L’accordo di riservatezza NDA è oggi uno degli strumenti contrattuali più utilizzati e, paradossalmente, più sottovalutati nella prassi delle imprese digitali. Startup che presentano un prodotto a un investitore, web agency che condividono brief con freelance, aziende tech che aprono il proprio sistema informatico a un fornitore: in ognuna di queste situazioni circolano informazioni il cui valore competitivo dipende interamente dal fatto di restare riservate. Senza un accordo solido, quel valore evapora alla prima fuga. Capire cosa deve contenere un Non Disclosure Agreement, quando serve davvero e quali errori lo rendono inutile è una scelta strategica, non una formalità.

1. Il quadro generale: cos’è l’NDA e perché ne hai bisogno

L’NDA, acronimo di Non Disclosure Agreement (in italiano accordo di non divulgazione o patto di segretezza), è il contratto con cui una o più parti si impegnano a mantenere riservate informazioni che ricevono nell’ambito di una trattativa, di una collaborazione o di un rapporto contrattuale. La sua funzione è duplice: da un lato circoscrive ciò che è confidenziale, dall’altro stabilisce le conseguenze in caso di violazione.

Il punto da cui partire è giuridico ma molto pratico. Il nostro ordinamento non protegge l’informazione aziendale di per sé. La protegge solo se ricorrono i tre requisiti cumulativi previsti dall’art. 98 D.Lgs. 30/2005 (Codice della proprietà industriale): l’informazione deve essere segreta, ossia non generalmente nota o facilmente accessibile agli esperti del settore; deve avere valore economico proprio in quanto segreta; deve essere sottoposta dal legittimo detentore a misure ragionevolmente adeguate a mantenerla segreta.

È qui che l’accordo di non divulgazione diventa decisivo. Far sottoscrivere un NDA a chi accede alle informazioni aziendali è una delle misure di protezione più rilevanti per dimostrare di aver attivato una tutela effettiva. Senza misure dimostrabili, l’impresa rischia di scoprire troppo tardi che il proprio know-how non era giuridicamente protetto.

L’NDA, inoltre, è l’unico strumento che consente di blindare le informazioni nella fase più delicata: quella delle trattative. Se la negoziazione non si conclude, chi ha ricevuto le informazioni resta libero di usarle a meno che non sia vincolato da un accordo specifico.

A livello sovranazionale, il quadro è completato dalla Direttiva UE 2016/943 sulla protezione del know-how e delle informazioni commerciali riservate, che ha armonizzato la disciplina europea e rafforzato gli strumenti di tutela civilistica contro l’acquisizione, l’utilizzo e la divulgazione illeciti dei segreti commerciali.

2. Quando serve davvero: i casi tipici nel digitale

L’NDA non è un documento da firmare per abitudine. È uno strumento che ha senso in scenari precisi, e nel digitale questi scenari sono sempre più frequenti.

Il primo è il pitch a investitori o partner. La startup che presenta un prodotto non ancora brevettabile, una soluzione SaaS in fase prototipale o un modello di business basato su algoritmi proprietari condivide informazioni che, una volta uscite dalla stanza, non possono essere recuperate. Il patto di segretezza in questa fase serve a ricordare alla controparte che quelle informazioni hanno un valore economico tutelabile.

Il secondo è il rapporto con fornitori tecnici. Quando una software house, un consulente IT o un’agenzia accede al sistema informatico del cliente per integrare funzionalità, gestire dati o sviluppare moduli custom, viene a conoscenza di banche dati, transazioni, logiche operative. L’accordo serve a definire perimetro di accesso, divieti di copia, obblighi al termine dell’incarico.

Il terzo è il rapporto con freelance e collaboratori esterni. Designer, sviluppatori, copywriter, marketing manager esterni che lavorano su progetti riservati o su prodotti non ancora lanciati sono spesso il punto debole della catena di riservatezza. Un NDA chiaro, integrato nel contratto di servizio, riduce sensibilmente il rischio.

Il quarto è il contesto M&A e due diligence. Nelle operazioni di acquisizione, fusione o ingresso di investitori, l’accesso a documentazione finanziaria, contratti, dati operativi e tecnologici impone necessariamente la sottoscrizione preventiva di un accordo di riservatezza, spesso bilaterale.

Il quinto è la fase pre-brevettuale. Per chi deve condividere un’invenzione tecnica con potenziali investitori o partner produttivi prima del deposito, l’NDA è ciò che evita la pre-divulgazione, condizione che farebbe perdere il requisito di novità necessario per ottenere la tutela brevettuale.

3. Le clausole essenziali di un NDA efficace

Un NDA non è un modello da scaricare. È un contratto su misura, e la sua tenuta dipende dalla precisione di alcune clausole chiave. Vediamo quali devono esserci e perché.

3.1 Definizione di “Informazioni Riservate”

È la clausola più importante, e quasi sempre la più trascurata. Una definizione generica del tipo “ogni informazione comunicata dalla Società” è quasi una clausola di stile: vaga, contestabile, difficilmente azionabile. Una buona definizione individua categorie specifiche, che possono includere dati tecnici e progettuali, codice sorgente, documentazione di prodotto, business plan, proiezioni finanziarie, banche dati clienti, fornitori, condizioni economiche, specifiche di servizio, know-how organizzativo.

Più la definizione è chiara, più sarà alta la tutela in giudizio. La giurisprudenza valorizza sistematicamente la circostanza che il titolare delle informazioni abbia reso edotti i destinatari della natura riservata di quanto comunicato, anche apponendo diciture come “RISERVATO” sui documenti.

3.2 Obblighi del ricevente

La clausola deve specificare cosa il ricevente non può fare. In genere: non utilizzare le informazioni per fini diversi dallo scopo dell’accordo, non comunicarle a terzi (incluse società del gruppo), non copiarle, non manipolarle. Va inoltre previsto l’obbligo di proteggere le informazioni con la stessa cura adottata per le proprie informazioni riservate, e l’obbligo di vincolare con analoghi impegni dipendenti, collaboratori e consulenti che dovranno avervi accesso.

3.3 Eccezioni agli obblighi di riservatezza

Sono esclusioni tipiche le informazioni già di pubblico dominio, quelle divenute tali per fatto non imputabile al ricevente, quelle ricevute legittimamente da terzi non vincolati alla segretezza, quelle che devono essere comunicate per obbligo di legge o ordine dell’autorità. Senza queste eccezioni, l’accordo rischia di essere percepito come irragionevolmente esteso e contestato sotto il profilo della meritevolezza.

3.4 Durata dell’obbligo

Qui si gioca una partita strategica. Le opzioni sono tre. La prima è l’obbligo a tempo indeterminato, fino a quando le informazioni non diventino di pubblico dominio: è la formula più tutelante per chi divulga, ma può essere percepita come sproporzionata. La seconda è la durata fissa (tipicamente da 3 a 10 anni), pratica e bilanciata. La terza è la formula combinata: durata fissa per il rapporto contrattuale principale, con sopravvivenza degli obblighi di riservatezza ai sensi degli artt. 98 e 99 D.Lgs. 30/2005 fintanto che le informazioni mantengano carattere riservato.

Importante: l’NDA non soggiace ai limiti temporali stringenti del patto di non concorrenza ex art. 2125 c.c. (massimo 5 anni per dirigenti, 3 anni per gli altri). La durata può essere libera, anche indeterminata, purché l’oggetto del vincolo riguardi effettivamente la riservatezza e non si trasformi in un divieto di concorrenza mascherato.

3.5 Restituzione e distruzione delle informazioni

Al termine del rapporto o della trattativa, il ricevente deve restituire o distruggere ogni copia delle informazioni, sia in forma analogica sia digitale, su semplice richiesta del divulgante. Questa clausola è essenziale per chiudere il ciclo di vita delle informazioni e prevenire utilizzi successivi.

3.6 Clausola penale

L’art. 1382 c.c. consente di predeterminare la somma dovuta in caso di violazione. È un meccanismo doppiamente utile: solleva l’impresa danneggiata dall’onere di provare il quantum del danno (che nei casi di violazione di riservatezza è notoriamente difficile da quantificare) e ha un evidente effetto deterrente. Va però calibrata: se manifestamente eccessiva, può essere ridotta dal giudice ai sensi dell’art. 1384 c.c. La prassi consigliata è prevedere un importo congruo e ragionevole, mantenendo espressamente la riserva di richiedere il risarcimento del maggior danno effettivamente subito.

3.7 Legge applicabile e foro competente

Soprattutto nei rapporti con controparti estere o con elementi di internazionalità (situazione frequentissima nel digitale), la scelta della legge applicabile e del foro competente non è una clausola residuale: incide sull’effettiva esecuzione dell’accordo. La scelta della legge italiana e di un foro italiano è l’opzione più semplice quando entrambe le parti sono in Italia.

Hai bisogno di un NDA cucito sul tuo modello di business? Lo Studio AvvocatiTech redige accordi di riservatezza personalizzati, integrati con la disciplina privacy, IP e contrattuale. https://www.avvocatitech.com/contatti/

Proteggi il know-how della tua impresa con un accordo di riservatezza realmente efficace.

Stesura e revisione su misura per tutelare la tua attività.

4. NDA, dipendenti e collaboratori: un capitolo a parte

Quando si parla di accordo di riservatezza con il personale interno, il quadro cambia. Sul lavoratore subordinato grava già un obbligo legale di riservatezza ai sensi dell’art. 2105 c.c., che gli vieta di divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o di farne uso in modo da poter recare pregiudizio. È un obbligo diverso e autonomo rispetto a quello di non concorrenza previsto dallo stesso articolo.

Il limite dell’art. 2105 c.c. è duplice. Da un lato, secondo l’orientamento prevalente, l’obbligo opera solo durante il rapporto di lavoro: dopo la cessazione, la tutela passa principalmente attraverso le norme sulla concorrenza sleale (art. 2598 c.c.) e sui segreti commerciali (art. 98 CPI). Dall’altro, la portata della riservatezza legale è generica e lascia ampi margini di incertezza.

Il patto di riservatezza con il dipendente serve a colmare entrambi i gap. Permette di estendere l’obbligo di non divulgazione al periodo successivo alla cessazione del rapporto, senza i limiti temporali del patto di non concorrenza, e di specificare con precisione le categorie di informazioni protette. È fondamentale, in fase di redazione, evidenziare la causa degli obblighi assunti (di regola, l’interesse alla protezione del know-how aziendale) e curare con attenzione la sopravvivenza degli impegni alla durata del contratto principale.

Per i lavoratori autonomi, agenti e collaboratori esterni il quadro legale è ancora più sfumato: si fa riferimento ai principi generali di buona fede e correttezza ex artt. 1175 e 1375 c.c., con tutte le incertezze applicative del caso. Per questa ragione l’NDA contrattuale diventa, di fatto, l’unico strumento davvero efficace.

Anche i profili penalistici meritano attenzione. La rivelazione di segreti commerciali può integrare i reati di cui agli artt. 622 e 623 c.p., con autonoma tutela rispetto a quella civilistica e contrattuale.

5. NDA e intelligenza artificiale: cosa cambia con l’addestramento dei modelli

Un fronte nuovo, e spesso sottovalutato, riguarda l’interazione tra NDA e sistemi di intelligenza artificiale. Quando un dipendente, un fornitore o un consulente carica documenti aziendali riservati su un modello di linguaggio, su un assistente generativo o su una piattaforma di automazione AI, le informazioni possono entrare in flussi di trattamento che esulano completamente dal controllo dell’impresa.

Il rischio è duplice. Da un lato, le informazioni possono essere utilizzate dal provider AI per addestramento del modello, salvo diversa configurazione contrattuale. Dall’altro, possono essere conservate, processate o esposte attraverso log, prompt cache e meccanismi di fine-tuning, con conseguente perdita del requisito di segretezza richiesto dall’art. 98 CPI.

Per questo, gli NDA moderni dovrebbero prevedere clausole specifiche che disciplinino:

  • il divieto di inserire Informazioni Riservate in sistemi AI di terze parti privi di garanzie contrattuali adeguate (no-training, data residency, log retention controllata);
  • l’obbligo di utilizzare esclusivamente strumenti AI approvati dall’impresa, anche tramite white list interne;
  • l’estensione degli obblighi di riservatezza a output, prompt e dataset derivati da elaborazioni AI;
  • il coordinamento con le politiche aziendali di AI governance e con gli obblighi del Reg. UE 2024/1689 (AI Act) per i sistemi a uso professionale.

Si tratta di un’area in rapida evoluzione, dove la formulazione standard di un NDA tradizionale rischia di essere obsoleta nel giro di pochi mesi. Aggiornare i modelli contrattuali in uso è un’attività che le imprese digitali dovrebbero pianificare con cadenza almeno annuale.

6. Errori più frequenti che rendono inutile l’accordo

Vediamo gli errori che ricorrono più spesso nei contratti di riservatezza redatti senza supporto legale specialistico, e che ne compromettono l’efficacia.

  • Definizione troppo ampia o troppo generica delle Informazioni Riservate. Formule come “tutte le informazioni scambiate tra le parti” sono qualificate dalla giurisprudenza come clausole di stile prive di reale valore precettivo.
  • Assenza delle eccezioni standard (informazioni di pubblico dominio, ricevute da terzi non vincolati, comunicate per obbligo di legge). Senza queste, l’accordo è impugnabile sotto il profilo della meritevolezza.
  • Penale sproporzionata. Importi manifestamente eccessivi vengono ridotti d’ufficio dal giudice ex art. 1384 c.c. e perdono efficacia deterrente.
  • Durata indeterminata applicata a tutto, senza distinzioni. Per le informazioni che hanno una vita commerciale limitata, una durata troppo estesa appare sproporzionata e contestabile.
  • Mancato coordinamento con il GDPR. Quando l’NDA copre dati personali, va integrato con un Data Processing Agreement ex art. 28 GDPR. NDA da solo non basta.
  • Assenza dell’obbligo di restituzione/distruzione delle informazioni al termine del rapporto. Le copie restano in mano al ricevente a tempo indefinito.
  • Mancata previsione dell’obbligo di vincolare i sub-collaboratori. Se il ricevente coinvolge altri soggetti, senza una clausola specifica la catena di riservatezza si interrompe.
  • Foro competente all’estero o in giurisdizioni di difficile esecuzione. Spesso i modelli scaricati online prevedono fori che rendono di fatto impossibile l’azione.

7. Casi pratici: come si applica l’NDA nei contesti digitali

Vediamo alcuni esempi concreti, costruiti su scenari ricorrenti per il target dello Studio. Sono ipotesi tipiche, non riferite a casi reali.

Caso 1 – La startup SaaS che cerca un primo investitore. Una startup con un prodotto in fase beta sta per incontrare un fondo seed. Durante il pitch deve mostrare metriche di engagement, architettura tecnica, roadmap di prodotto, modello di pricing. Prima dell’incontro firma con il fondo un NDA bilaterale che definisce come “Informazioni Riservate” tutta la documentazione condivisa nell’ambito del processo di valutazione, esclude l’uso per finalità diverse dalla decisione di investimento, prevede una durata di 5 anni e una penale congrua. Senza l’accordo, il fondo potrebbe condividere la roadmap con altre startup in portfolio in concorrenza diretta.

Caso 2 – La web agency che esternalizza lo sviluppo. Un’agenzia ha vinto un progetto per un cliente e-commerce e ingaggia un team di sviluppatori freelance. I freelance accederanno al codice del cliente, alla sua piattaforma, ai dati di vendita. Senza un NDA chiaro, l’agenzia espone il cliente a un rischio che può tradursi in responsabilità contrattuale verso quest’ultimo. La soluzione è un NDA back-to-back, in cui i collaboratori esterni assumono verso l’agenzia gli stessi impegni di riservatezza che l’agenzia ha verso il cliente.

Caso 3 – L’azienda tech che apre il sistema a un fornitore. Una PMI affida a un fornitore IT l’integrazione di un nuovo modulo nel proprio gestionale. L’accesso temporaneo al sistema permette al fornitore di vedere banche dati clienti, transazioni, saldi contabili. Qui l’NDA deve coordinarsi con la disciplina privacy: il fornitore va valutato come responsabile del trattamento ex art. 28 GDPR e va predisposto un atto di nomina con istruzioni puntuali. NDA e Data Processing Agreement viaggiano insieme.

Caso 4 – Il content creator che lavora per un brand. Un creator è coinvolto da un brand per un lancio di prodotto sotto embargo. Conosce in anticipo strategia di lancio, prezzi, tempistiche. Un NDA mirato, che includa anche clausole sui canali social e sulla riservatezza del solo fatto che la collaborazione esista, è la misura minima per gestire il rischio reputazionale e commerciale.

Caso 5 – L’imprenditore che valuta un’acquisizione. In un’operazione di acquisto di partecipazioni, prima di accedere alla data room e avviare la due diligence, le parti firmano un NDA reciproco. L’accordo copre non solo i dati operativi e finanziari della società target, ma anche l’esistenza stessa della trattativa. Una rivelazione anticipata può compromettere relazioni con clienti, fornitori, dipendenti e mercato.

In breve:

  • L’NDA è uno strumento essenziale per qualsiasi impresa digitale che condivida informazioni riservate con investitori, fornitori, freelance o partner: senza accordo scritto, la tutela legale del know-how è incerta e spesso insufficiente.
  • La definizione di “Informazioni Riservate” è il cuore dell’accordo: deve essere puntuale e mai generica, perché formule troppo ampie rischiano di essere considerate clausole di stile prive di reale valore precettivo.
  • L’NDA, a differenza del patto di non concorrenza, non ha limiti temporali legali: può durare anche a tempo indeterminato, fintanto che le informazioni mantengono carattere riservato ai sensi degli artt. 98 e 99 CPI.
  • La clausola penale ex art. 1382 c.c. è altamente consigliata: solleva dall’onere della prova del danno e ha effetto deterrente, ma va calibrata per evitare riduzioni giudiziali ex art. 1384 c.c.
  • Per dipendenti e collaboratori esterni l’NDA integra e specifica gli obblighi legali (art. 2105 c.c.) o, nei rapporti autonomi, supplisce a una disciplina codicistica generica e di scarsa efficacia operativa.
  • L’avvento dell’AI generativa impone un aggiornamento dei modelli NDA: senza clausole specifiche su training, prompt e tool consentiti, le informazioni rischiano di entrare in flussi non controllabili.
  • L’NDA non basta da solo: deve inserirsi in un sistema di misure endoaziendali (policy, regolamenti, controllo degli accessi, password, archivi protetti) ed esoaziendali coerente, condizione necessaria per dimostrare l’adozione di “misure ragionevolmente adeguate” alla tutela del segreto.

Proteggi il know-how della tua impresa con un accordo di riservatezza realmente efficace.

Stesura e revisione su misura per tutelare la tua attività.

  • Indice dei Contenuti

Altre guide che potrebbero interessarti

Rimani informato su tutte le novità di questo affascinante mondo

Diritto digitale

Il Modello 231: cos’è, a cosa serve e perché la tua azienda ne ha bisogno

Eventi

ctrl/shift 2026: dal 13 al 15 giugno a Napoli il summit internazionale su AI, Quantum e Web3

Diritto digitale

Accessibilità sito web: cosa devi fare per essere a norma con l’European Accessibility Act

Nuove tecnologie

Prodotti connessi IoT e contratti di condivisione dati: gli obblighi del Data Act per aziende e produttori

Nuove tecnologie

Switching tra fornitori cloud: gli obblighi del Data Act per chi usa servizi SaaS e IaaS

Nuove tecnologie

Data Act: la guida operativa per le aziende

Intelligenza artificiale, Nuove tecnologie

FRIA, la valutazione d’impatto sui diritti fondamentali: cosa fare prima del 2 agosto 2026

Intelligenza artificiale, Nuove tecnologie

Opt-out TDM e riserva dei diritti: come proteggere i contenuti web dal training delle IA generative

Intelligenza artificiale, Nuove tecnologie

AI Act e diritto d’autore: cosa cambia per provider di modelli GPAI e titolari di contenuti

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Cliccando sul pulsante “INVIA” confermi di aver preso visione della Privacy Policy e acconsenti al trattamento dei dati personali forniti, esclusivamente per dare seguito alla tua richiesta.