Il modello Software as a Service (SaaS) è diventato la spina dorsale di gran parte delle soluzioni digitali moderne: CRM, piattaforme di e-commerce, sistemi di gestione documentale, applicazioni di analisi dati e molto altro vengono ormai erogati come servizio via internet, anziché come prodotto installato in locale.

Questo cambio di paradigma porta enormi vantaggi: accessibilità da qualsiasi dispositivo, aggiornamenti costanti, costi di ingresso ridotti. Ma modifica anche radicalmente le regole del gioco sul piano contrattuale. Non si tratta più di “vendere” un software, bensì di regolare l’accesso e l’uso di un servizio che si appoggia all’infrastruttura del fornitore, con implicazioni legali su proprietà dei dati, sicurezza, livelli di servizio (SLA), aggiornamenti e modalità di recesso.

Troppo spesso, però, le aziende – sia nel ruolo di clienti che di fornitori – sottovalutano la complessità di un contratto SaaS. Vengono utilizzati modelli generici, presi da internet o riadattati da contratti di licenza tradizionali, senza tenere conto delle specificità del cloud. Il risultato è un terreno fertile per dispute su tempi di disponibilità del servizio, perdita o blocco dei dati, modifiche unilaterali delle condizioni, o limiti d’uso non chiaramente comunicati.

Un contratto SaaS ben strutturato deve quindi bilanciare:

  • Protezione per il cliente: chiarezza su funzionalità, uptime garantito, tutela dei dati e possibilità di portabilità in caso di recesso.
  • Tutela per il fornitore: gestione corretta delle responsabilità, limiti d’uso, aggiornamenti pianificati, protezione della propria infrastruttura e proprietà intellettuale.

In questo articolo analizzeremo in dettaglio tutte le clausole essenziali di un contratto SaaS, dalla descrizione del servizio fino alle modalità di recesso, passando per SLA, proprietà dei dati, sicurezza, aggiornamenti e compliance normativa (GDPR, D.Lgs. 70/2003, Digital Services Act). Forniremo esempi concreti e riferimenti a norme ufficiali, così da offrire una guida pratica per chiunque debba redigere, negoziare o firmare un accordo di questo tipo.

1. Modello SaaS e inquadramento giuridico

1.1. Che cos’è il SaaS e come funziona dal punto di vista legale

Il Software as a Service (SaaS) è un modello di erogazione del software in cui il cliente non riceve una copia del programma da installare sul proprio computer, ma accede via internet a un’applicazione ospitata sui server del fornitore. Il software, le risorse di calcolo e i dati risiedono in un’infrastruttura centralizzata gestita dal provider, che ne cura manutenzione, aggiornamenti e sicurezza.

Dal punto di vista giuridico, questo significa che l’oggetto del contratto non è la cessione di un bene (come nel caso di una licenza “on-premise”), bensì la fornitura di un servizio continuativo. Il cliente acquista un diritto di utilizzo temporaneo, condizionato al rispetto di determinate clausole contrattuali, e quasi sempre legato al pagamento di un canone periodico.

Esempi di SaaS noti includono:

  • CRM come Salesforce o HubSpot
  • Suite collaborative come Microsoft 365 o Google Workspace
  • Piattaforme di gestione e-commerce come Shopify

In tutti questi casi, il cliente non “possiede” il software: ne usufruisce secondo termini predefiniti, che devono essere chiari e trasparenti per evitare incomprensioni o contenziosi.

1.2. Differenze con licenze on-premise e contratti di sviluppo personalizzato

Nel modello tradizionale on-premise, il cliente ottiene una licenza d’uso per installare e utilizzare il software sui propri server o dispositivi. La proprietà del codice rimane quasi sempre allo sviluppatore, ma il controllo operativo dell’infrastruttura è in mano al cliente.
Nel SaaS, invece:

  • L’infrastruttura è gestita dal fornitore → il cliente non ha accesso diretto ai server.
  • Aggiornamenti e manutenzione sono centralizzati → il cliente non può rifiutare un aggiornamento.
  • Disponibilità e performance dipendono dal provider → qui entrano in gioco gli SLA (Service Level Agreement).

Il contratto SaaS deve quindi regolare con attenzione aspetti come uptime, tempi di intervento, continuità del servizio, oltre a definire cosa accade in caso di interruzioni o modifiche delle funzionalità.

1.3. Formazione del contratto SaaS e normativa applicabile

La maggior parte dei contratti SaaS viene conclusa online, con modalità “point-and-click” o “click-wrap” in cui l’utente accetta termini e condizioni spuntando una casella o cliccando su un pulsante.

In Italia, la conclusione di contratti per via elettronica è regolata dal D.Lgs. 70/2003 (attuazione della Direttiva europea sul commercio elettronico). Tra gli obblighi principali per il fornitore vi sono:

  • Fornire informazioni chiare prima della conclusione del contratto (identità, caratteristiche del servizio, prezzo, modalità di pagamento, diritto di recesso se applicabile).
  • Consentire la memorizzazione e riproduzione del testo contrattuale.
  • Confermare l’ordine senza ingiustificato ritardo.

Un aspetto critico è quello delle clausole vessatorie (ad esempio limitazioni di responsabilità, esclusione di garanzie, rinnovi taciti vincolanti): secondo il Codice Civile e il Codice del Consumo, per essere valide devono essere approvate specificamente per iscritto. In un flusso online, ciò implica che il fornitore deve adottare meccanismi che permettano all’utente di prendere visione e accettare consapevolmente tali clausole, non semplicemente “nascoste” in un link.

1.4. Normativa complementare e contesto europeo

Oltre al D.Lgs. 70/2003, un contratto SaaS può richiamare o essere influenzato da:

  • GDPR (Reg. UE 2016/679) → disciplina il trattamento dei dati personali, imponendo obblighi specifici a fornitori e clienti.
  • Codice del Consumo (D.Lgs. 206/2005) → nei rapporti B2C, soprattutto se il servizio è “gratuito” ma prevede il trattamento di dati personali come corrispettivo (art. 135-octies).
  • Digital Services Act (Reg. UE 2022/2065) → se il SaaS rientra nella categoria di “servizi intermediari” (es. ospita contenuti generati dagli utenti), impone obblighi di trasparenza e gestione delle segnalazioni.

2. Clausole essenziali del contratto SaaS

Un contratto SaaS ben scritto deve prevedere in modo chiaro e dettagliato cosa viene fornito, a quali condizioni, con quali livelli di servizio e quali diritti e obblighi hanno le parti.

Di seguito analizziamo le clausole principali, con esempi pratici.

2.1. Oggetto del servizio e livelli di funzionalità

L’oggetto del contratto deve specificare:

  • Funzionalità incluse (es. moduli CRM, reportistica, API, integrazioni)
  • Limiti del servizio (numero di utenti, spazio di archiviazione, richieste API al giorno)
  • Versione del software: importante se il SaaS offre piani diversi con funzioni attivabili/disattivabili.

Esempio: “Il servizio consente la gestione di fino a 50.000 record cliente e l’accesso a 10 utenti simultanei. L’uso oltre questi limiti richiede un upgrade di piano.”

2.2. Condizioni d’uso

Questa sezione disciplina come il cliente può utilizzare il servizio:

  • Creazione e gestione degli account
  • Uso lecito e conforme alle leggi applicabili
  • Divieto di reverse engineering, scraping, uso fraudolento o eccessivo (“fair use”)
  • Regole per la condivisione delle credenziali

Nota: In caso di violazione delle condizioni d’uso, il provider può prevedere sospensioni temporanee o risoluzione immediata del contratto, ma deve indicarlo esplicitamente.

2.3. Service Level Agreement (SLA)

Il Service Level Agreement è il cuore operativo del contratto SaaS. Stabilisce:

  • Uptime garantito (es. 99,9% mensile)
  • Tempi di risposta e tempi di ripristino (MTTR) per incidenti di diversa gravità
  • Finestre di manutenzione programmata e modalità di comunicazione al cliente
  • Crediti o penali in caso di mancato rispetto degli SLA

Esempio: “Per downtime superiore a 4 ore mensili, il cliente avrà diritto a un credito pari al 10% del canone mensile per ogni ulteriore ora di disservizio.”

2.4. Aggiornamenti e manutenzione

A differenza del software installato, nel SaaS gli aggiornamenti sono centralizzati e spesso obbligatori. Il contratto deve distinguere:

  • Manutenzione correttiva → fix di bug o vulnerabilità
  • Manutenzione adeguativa → adattamento a modifiche normative o tecniche
  • Manutenzione evolutiva → aggiunta di nuove funzionalità
  • Manutenzione migliorativa → ottimizzazioni delle prestazioni

Nota: È importante chiarire se gli aggiornamenti evolutivi sono inclusi nel prezzo o soggetti a costi aggiuntivi.

2.5. Proprietà dei dati e diritto alla portabilità

Tema centrale: chi è proprietario dei dati caricati dal cliente e cosa succede alla cessazione del contratto.

  • In un SaaS ben regolato, la titolarità dei dati rimane al cliente
  • Il fornitore può avere una licenza d’uso limitata per fornire il servizio
  • Deve essere previsto un diritto alla portabilità dei dati (art. 20 GDPR per dati personali)
  • Importante: definire tempi e modalità di export, formati disponibili e eventuali costi

2.6. Sicurezza informatica e data breach

Il contratto dovrebbe indicare:

  • Standard di sicurezza adottati (es. crittografia AES-256, certificazioni ISO 27001)
  • Procedure di backup e disaster recovery
  • Tempi massimi di notifica in caso di violazione dei dati personali (GDPR: senza ingiustificato ritardo e preferibilmente entro 72 ore)
  • Responsabilità per danni derivanti da falle di sicurezza

2.7. Prezzi, fatturazione e modifiche tariffarie

  • Canone mensile/annuale, modalità di pagamento e scadenze
  • Possibilità di indicizzare i prezzi (es. inflazione) o rimodulare i piani
  • Politica per versioni “freemium” o piani gratuiti dove i dati sono corrispettivo (art. 135-octies Codice del Consumo)

2.8. Durata, rinnovo e recesso

  • Durata iniziale del contratto (es. 12 mesi)
  • Rinnovo automatico o manuale, con preavviso minimo
  • Cause di recesso anticipato (es. violazione SLA, inadempimento grave)
  • Conseguenze operative del recesso: assistenza per migrazione dati, cancellazione sicura

2.9. Limitazioni di responsabilità

  • Limiti quantitativi (es. fino al 100% del canone annuo)
  • Esclusione di danni indiretti (perdita di profitto, dati, reputazione)
  • Eccezioni: dolo o colpa grave non limitabili

3. Dati e privacy nel SaaS

La gestione dei dati è uno degli aspetti più sensibili in un contratto SaaS, soprattutto quando si tratta di dati personali o informazioni aziendali strategiche. L’architettura stessa del modello SaaS, in cui i dati sono ospitati sui server del fornitore, rende indispensabile regolare con precisione diritti, obblighi e garanzie.

3.1. Ruoli GDPR e responsabilità

Ai sensi del Regolamento UE 2016/679 (GDPR), bisogna individuare con chiarezza i ruoli delle parti:

  • Cliente → generalmente è il Titolare del trattamento, cioè decide finalità e mezzi del trattamento dei dati personali.
  • Fornitore SaaS → opera quasi sempre come Responsabile del trattamento, trattando i dati per conto del cliente.
  • In alcuni casi particolari (es. piattaforme che utilizzano i dati anche per finalità proprie), il fornitore può essere Contitolare o Titolare autonomo per determinate attività, con obblighi aggiuntivi.

Questa distinzione non è solo formale: determina obblighi specifici, come la necessità di un Data Processing Agreement (DPA) conforme all’art. 28 GDPR.

3.2. Contenuto minimo del DPA

Il DPA deve includere almeno:

  • Oggetto e durata del trattamento
  • Natura e finalità del trattamento
  • Tipologie di dati personali e categorie di interessati
  • Obblighi e diritti del Titolare
  • Misure di sicurezza tecniche e organizzative adottate dal fornitore
  • Regole per il ricorso a sub-responsabili (sub-processors) e modalità di approvazione
  • Procedure per la gestione delle richieste di esercizio dei diritti degli interessati

Un DPA ben fatto è un allegato imprescindibile del contratto SaaS.

3.3. Conservazione, backup e restituzione dei dati

Il contratto deve specificare:

  • Politiche di conservazione dei dati durante e dopo la vigenza del contratto
  • Frequenza e modalità dei backup
  • Formati di esportazione dei dati (preferibilmente aperti e standard)
  • Tempi e modalità di restituzione dei dati al termine del rapporto
  • Cancellazione sicura dei dati dai sistemi del fornitore, con eventuale certificazione di avvenuta eliminazione

Queste previsioni sono fondamentali per evitare fenomeni di vendor lock-in.

3.4. Trasferimenti di dati extra-UE

Se il fornitore SaaS o uno dei suoi sub-processors tratta dati al di fuori dello Spazio Economico Europeo, il contratto deve indicare:

  • Quali paesi sono coinvolti
  • Quali garanzie vengono applicate (es. Clausole Contrattuali Standard – SCC, decisioni di adeguatezza della Commissione UE)
  • Misure supplementari di sicurezza, come la cifratura dei dati a riposo e in transito

Trasparenza su questi aspetti è cruciale per la conformità al GDPR.

3.5. B2C e dati come corrispettivo

Per i servizi SaaS offerti gratuitamente a consumatori (modello freemium o free trial con raccolta dati personali), trova applicazione l’art. 135-octies del Codice del Consumo, che equipara i dati personali forniti dal consumatore a un corrispettivo. Questo comporta:

  • Obbligo di informativa chiara e completa
  • Riconoscimento di diritti analoghi a quelli previsti per i contratti a pagamento (es. recesso)
  • Divieto di utilizzare i dati per finalità ulteriori senza consenso
Proteggi i tuoi contratti con AvvocatiTech

Stesura e revisione su misura per tutelare la tua attività.

4. SLA (Service Level Agreement) nei contratti SaaS

Il Service Level Agreement è il documento o la sezione del contratto che definisce in termini misurabili gli standard di qualità che il fornitore si impegna a garantire e i rimedi previsti in caso di mancato rispetto. In un contratto SaaS, l’SLA è particolarmente importante perché il cliente non ha il controllo diretto sull’infrastruttura e dipende interamente dal provider per la disponibilità e le prestazioni del servizio.

4.1. Perché l’SLA è centrale

L’SLA traduce in parametri concreti ciò che il marketing promette: non basta dire “servizio affidabile” o “supporto rapido”, serve stabilire:

  • Quali metriche verranno monitorate
  • Quali sono i valori minimi garantiti
  • Come verrà misurato il rispetto di tali valori
  • Quali sono le conseguenze in caso di violazione

Senza SLA, il concetto di “disservizio” resta vago e difficile da far valere in sede legale.

4.2. Indicatori di performance comuni

Tra i KPI più usati nei contratti SaaS troviamo:

  • Uptime: percentuale di tempo in cui il servizio è effettivamente disponibile. Valori tipici vanno dal 99% al 99,99% su base mensile.
  • Tempo medio di risposta (MTTR): intervallo tra la segnalazione di un problema e l’inizio dell’intervento.
  • Tempo medio di ripristino (MTTR): intervallo tra la segnalazione di un problema e il completo ripristino del servizio.
  • Throughput o capacità: prestazioni minime garantite (es. velocità di risposta API).
  • Tempo di risposta del supporto: tempi massimi entro cui il team di assistenza risponde a una richiesta.

Ogni indicatore deve essere accompagnato da una definizione chiara e da una metodologia di calcolo.

4.3. Penali e compensazioni

Gli SLA efficaci prevedono rimedi in caso di violazioni, che possono essere:

  • Crediti di servizio: sconto sul canone futuro proporzionale all’entità del disservizio.
  • Rimborsi diretti: meno comuni, ma possibili nei contratti enterprise.
  • Risoluzione per giusta causa: se le violazioni SLA sono gravi o ripetute.

È buona prassi indicare una tabella di correlazione tra livello di disservizio e rimedio applicato.

4.4. Monitoraggio e reportistica

Il contratto dovrebbe stabilire:

  • Chi misura le performance (fornitore, terza parte indipendente o entrambi)
  • Con quale frequenza vengono prodotti i report SLA
  • Come il cliente può accedere ai dati di monitoraggio
  • Procedure per contestare i report in caso di discrepanze

Trasparenza e accessibilità dei dati di monitoraggio aumentano la fiducia e riducono il rischio di dispute.

5. Aggiornamenti e modifiche del servizio

Uno degli aspetti distintivi del modello SaaS è che gli aggiornamenti sono gestiti in modo centralizzato dal fornitore e si applicano automaticamente a tutti gli utenti. Questo garantisce correzione tempestiva di bug, miglioramenti di sicurezza e introduzione di nuove funzionalità, ma può anche generare criticità se il cambiamento incide sulle modalità d’uso o sui costi.

5.1. Aggiornamenti di sicurezza e obblighi di compatibilità

Gli aggiornamenti di sicurezza sono interventi essenziali per proteggere i dati e mantenere l’integrità del sistema. Nel contratto è utile specificare:

  • Frequenza minima degli aggiornamenti di sicurezza
  • Tempi massimi per la correzione di vulnerabilità critiche
  • Obbligo per il fornitore di mantenere la compatibilità con sistemi e browser supportati al momento della firma del contratto, per un periodo minimo garantito

Questo evita che un aggiornamento renda improvvisamente inutilizzabile il servizio su infrastrutture ancora in uso da parte del cliente.

5.2. Nuove funzionalità e impatto sui prezzi

Le funzionalità evolutive possono arricchire il servizio ma, in alcuni casi, portare a:

  • Aumento del canone
  • Modifica dei piani tariffari
  • Spostamento di funzioni esistenti in piani più costosi

Per questo è consigliabile prevedere clausole che:

  • Limitino la possibilità di rimuovere o spostare funzionalità già incluse nel piano sottoscritto
  • Impongano un preavviso minimo (es. 60 giorni) in caso di variazioni di prezzo
  • Consentano al cliente di recedere senza penali se le modifiche incidono significativamente sull’uso del servizio

5.3. Modifiche unilaterali delle condizioni contrattuali

Nel modello SaaS è comune che i Termini di Servizio (ToS) possano essere modificati dal fornitore. Tuttavia, la legge e la buona prassi richiedono:

  • Notifica preventiva delle modifiche (es. via email o dashboard)
  • Evidenziazione delle variazioni più rilevanti
  • Possibilità per il cliente di rifiutare le modifiche e recedere senza costi entro un certo periodo

In ambito B2C, il Codice del Consumo impone che le modifiche unilaterali siano giustificate da motivi legittimi indicati chiaramente nel contratto e comunicate con preavviso adeguato.

6. Rischi legali ed errori da evitare

Anche un contratto SaaS apparentemente completo può nascondere insidie che emergono solo quando si verifica un problema operativo o legale. Individuare e prevenire questi rischi in fase di negoziazione è molto più semplice ed economico che affrontarli durante un contenzioso.

6.1. Mancanza di chiarezza sulla proprietà dei dati

Se il contratto non stabilisce esplicitamente che il cliente resta proprietario dei dati caricati sulla piattaforma, il fornitore potrebbe:

  • Trattare i dati per finalità proprie non autorizzate
  • Rifiutare o limitare l’export alla cessazione del contratto
  • Conservare i dati più a lungo del necessario

Soluzione: clausola chiara di titolarità e diritto alla portabilità, con tempistiche e formati di restituzione definiti.

6.2. SLA vaghi o inesistenti

Senza parametri misurabili e rimedi specifici, l’“affidabilità” promessa resta un concetto astratto.

Esempio: il contratto indica “servizio disponibile la maggior parte del tempo” senza uptime percentuale né penali.
Soluzione: inserire valori numerici, procedure di monitoraggio e tabelle di compensazione.

6.3. Clausole di recesso penalizzanti o poco chiare

Alcuni contratti prevedono:

  • Preavvisi lunghi e sproporzionati (es. 120 giorni)
  • Penali elevate in caso di recesso anticipato
  • Nessuna assistenza per il recupero dati dopo la cessazione

Soluzione: prevedere un recesso bilanciato e un piano di off-boarding chiaro.

6.4. Aggiornamenti che peggiorano il servizio

Nei SaaS, il fornitore può modificare funzionalità o interfacce senza preavviso sufficiente, causando disagi o costi imprevisti per il cliente.
Soluzione: inserire un obbligo di preavviso e il diritto di recedere se le modifiche hanno impatto significativo.

6.5. Mancata conformità GDPR nella gestione dei dati

L’assenza di un DPA o di misure adeguate per trasferimenti extra-UE può comportare:

  • Sanzioni fino a 20 milioni di euro o al 4% del fatturato globale
  • Perdita di fiducia da parte degli utenti
  • Interruzione forzata del servizio per blocchi normativi

Soluzione: includere un DPA completo e verificare la catena dei sub-processors.

Conclusione

Il contratto SaaS è molto più di un insieme di clausole standard: è l’architettura legale che sostiene l’intero rapporto tra cliente e fornitore, regolando non solo l’accesso al software, ma anche la gestione dei dati, la qualità del servizio, la sicurezza e le modalità di recesso.

Un documento ben redatto permette di prevenire dispute, tutelare investimenti, garantire continuità operativa e assicurare che le aspettative di entrambe le parti siano allineate.
Nel panorama digitale attuale, in cui le soluzioni SaaS sono ormai alla base di processi critici per aziende e professionisti, un contratto su misura è un investimento di sicurezza e non un costo superfluo.

Per questo, prima di firmare o proporre un contratto SaaS, è consigliabile:

  • Effettuare una valutazione tecnica e legale congiunta
  • Analizzare SLA, DPA e clausole di aggiornamento
  • Valutare la portabilità e la protezione dei dati
  • Prevedere scenari di uscita ordinata (off-boarding)

In breve: Contratto Saas

  • Definisci in modo preciso oggetto, funzionalità e limiti del servizio
  • Inserisci SLA misurabili con rimedi chiari
  • Regola proprietà e portabilità dei dati, con un DPA completo
  • Prevedi piani di aggiornamento e regole per modifiche contrattuali
  • Assicura un processo di off-boarding e cancellazione sicura dei dati
  • Stabilisci penali e responsabilità in modo equilibrato
Proteggi i tuoi contratti con AvvocatiTech

Stesura e revisione su misura per tutelare la tua attività.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Contratti, Guide Legali

Work for Equity: un modello di collaborazione per l’innovazione

Contenzioso, Contratti, Guide Legali

Fuffaguru: chi sono, come riconoscerli e come difendersi

Contratti, Guide Legali, Nuove tecnologie

Il contratto di licenza d’uso del software: guida pratica per aziende e sviluppatori

Contratti, Guide Legali, Nuove tecnologie

Contratti SaaS: guida legale a SLA, dati e aggiornamenti

Eventi, Nuove tecnologie

Intelligenza Artificiale e Confini della Mente: il 16 giugno a Napoli un evento che unisce diritto, neuroscienze e innovazione

Contratti, Guide Legali, Nuove tecnologie

Contratti di sviluppo software: come tutelarsi tra bug, codice e proprietà

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Il nostro approccio al lavoro

Ti guidiamo passo dopo passo con soluzioni legali su misura che rispondono alle tue esigenze specifiche.

Step 1

Videocall conoscitiva gratuita

La sessione iniziale ci permette di identificare i punti chiave e delineare un piano d’azione.

Step 2

Preventivo chiaro

Dopo aver compreso le Tue necessità, Ti forniremo un preventivo dettagliato di ogni costo.

Step 3

Iniziamo la collaborazione

Una volta firmato l’incarico, daremo inizio alla collaborazione con un approccio strutturato.