Outsourcing IT: responsabilità e rischi - Studio Legale Nappi e Associati

Tempo di lettura stimato:4 Minuti, 53 Secondi

L’outsourcing IT è oggi una scelta strutturale per molte piccole e medie imprese, e questo per una svariata serie di motivi. Partendo dalla riduzione dei costi interni, passando per l’incremento della flessibilità, e fine ad arrivare alla possibilità di accesso a competenze specialistiche.

Certo, come ogni esternalizzazione, anche quella tecnologica implica una redistribuzione del rischio giuridico. E la responsabilità del fornitore non è mai automatica.

Ma procediamo per gradi.

Cominciamo innanzitutto col dire che per outsourcing IT si intende l’esternalizzazione a un soggetto terzo di attività informatiche prima svolte internamente.

Può riguardare infrastrutture, software, gestione dei dati, servizi cloud o hosting. Talvolta coinvolge interi processi aziendali digitalizzati.

Giuridicamente, non si tratta di una figura tipica unitaria. La dottrina ha ricostruito tali operazioni come combinazioni di appalto di servizi, somministrazione o schemi atipici, specie nei modelli di cloud computing, dove le prestazioni sono composite e tecnologicamente stratificate (per approfondire premere qui).

L’outsourcing non trasferisce solo attività operative, ma anche poteri di gestione tecnica e, con essi, una quota significativa di rischio contrattuale.

Per una piccola o media impresa, questo è il punto decisivo.

La dottrina ha evidenziato, ad esempio, come nei contratti di cloud computing e hosting prevalgano modelli standardizzati, spesso caratterizzati da clausole di limitazione della responsabilità e da SLA non sempre stringenti, con un evidente squilibrio negoziale a sfavore dell’utente professionale.

Per una PMI, questo significa una cosa sola, e cioè che il rischio si governa prima, nel contratto.

Tale affermazione anche se potrebbe sembrare retorica, è in realtà un vero e proprio principio di sopravvivenza giuridica. Nel momento in cui l’infrastruttura informatica viene affidata a un terzo, l’impresa perde il dominio materiale sul sistema, pur rimanendo, tuttavia, esposta verso clienti, fornitori e autorità.

Se il servizio si interrompe, il danno si produce in capo all’azienda cliente. Se i dati vengono alterati, è l’impresa a subirne le conseguenze economiche e reputazionali. Il fornitore risponde solo nei limiti stabiliti dal contratto.

La prassi contrattuale nel cloud evidenzia una marcata presenza di clausole di limitazione della responsabilità e di standardizzazione unilaterale delle condizioni, con significativa compressione dei rimedi risarcitori.

In assenza di una negoziazione puntuale, il rischio resta in capo alla PMI. Formalmente esternalizzato. Sostanzialmente trattenuto.

Governare il rischio “prima” significa definire con precisione l’oggetto della prestazione. Ogni ambiguità amplia l’area di esenzione del fornitore. La frammentazione soggettiva del cloud – provider, subfornitori, carrier – impone una delimitazione chiara delle responsabilità operative.

Molti contratti indicano percentuali di uptime. Pochi disciplinano in modo analitico modalità di misurazione, reportistica e conseguenze economiche del disservizio. La letteratura segnala che l’ordinamento non impone in via generale una dettagliata indicazione dei livelli di servizio, lasciando alla contrattazione privata la definizione concreta degli standard. Senza SLA verificabili, l’inadempimento diventa evanescente.

Le clausole che prevedono un tetto massimo di responsabilità sono alquanto diffuse. Non sono, di per sé, illegittime. Diventano critiche quando includono nel limite violazioni gravi, perdita definitiva di dati o violazioni di riservatezza. In un contratto di outsourcing IT, la PMI deve verificare che il cap non svuoti di contenuto la tutela risarcitoria. L’equilibrio contrattuale è un presidio strategico.

La peculiarità principale è che il contratto non termina con la firma, ma con l’uscita. Una clausola di exit deve disciplinare formato dei dati, assistenza alla migrazione, tempistiche e cancellazione certificata. Senza una strategia di uscita, l’outsourcing diventa vincolo.

Insomma, l’outsourcing IT non è un rischio da evitare. È un rischio da governare. Servono clausole chiare su responsabilità del fornitore IT, garanzie sui dati, SLA, limitazioni risarcitorie ed exit strategy. La prevenzione contrattuale è sempre meno onerosa del contenzioso.

Per approfondire:

- N. NAPPI, I contratti di cloud computing alla luce dell'entrata in vigore della Direttiva UE 770/2019: species del genus dei contratti di fornitura di contenuti e servizi digitali?, in Ciberspazio e Diritto, 1-2022, p. 79 ss.;

- C. CAMARDI, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione di dati personali, in Giustizia Civile, vol. 2/2019, p. 499;

- A. MANTELERO, Processi di outsourcing informatico e cloud computing: la gestione dei dati personali ed aziendali, in Diritto dell'Informazione e Informatica, 4/5 2010, pp. 682-683;

- D. MULA, Il contratto di fornitura di servizi cloud, in C. PERLINGIERI – L. RUGGERI Internet e Diritto Civile, Napoli, 2015, p. 549 ss.;

- S. BRADSHAW - C. MILLARD - I. WALDEN, Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services, in International Journal of Law & Information Technology, 2011, 11;

- W.K. HON - J. HÖRNLE - C. MILLARD, Data Protection Jurisdiction and Cloud Computing - When are Cloud Users and Providers Subject to EU Data Protection Law? The Cloud of Unknowing Part 3, in International Review of Law Computer & Technology, 2012, 19;

- A. BENLIAN - T. HESS - P. BUXMANN (a cura di), Software-as-a-Service: Anbieterstrategien, Kundenbedürfnisse und Wertschöpfungsstrukturen, Wiesbaden, 2010;

- G. LAWTON, Developing Software Online With Platform-as-a-Service Technology, in Computer, VI 2008, p. 13;

- K. ROEBUCK, Platform As a Service (PaaS), LaVergne, 2012;

- A. MANTELERO, Il contratto per l'erogazione alle imprese di servizi di cloud computing, in Contratto ed imprese, 4-5, 2012, pp. 1216-1222;

- S. BHARDWAJ - L. JAIN - S. JAIN, Cloud Computing: A Study of Infrastructure as a Service (IaaS), in International Journal of Engineering and Information Technology, I, 2010, p. 62;

- K. YONGSIRIWIT - N. ASSY - W. GAALOUL, A semantic framework for configurable business process as a service in the cloud, in Journal of Network and Computer Application, n. 59, luglio 2015;

- S. SADEGHANI - M. J. TAROKH, A Cost Model for Hybrid Cloud, 2017; 

- X. YANG - T. LEHMAN, Model driven advanced hybrid cloud services for big data: paradigm and practice, in Proceedings of the 7th International Workshop on Data-Intensive Computing in the Cloud, novembre 2016, pp. 32 - 36.

Bio
Ultimi Post

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi

*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.

Ultimi post di Nicola Nappi (vedi tutti)

E-commerce: gli obblighi legali decisivi - 30 Marzo 2026
Videosorveglianza sul lavoro: gli errori che costano caro - 23 Marzo 2026
Il DPO esterno nelle PMI - 16 Marzo 2026
Data breach: cosa fare nelle prime 72 ore - 9 Marzo 2026
Privacy e imprese: il problema non è il regolamento - 2 Marzo 2026

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Per approfondire:

Nicola Nappi

Ultimi post di Nicola Nappi (vedi tutti)

Correlati