Contratti di sicurezza: cosa è legittimo pretendere
Durante un workshop organizzato dal Clusit (Associazione Italiana per la Sicurezza Informatica), è stato sollevato e analizzato lo spinoso problema della stipula dei contratti nell’ambito della Sicurezza Informatica. L’avvio della discussione ha preso spunto da una domanda semplice ma fondamentale: “che cosa il Committente può ragionevolmente pretendere e che cosa il Fornitore deve ragionevolmente garantire”. Se ci si pensa bene, il problema di stipulare un contratto di consulenza per lo sviluppo di soluzioni di sicurezza è tutt’altro che banale e comprende numerosi aspetti piuttosto delicati, che vanno dalla gestione dei dati sensibili, con i quali si deve entrare in contatto, alla certezza che, comunque, qualsiasi soluzione di sicurezza non potrà mai essere considerata infallibile.
Prendiamo ad esempio il trattamento dei dati sensibili in possesso della società che ha richiesto l’implementazione di una soluzione di sicurezza. Ovviamente, i dati presenti negli archivi della società costituiscono il bene aziendale più importante e richiederanno gli sforzi di protezione maggiori. Spesso, però, si rende necessario consentire l’accesso ai dati sensibili da parte del personale del Fornitore, e quindi, a personale esterno all’azienda. Ricordiamo che il trattamento dei dati sensibili è regolato da una precisa normativa e precisamente dalla legge 675/96, che prevede pesanti sanzioni penali nel caso in cui tali dati non siano adeguatamente protetti. A questo punto ci troviamo già di fronte ad alcuni paradossi.
Se per proteggere adeguatamente i dati sensibili in mio possesso devo permettere a persone esterne all’azienda di accedervi, come potrò regolamentare la questione a livello contrattuale? La situazione è ulteriormente complicata dal fatto che la legge 675/96 classifica la gestione dei dati personali come “attività pericolosa”, in applicazione dell’art. 2050 c.c. Questa classificazione impatta sul concetto di “limitazione di responsabilità” normalmente compreso nei contratti di sicurezza informatica. Chi dei due interlocutori dovrà risponderne? L’azienda che ha avuto la custodia dei dati dai legittimi proprietari o il fornitore della soluzione di sicurezza al quale sono stati temporaneamente affidati? Il concetto di “limitazione di colpa” ci introduce automaticamente al secondo grande problema dei contratti di sicurezza.
Se in tale settore vi è una certezza, è proprio quella che nessuna soluzione, per quanto solida e impenetrabile, può garantire un’inviolabilità del 100%. Disponendo di tempo e risorse sufficienti, non vi è un sistema di sicurezza che prima o poi non possa essere violato. Partendo da questa affermazione potrebbe svilupparsi un discorso infinito che esula dagli scopi di questo articolo. Il concetto di base è che difficilmente si troverà un fornitore in grado di dichiarare con assoluta certezza che la soluzione di sicurezza che sta proponendo è sicura al 100%. D’altro canto, il cliente a fronte del pagamento di una somma cospicua e della necessità di “sentirsi sicuro” pretenderà proprio una sicurezza del 100%. Anche in questo caso ci troviamo di fronte a una situazione delicatissima che dovrà in qualche modo essere tradotta a livello contrattuale e che ci rimanda alla domanda dalla quale ha preso spunto questa discussione: “che cosa il Committente può ragionevolmente pretendere e che cosa il Fornitore deve ragionevolmente garantire?”.
Durante il workshop CLUSIT si è quindi cercato di capire come possa essere classificato, e quindi regolamentato, il rapporto che si viene a istaurare tra l’azienda che ha richiesto la fornitura di una struttura di sicurezza per la protezione dei propri dati e il Fornitore che dovrà provvedere alla sua implementazione. Una delle conclusioni proposte a questo problema è stata quella di classificare il contratto stipulato tra le parti come obbligazione di mezzi e non di risultato. Innanzi tutto vediamo quale differenza sussiste tra le due tipologie di obbligazioni. Per obbligazione di risultato si intende una obbligazione avente ad oggetto il risultato dell’attività posta in essere dal soggetto cui è richiesta; conseguenza è che l’adempimento, inteso come esatta esecuzione della prestazione dovuta, coincide con la piena realizzazione dello scopo perseguito dal soggetto che ha diritto alla prestazione. Al contrario si ha una obbligazione di mezzi quando l’oggetto dell’obbligazione consiste nel comportamento diligente da parte di colui che deve realizzarla, il quale si impegna ad impiegare tutti i mezzi idonei affinché si realizzi un risultato  a prescindere che poi quest’ultimo si abbia o meno. Di conseguenza, tale obbligazione per essere considerata realizzata non implica un raggiungimento di un risultato ma obbliga  in merito alle modalità della prestazione. Alla luce di quanto sopra, vediamo quali sono le conseguenze giuridiche qualora la fornitura di un sistema di sicurezza informatica si configuri quale obbligazione di mezzo o quale obbligazione di risultato.
Nel primo caso, una volta adottate tutte le misure tecniche conosciute e conoscibili allo stato attuale, il fornitore può considerare di essere adempiente. La violabilità del sistema potrà avvenire solo successivamente in connessione con uno sviluppo tecnologico inarrestabile che caratterizza tutto il mondo informatico. Pertanto, appare ragionevole che il compratore  comprenda  di essere preservato da attacchi esterni solo per un tempo apprezzabile ma non vita natural durante. E proprio tenendo conto dell’elemento temporale, ovvero di un obbligo per il fornitore di dotare il compratore di un sistema di sicurezza che sia idoneo a scongiurare attacchi indesiderati per lo meno alla luce di quanto conoscibile e conosciuto, taluni considerano la fornitura in oggetto obbligazione di risultato, in quanto tale fornitura deve essere in grado di scongiurare – nel momento “storico” in cui viene installato – attacchi da parte di soggetti estranei al sistema, secondo le conoscenze informatiche che si hanno  al momento della realizzazione  del sistema stesso. Nell’incertezza di una mancata esatta qualificazione giuridica dell’obbligazione che stiamo analizzando, taluni hanno avanzato quale  potenziale soluzione all’apparente mancanza di tutela del compratore rispetto alla fornitura di sistemi di sicurezza, l’inserimento delle parti nel contratto di fornitura di una clausola contenente la garanzia di buon funzionamento, la quale agisce indipendentemente rispetto alle regole previste per la normale garanzia attinente i vizi della cosa venduta, consentendo al compratore di essere maggiormente tutelato.  Tale clausola produce dunque effetti solo se espressamente prevista e fa assumere al contratto la qualifica di obbligazione di risultato.  Ex art. 1512 codice civile, l’apposizione di questa clausola consente al compratore di denunciare il vizio entro 30 giorni dalla scoperta (ovvero dandone comunicazione scritta al venditore) prescrivendosi l’azione entro 6 mesi.  A tale richiesta il fornitore potrà alternativamente rispondere con una sostituzione o dove possibile riparando il bene in relazione al vizio lamentato. Secondo altri, centrale è il momento della trattativa pre-negoziale. Il codice civile stabilisce all’art. 1337 che le parti contraenti nello svolgimento delle trattative e nella formazione del contratto si comportino secondo buona fede. Questo principio  impone alle parti contraenti di assumere obblighi reciproci di lealtà, solidarietà e trasparenza che si realizzano laddove  in particolare il fornitore, soggetto generalmente più preparato in materia informatica, dia una consulenza ed una informazione capaci di permettere al compratore di aver un quadro del prodotto reale, comprendendone gli eventuali punti vulnerabili del sistema. Dopo quanto illustrato sopra, possiamo ora determinare a conti fatti, come sia alla fine qualificabile il contratto di fornitura di un sistema di sicurezza informatica. Ragionevolezza e esperienza giuridica dottrinale e giurisprudenziale propendono per qualificarlo come una obbligazione di risultato. In occasione però dell’oggetto del contratto e della particolarità della materia può applicarsi al fornitore  una ipotesi di esclusione della responsabilità prevista dal legislatore nel caso in cui lo stato delle conoscenze scientifiche e tecniche, al momento in cui il produttore ha messo in circolazione il prodotto, non permetteva ancora di considerare il prodotto come difettoso. Ciò trae ovviamente origine dal fatto che caratteristica primaria del settore informatico è la continua evoluzione tecnologica. Tale esimente opera solo ed esclusivamente qualora ricorrano due presupposti, ovvero che il prodotto sia già commercializzato e che l’evoluzione scientifico-tecnologica, che avrebbe consentito la scoperta del vizio, fosse sconosciuta al produttore (dovendo altrimenti configurarsi una malafede dello stesso avendo fornito un prodotto nella consapevolezza dell’inefficacia dello stesso).
Infine, ultimo suggerimento giuridico è l’inserimento nel contratto di fornitura del sistema della previsione di un servizio di aggiornamento che consenta all’utente di essere costantemente protetto anche dinanzi all’evoluzione tecnologica non “domabile” sin dal rilascio del prodotto da parte del fornitore. Con tutti questi accorgimenti avremo da una parte un compratore costantemente tutelato e dall’altra un fornitore al quale sarà consentito di soddisfare il cliente proteggendo costantemente il suo sistema.

0 Comments

Leave a reply

CONTATTACI

Siamo a tua disposizione per qualsiasi domanda inerente il sito. Scrivi qui la tua richiesta e ti risponderemo appena possibile. Lo Staff di Consulenti Tecnici.

Sending

©2015 Tutti i diritti riservati. Webdesign by Housegrafik

Log in with your credentials

or    

Forgot your details

Create Account