che estenda o modifichi questo termine in modo più adeguato alle specificità IT. La Corte di Cassazione, Sez. III civile, n. 5560/2018 ha ritenuto applicabile all'appalto di servizi informatici l'art. 1667 c.c. sia per i vizi del risultato che per le difformità rispetto alle specifiche tecniche concordate. Il Garante Privacy italiano, con provvedimento del 4 dicembre 2019 (doc. web n. 9256486) relativo alla violazione dei dati di una azienda sanitaria, ha sanzionato il committente per non aver verificato adeguatamente le misure di sicurezza del proprio fornitore IT nominato responsabile del trattamento: questo provvedimento ha consolidato l'obbligo del committente di effettuare audit periodici sul fornitore ex art. 28 GDPR. Il D.Lgs. 8 giugno 2001, n. 231 (responsabilità amministrativa degli enti) può rilevare se il fornitore IT è coinvolto in illeciti informatici commessi nell'ambito del contratto: il committente deve verificare che il fornitore adotti un Modello Organizzativo 231 con specifico presidio sui reati informatici ex artt. 635-bis e 640-ter c.p.

Gli errori più frequenti nella redazione del Contratto di Servizi Informatici in Italia, con le relative conseguenze e il corretto approccio.

1. Omettere la nomina a Responsabile del Trattamento ex art. 28 GDPR: il fornitore IT che accede ai dati personali del committente senza nomina formale viola il GDPR immediatamente. Conseguenza: sanzione del Garante fino a € 10 milioni o 2% del fatturato mondiale per entrambe le parti. Il corretto approccio è firmare la nomina prima di qualsiasi accesso ai sistemi del committente.

2. Definire gli SLA in modo generico («assistenza nel più breve tempo possibile»): senza parametri numerici e penali specifiche, nessuna contestazione sulla qualità del servizio può avere successo in sede giudiziale. Conseguenza: il committente non può rivendicare rimborsi o risoluzioni per inadempimento. Il corretto approccio è indicare time-to-respond e time-to-resolve in ore per ciascuna categoria di incidente, con penale del X% del canone mensile per ogni ora di superamento.

3. Non disciplinare la proprietà intellettuale degli script e strumenti sviluppati: al termine del contratto il fornitore può rivendicare la titolarità del software personalizzato sviluppato per il committente (artt. 12-bis e 64-bis L. 633/1941). Conseguenza: il committente non può utilizzare i sistemi personalizzati senza licenza del fornitore. Il corretto approccio è inserire una cessione espressa dei diritti patrimoniali o una licenza perpetua e irrevocabile a favore del committente.

4. Omettere la clausola di exit e transizione: senza procedure di uscita chiare, il fornitore può trattenere credenziali, configurazioni e dati, rendendo il cambio provider costoso e traumatico. Conseguenza: lock-in tecnologico e dipendenza dal fornitore anche dopo la scadenza del contratto. Il corretto approccio è prevedere un periodo di transizione di 30-60 giorni con obblighi specifici di restituzione.

5. Non inserire la clausola di riservatezza (NDA) integrata nel contratto di assistenza IT. Conseguenza: informazioni aziendali sensibili (segreti industriali, dati clienti, architettura sistemi) accessibili al fornitore senza obbligo legale di non divulgazione, con tutela limitata al solo art. 2598 c.c.

6. Non verificare il DURC del fornitore IT con personale in loco: il committente risponde solidalmente per retribuzioni e contributi INPS/INAIL non pagati dal fornitore ai propri dipendenti (art. 29, c. 2 D.Lgs. 276/2003). Conseguenza: esposizione a cartelle esattoriali INPS per importi spesso superiori al valore del contratto di assistenza.

7. Non prevedere l'aggiornamento annuale degli SLA: le esigenze tecnologiche cambiano e gli SLA fissi al momento della firma possono diventare obsoleti. Il corretto approccio è inserire una clausola di revisione annuale degli SLA con accordo delle parti, per mantenere gli impegni di servizio adeguati all'evoluzione dell'infrastruttura.

8. Non inserire la clausola di esclusione di responsabilità per inadempimento causato dal committente: se il fornitore IT non può rispettare gli SLA per infrastruttura di rete inadeguata, mancato accesso ai sistemi o ambienti di produzione non testati imputabili al committente, il contratto deve escludere la responsabilità del fornitore in questi scenari. Il corretto approccio è allegare al contratto un documento di «prerequisiti tecnici» che il committente deve garantire, con obbligo di verifica firmata prima dell'avvio dei servizi. La Camera di Commercio offre servizi di mediazione (D.Lgs. 28/2010) come condizione di procedibilità per le controversie sui contratti B2B superiori a € 50.000.