BLOG

17 Agosto 2022

Clausole penali e risarcimento danni nelle SLA dei servizi di Hosting

Qual รจ il risarcimento dei danni per un hosting che perde i vostri dati? Tocchiamo dal vivo un argomento poco conosciuto dai clienti e poco trattato dai fornitori.

service level agreement Hosting

C’รจ un aspetto poco conosciuto sia per il cliente che per i fornitori inerentemente ai diritti che un cliente ha nel momento in cui ad esempio si trova il sito hackerato, compromesso, offline, o addirittura irrimediabilmente perso.

Mentre per i primi tre casi, l’evenienza รจ abbastanza frequente in base al tipo di manutenzione, ad esempio, e al tipo di connettivitร , la perdita totale del sito in modo irrimediabile รจ cosa fortunatamente piuttosto rara, sebbene non impossibile come abbiamo ad esempio visto con il triste incendio di OVH diversi mesi orsono, che hanno in qualche modo aperto e chiuso altrettanto velocemente un dibattito su quali sarebbero stati i risarcimenti per quei milioni di utenti che hanno perso irrimediabilmente i loro siti.

Tra chi invocava condanne penali per l’amministratore delegato, e chi mostrava improbabili esercizi di stile nel campo del diritto tirando in ballo il codice al consumo e la GDPR, alla fine รจ stato evidente che tutti gli sforzi ufficiosi ed ufficiali sono stati liquidati, rimandando ad una lenta ed efficace lettura e comprensione del contratto sottoscritto in tutte le parti che non offriva alcun rimborso o risarcimento danni.

Datacenter OVH Incendio 2021 foto

Al di la del discorso di OVH che ha avuto solo come scopo quello di introdurre un argomento pruriginoso, poco trattato sia dai clienti che dai fornitori, รจ bene dire che in questo articolo non parleremo di un fornitore o un caso particolare, ma capire quale sia la logica alla base di quel “braccio di ferro” tra cliente e fornitore, di cui il primo cerca a tutti i costi di ottenere forme di tutela, garanzia e ristoro del danno maggiore possibile e mentre il fornitore cerca a sua volta di manlevarsi di tutte le responsabilitร  civili e penali.

Ci si trova di fatto di fronte ad uno scaricabarile, laddove qualsiasi esperto di diritto bacchetterebbe la definizione appena data “scaricabarile”, che non troverebbe accoglimento in alcuna aula di tribunale, ma che ben si presta all’introduzione dell’argomento delle responsabilitร  dell’Hosting provider in seguito di un danno al proprio cliente.

SLA o Service Level Agreement cosa significa?

service level agreement (in italiano: accordo sul livello del servizio), in sigla SLA, sono strumenti contrattuali attraverso i quali si definiscono le metriche di servizio (es. qualitร  di servizio) che devono essere rispettate da un fornitore di servizi (provider) nei confronti dei propri clienti/utenti. Di fatto, una volta stipulato il contratto, assumono il significato di obblighi contrattuali.

Un impegno a livello di servizio (SLC) รจ una forma piรน ampia e generalizzata di SLA. I due differiscono perchรฉ uno SLA รจ bidirezionale e coinvolge due squadre. Al contrario, un SLC รจ un obbligo unidirezionale che stabilisce ciรฒ che un gruppo puรฒ garantire ai propri clienti in un dato momento.

Perchรฉ gli SLA sono importanti?

I fornitori di servizi hanno bisogno di SLA per aiutarli a gestire le aspettative dei clienti e definire i livelli di gravitร  e le circostanze in cui non sono responsabili per interruzioni o problemi di prestazioni. I clienti possono anche beneficiare degli SLA perchรฉ il contratto descrive le caratteristiche di prestazione del servizio, che possono essere confrontate con gli SLA di altri fornitori, e stabilisce i mezzi per risolvere i problemi del servizio.

Lo SLA รจ in genere uno dei due accordi fondamentali che i fornitori di servizi hanno con i propri clienti. Molti fornitori di servizi stabiliscono un contratto di servizio principale per stabilire i termini e le condizioni generali in cui lavoreranno con i clienti.

Lo SLA รจ spesso incorporato per riferimento nel contratto di servizio principale del fornitore di servizi. Tra i due contratti di servizio, lo SLA aggiunge una maggiore specificitร  per quanto riguarda i servizi forniti e le metriche che verranno utilizzate per misurarne le prestazioni. Gli impegni di servizio definiscono i servizi inclusi nell’offerta di servizi.

Quando l’outsourcing IT รจ emerso alla fine degli anni ’80, gli SLA si sono evoluti come meccanismo per governare tali relazioni. Gli accordi sul livello di servizio fissano le aspettative per le prestazioni di un fornitore di servizi e stabiliscono sanzioni per il mancato raggiungimento degli obiettivi e, in alcuni casi, bonus per il loro superamento. Poichรฉ i progetti di outsourcing erano spesso personalizzati per un particolare cliente, gli SLA di outsourcing venivano spesso redatti per governare e regolamentare un progetto specifico.

Come servizi gestiti e cloud computing; i servizi diventano piรน prevalenti, gli SLA si evolvono per affrontare i nuovi approcci. I servizi condivisi, piuttosto che le risorse personalizzate, caratterizzano i nuovi metodi di contrattazione; quindi, gli impegni a livello di servizio vengono spesso utilizzati per produrre accordi generali destinati a coprire tutti i clienti di un fornitore di servizi.

Chi ha bisogno di un contratto di servizio?

Si pensa che gli SLA abbiano avuto origine con i fornitori di servizi di rete, ma ora sono ampiamente utilizzati in una vasta gamma di campi legati all’IT. Alcuni esempi di settori che stabiliscono SLA includono fornitori di servizi IT e fornitori di servizi gestiti, nonchรฉ fornitori di servizi Internet e cloud computing.

Le organizzazioni IT aziendali, in particolare quelle che hanno abbracciato la gestione dei servizi IT , stipulano SLA con i propri clienti interni, ovvero gli utenti di altri dipartimenti dell’azienda. Un reparto IT crea uno SLA in modo che i suoi servizi possano essere misurati, giustificati e magari confrontati con quelli dei fornitori in outsourcing.

Componenti chiave di uno SLA

I componenti chiave di un contratto di servizio includono:

Panoramica dell’accordo. Questa prima sezione espone le basi dell’accordo, comprese le parti coinvolte, la data di inizio e un’introduzione generale dei servizi forniti.

Descrizione dei servizi. Lo SLA necessita di descrizioni dettagliate di ogni servizio offerto, in tutte le possibili circostanze, con i tempi di consegna inclusi. Le definizioni dei servizi dovrebbero includere come vengono forniti i servizi, se viene offerto il servizio di manutenzione, quali sono gli orari di funzionamento, dove esistono dipendenze, uno schema dei processi e un elenco di tutte le tecnologie e le applicazioni utilizzate.

Esclusioni. Anche i servizi specifici che non vengono offerti dovrebbero essere chiaramente definiti per evitare confusione ed eliminare spazio per ipotesi di altre parti.

Prestazioni di servizio. Le metriche di misurazione delle prestazioni e i livelli di prestazione sono definiti. Il cliente e il fornitore di servizi dovrebbero concordare un elenco di tutte le metriche che utilizzeranno per misurare i livelli di servizio del fornitore.

Riparare. Il compenso o il pagamento dovrebbero essere definiti se un fornitore non รจ in grado di adempiere adeguatamente al proprio SLA.

Parti interessate. Definisce chiaramente le parti coinvolte nell’accordo e ne stabilisce le responsabilitร .

Sicurezza. Sono definite tutte le misure di sicurezza che saranno adottate dal fornitore del servizio. In genere, ciรฒ include la redazione e il consenso su accordi antibracconaggio, sicurezza IT e non divulgazione.

Gestione del rischio e ripristino di emergenza. I processi di gestione del rischio e un piano di ripristino di emergenza sono stabiliti e comunicati chiaramente.

Monitoraggio e reportistica del servizio. Questa sezione definisce la struttura di rendicontazione, gli intervalli di monitoraggio e le parti interessate coinvolte nell’accordo.

Revisione periodica e processi di cambiamento. Lo SLA e tutti gli indicatori chiave di prestazione ( KPI ) stabiliti dovrebbero essere rivisti regolarmente. Questo processo รจ definito cosรฌ come il processo appropriato per apportare modifiche.

Processo di cessazione. Lo SLA dovrebbe definire le circostanze in cui l’accordo puรฒ essere risolto o scadrร . Dovrebbe essere stabilito anche il periodo di preavviso da entrambe le parti.

Firme. Infine, tutte le parti interessate e i partecipanti autorizzati di entrambe le parti devono firmare il documento per dimostrare la loro approvazione di ogni dettaglio e processo.

Quali sono i tre tipi di SLA?

Esistono tre tipi di base di SLA: contratto del livello di servizio del cliente, interno e multilivello.

Un contratto a livello di servizio clienti รจ tra un fornitore di servizi e i suoi clienti esterni. A volte รจ chiamato contratto di servizio esterno.

In uno SLA basato sul cliente, il cliente e il fornitore di servizi raggiungono un accordo negoziato sui servizi che verranno forniti. Ad esempio, un’azienda puรฒ negoziare con il fornitore di servizi IT che gestisce il proprio sistema di contabilitร  fornitori per definire in dettaglio le proprie specifiche relazioni e aspettative.

Un contratto a livello di servizio clienti include:

  • i dettagli esatti del servizio previsto dal cliente;
  • disposizioni della disponibilitร  del servizio;
  • standard per ogni livello di servizio;
  • le responsabilitร  di ciascuna parte;
  • procedure di escalation; e
  • termini per la cancellazione.

Uno SLA interno รจ tra un’organizzazione e il suo cliente interno: potrebbe trattarsi di un’altra organizzazione, dipartimento o sito.

Ciรฒ significa che, sebbene un’azienda possa avere uno SLA aperto con ciascuno dei suoi clienti, potrebbe anche avere uno SLA separato tra i suoi reparti marketing e vendite.

Ad esempio, il reparto vendite di un’azienda ha quasi โ‚ฌ 10.000 di vendite ogni mese, con ogni vendita del valore di โ‚ฌ 500. Se il tasso di chiusura medio del team di vendita รจ del 20%, le vendite sanno che il marketing deve fornire almeno 100 lead qualificati ogni mese.

Pertanto, il capo del reparto marketing dell’organizzazione puรฒ collaborare con il capo del reparto vendite su uno SLA che prevede che il reparto marketing invierร  100 contatti qualificati al direttore delle vendite entro una data specifica ogni mese.

Questo contratto sul livello di servizio potrebbe prevedere che includerร  quattro rapporti di stato settimanali ogni mese inviati dal marketing alle vendite per garantire che i contatti che il team di vendita sta ottenendo consentano loro di raggiungere il loro obiettivo di vendita mensile.

Uno SLA multilivello dividerร  l’accordo in vari livelli specifici per una serie di clienti che utilizzano il servizio. Ad esempio, un fornitore di software come servizio ( SaaS ) potrebbe offrire servizi di base e supporto a tutti i clienti che utilizzano un prodotto, ma potrebbe anche offrire fasce di prezzo diverse al momento dell’acquisto del prodotto che determinano livelli di servizio diversi. Questi diversi livelli di servizio saranno stratificati nello SLA multilivello.

Esempi di SLA

Un esempio specifico di SLA รจ un contratto sul livello di servizio del data center. Questo SLA includerร :

  • Una garanzia di uptime che indica la percentuale di tempo in cui il sistema รจ disponibile. Niente di meno che un tempo di attivitร  del 99,99% dovrebbe essere considerato accettabile per i moderni data center di livello aziendale.
  • Una definizione di condizioni ambientali adeguate. Ciรฒ dovrebbe includere le pratiche di supervisione e manutenzione, nonchรฉ gli standard di riscaldamento e raffreddamento.
  • La promessa del supporto tecnico. I clienti devono essere certi che il personale del data center risponderร  in modo rapido ed efficace a qualsiasi problema e sarร  disponibile in qualsiasi momento per risolverlo.
  • Precauzioni di sicurezza dettagliate che manterranno al sicuro i beni del cliente. Ciรฒ potrebbe includere misure di sicurezza informatica che proteggono dagli attacchi informatici, nonchรฉ misure di sicurezza fisica che limitano l’accesso al data center al personale autorizzato. Le funzionalitร  di sicurezza fisica potrebbero includere l’autenticazione a due fattori , le voci gated, le telecamere e l’autenticazione biometrica.

Un altro esempio specifico di SLA รจ un contratto sul livello di servizio del provider di servizi Internet. Questo SLA includerร  una garanzia di uptime, ma definirร  anche le aspettative di consegna dei pacchetti e la latenza. La consegna dei pacchetti si riferisce alla percentuale di pacchetti di dati ricevuti rispetto al numero totale di pacchetti di dati inviati. La latenza รจ la quantitร  di tempo necessaria a un pacchetto per viaggiare tra client e server.

Come convalidare i livelli SLA

La verifica dei livelli di erogazione del servizio del fornitore รจ necessaria per l’applicazione di un contratto di servizio. Se lo SLA non venisse adeguatamente adempiuto, il cliente potrebbe essere in grado di richiedere il risarcimento concordato nel contratto.

La maggior parte dei fornitori di servizi rende disponibili le proprie statistiche sul livello di servizio tramite un portale online. Ciรฒ consente ai clienti di monitorare se viene mantenuto il livello di servizio corretto. Se scoprono che non lo รจ, il portale consente anche ai clienti di vedere se hanno diritto a un risarcimento.

Questi sistemi e processi sono spesso controllati da societร  terze specializzate. In tal caso, รจ necessario che anche la terza parte sia inclusa nelle trattative SLA. Ciรฒ fornirร  loro chiarezza sui livelli di servizio che dovrebbero essere monitorati e spiegazioni su come rintracciarli.

Sono inoltre disponibili strumenti che automatizzano l’acquisizione e la visualizzazione dei dati sulle prestazioni a livello di servizio.

SLA e clausole di indennizzo

Un indennizzo รจ un obbligo contrattuale assunto da una parte – l’indennizzo – di risarcire i danni, le perdite e le responsabilitร  subite da un’altra parte – l’indennizzo – o da una terza parte. All’interno di uno SLA, una clausola di indennizzo richiederร  al fornitore di servizi di riconoscere che il cliente non รจ responsabile per eventuali costi sostenuti per violazione delle garanzie contrattuali. La clausola risarcitoria imporrร  inoltre al prestatore di servizi il pagamento al cliente di eventuali spese di contenzioso da parte di terzi derivanti dall’inadempimento contrattuale.

Per limitare la portata degli indennizzi, un fornitore di servizi puรฒ:

  • consultare un avvocato;
  • limitare il numero degli indennizzi;
  • stabilire limiti monetari per la clausola;
  • creare limiti di tempo;
  • definire il punto in cui inizia la responsabilitร  dell’indennizzo.

Metriche delle prestazioni SLA

Gli SLA includono metriche per misurare le prestazioni del fornitore di servizi. Poichรฉ puรฒ essere difficile selezionare metriche corrette per il cliente e il fornitore di servizi, รจ importante che le metriche siano sotto il controllo del fornitore di servizi. Se il fornitore di servizi non รจ in grado di controllare se una metrica si comporta come specificato, non รจ corretto ritenere il fornitore responsabile per quella metrica.

E dovrebbe essere facile raccogliere accuratamente i dati per le metriche: l’acquisizione automatica dei dati sarebbe la cosa migliore. Inoltre, lo SLA dovrebbe specificare una linea di base ragionevole per le metriche, che puรฒ essere perfezionata quando sono disponibili piรน dati su ciascuna metrica.

Gli SLA stabiliscono le aspettative dei clienti in merito alle prestazioni e alla qualitร  del fornitore di servizi in diversi modi. Alcune metriche che gli SLA possono specificare includono:

  • Disponibilitร  e percentuale di uptime . La quantitร  di tempo in cui i servizi sono in esecuzione e accessibili al cliente. Il tempo di attivitร  viene generalmente monitorato e riportato per mese di calendario o ciclo di fatturazione.
  • benchmark di prestazione specifici.La performance effettiva sarร  periodicamente confrontata con questi benchmark.
  • Tempo di risposta del fornitore di servizi. Il tempo impiegato dal fornitore di servizi per rispondere al problema o alla richiesta di un cliente. Un fornitore di servizi piรน grande puรฒ gestire un service desk per rispondere alle richieste dei clienti.
  • Tempo di risoluzione. Il tempo necessario per la risoluzione di un problema una volta registrato dal fornitore di servizi.
  • Tasso di abbandono. La percentuale di chiamate in coda che i clienti abbandonano in attesa di risposta.
  • Risultati aziendali. Utilizzo dei KPI per determinare in che modo i contributi dei fornitori di servizi influiscono sulle prestazioni dell’azienda.
  • Tasso di errore. La percentuale di errori in un servizio, ad esempio errori di codifica e scadenze mancate.
  • Risoluzione di prima chiamata. La percentuale di chiamate in entrata dei clienti che vengono risolte senza la necessitร  di essere richiamate dall’help desk.
  • Tempo medio di recupero. Il tempo necessario per il ripristino dopo un’interruzione del servizio.
  • Sicurezza. Il numero di vulnerabilitร  sconosciute, ad esempio. Se si verifica un incidente, i fornitori di servizi devono dimostrare di aver adottato misure preventive.
  • Fattore di servizio del tempo. La percentuale di chiamate in coda che i rappresentanti del servizio clienti rispondono entro un determinato intervallo di tempo.
  • Tempo di consegna. Il tempo impiegato da un fornitore di servizi per risolvere un problema specifico una volta ricevuto.

Altre metriche includono la pianificazione per la notifica in anticipo delle modifiche alla rete che potrebbero influire sugli utenti e le statistiche generali sull’utilizzo del servizio.

Uno SLA puรฒ specificare disponibilitร , prestazioni e altri parametri per diversi tipi di infrastruttura del cliente, comprese reti interne, server e componenti dell’infrastruttura, come gruppi di continuitร .

Cosa succede se i livelli di servizio concordati non vengono raggiunti?

Gli accordi sul livello di servizio includono sanzioni concordate nel caso in cui un fornitore di servizi non soddisfi i livelli di servizio concordati. Tali rimedi potrebbero essere riduzioni del canone o crediti di servizio a fronte dei canoni sostenuti dal cliente, nonchรฉ la risoluzione del contratto per ripetuti fallimenti.

I clienti possono far valere questi crediti di servizio quando i fornitori di servizi non rispettano gli standard di prestazione concordati. In genere, il cliente e il fornitore di servizi concordano di mettere a rischio una determinata percentuale del canone mensile. I crediti di servizio vengono prelevati da quelle commissioni a rischio quando il venditore non rispetta gli SLA.

Lo SLA dovrebbe dettagliare come verranno calcolati i crediti di servizio. Ad esempio, il cliente e il venditore potrebbero sviluppare una formula che fornisce crediti di servizio in base alla quantitร  di tempi di inattivitร  che supera i termini dello SLA. Un fornitore di servizi puรฒ limitare le penali di performance a un importo massimo in dollari per limitare l’esposizione.

Lo SLA includerร  anche una sezione che descrive in dettaglio le esclusioni, ovvero le situazioni in cui le garanzie di uno SLA – e le sanzioni per il mancato rispetto delle stesse – non si applicano. L’elenco potrebbe includere eventi come disastri naturali o atti terroristici. Questa sezione viene talvolta definita clausola di forza maggiore, che mira a esonerare il fornitore di servizi da eventi al di fuori del suo ragionevole controllo.

Sanzioni

Le sanzioni SLA sono misure disciplinari che esistono per garantire il mantenimento dei termini del contratto. Queste sanzioni differiscono da contratto a contratto. Sono i seguenti:

  • Disponibilitร  del servizio. Include fattori quali il tempo di attivitร  della rete, le risorse del data center e la disponibilitร  del database. Le sanzioni dovrebbero essere aggiunte come deterrenti contro i tempi di fermo del servizio, che potrebbero influire negativamente sull’attivitร .
  • Qualitร  del servizio. Comprende la garanzia delle prestazioni, il numero di errori consentiti in un prodotto o servizio, le lacune di processo e altri problemi relativi alla qualitร .

Oltre ai crediti di servizio, potrebbero esserci:

  • Sanzioni pecuniarie. Richiedere al venditore di rimborsare al cliente l’importo del danno concordato nel contratto.
  • Estensione della licenza o supporto. Richiede al venditore di estendere la durata della licenza o di offrire al cliente supporto aggiuntivo gratuito. Ciรฒ potrebbe includere lo sviluppo e la manutenzione.

Tali sanzioni devono essere specificate nella lingua dello SLA o non saranno esecutive. Inoltre, alcuni clienti potrebbero non pensare che il credito di servizio o le penali per l’estensione della licenza siano un compenso adeguato poichรฉ potrebbero mettere in dubbio il valore di continuare a ricevere i servizi di un fornitore che non รจ in grado di soddisfare i suoi livelli di qualitร .

Di conseguenza, puรฒ valere la pena considerare una combinazione di sanzioni, oltre a includere un incentivo, come un bonus monetario, per un lavoro piรน che soddisfacente.

Considerazioni sulle metriche SLA

Quando si sceglie quali metriche di performance includere nello SLA, un’azienda dovrebbe considerare i seguenti fattori.

Le misurazioni dovrebbero motivare il comportamento corretto. Quando si definiscono le metriche, entrambe le parti dovrebbero ricordare che l’obiettivo delle metriche รจ motivare il comportamento appropriato per conto del fornitore di servizi e del cliente.

Le metriche dovrebbero riflettere solo i fattori che rientrano nel ragionevole controllo del fornitore di servizi. Le misurazioni dovrebbero anche essere facili da raccogliere. Inoltre, entrambe le parti dovrebbero resistere alla scelta di quantitร  eccessive di metriche o misurazioni che producono grandi quantitร  di dati. Tuttavia, anche l’inclusione di un numero insufficiente di metriche puรฒ essere un problema, poichรฉ mancarne una potrebbe far sembrare che il contratto sia stato violato.

Affinchรฉ le metriche stabilite siano utili, รจ necessario stabilire una linea di base adeguata con le misurazioni impostate su livelli di prestazione ragionevoli e raggiungibili. Questa linea di base sarร  probabilmente ridefinita durante il coinvolgimento delle parti nell’accordo, utilizzando i processi specificati nella sezione revisione periodica e modifica dello SLA.

Earn Back o Guadagna indietro

Un earn back รจ una disposizione che puรฒ essere inclusa nello SLA che consente ai fornitori di riguadagnare crediti a livello di servizio se effettuano prestazioni pari o superiori al livello di servizio standard per un determinato periodo di tempo. I guadagni di ritorno sono una risposta alla standardizzazione e alla popolaritร  dei crediti a livello di servizio.

I crediti a livello di servizio, o semplicemente crediti di servizio, dovrebbero essere l’unico ed esclusivo rimedio a disposizione dei clienti per compensare i guasti a livello di servizio. Un credito di servizio sottrae una somma di denaro dall’importo totale da pagare in base al contratto se il fornitore di servizi non soddisfa gli standard di prestazione e prestazione del servizio.

Se entrambe le parti accettano di includere i guadagni di ritorno nello SLA, il processo dovrebbe essere definito attentamente all’inizio della negoziazione e integrato nella metodologia del livello di servizio.

Quando rivedere uno SLA

Un contratto di servizio non รจ un documento statico. Piuttosto, uno SLA dovrebbe essere aggiornato e rivisto regolarmente con nuove informazioni. La maggior parte delle aziende rivede i propri SLA annualmente o semestralmente. Tuttavia, piรน rapidamente cresce un’organizzazione, piรน spesso dovrebbe rivedere e rivedere i suoi SLA.

Sapere quando e quando non apportare modifiche a uno SLA รจ una parte fondamentale della gestione della relazione cliente/fornitore di servizi. Le due parti dovrebbero incontrarsi a un programma prestabilito per rivedere il loro SLA e assicurarsi che soddisfi ancora i requisiti di entrambe le parti.

Uno SLA dovrebbe essere rivisto:

  • quando i requisiti aziendali del cliente sono cambiati, ad esempio, i suoi requisiti di disponibilitร  aumentano perchรฉ ha creato un sito di e-commerce che vende molto di piรน;
  • se c’รจ un cambiamento nei carichi di lavoro;
  • se gli strumenti di misurazione, i processi e le metriche sono migliorati;
  • quando il fornitore di servizi smette di offrire un servizio esistente o aggiunge un nuovo servizio;
  • quando le capacitร  tecniche del fornitore di servizi cambiano, ad esempio, nuove tecnologie o apparecchiature piรน affidabili consentono al venditore di fornire tempi di risposta piรน rapidi; tuttavia, il fornitore di servizi dovrebbe rivedere il suo SLA ogni 18-24 mesi anche se le sue capacitร  o servizi non sono cambiati molto per ridurre i contenuti imprecisi o non aggiornati.

Clausole risarcitorie contrattuali per danni nei contratti di Hosting.

Di norma la proposta di clausole risarcitorie del danno nei contratti di Hosting vanno intese come clausole vessatorie ovvero delle clausole contrattuali che – malgrado la buona fede (ovvero indipendentemente dall’intenzione) – determinano a carico del consumatore un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto.

Il non adempimento ad una SLA non da automaticamente diritto ad alcun risarcimento del danno, soprattutto laddove il contratto faccia esplicitamente menzione alla manleva del fornitore di hosting.

Ecco perchรจ la SLA รจ sicuramente un ottimo punto di partenza che potrebbe rivelarsi assolutamente vana qualora non si possa accedere poi a dei risarcimenti nel caso della violazione della stessa, risarcimenti che ovviamente il fornitore nel suรฒ piรน evidente ed esplicito e legittimo interesse cercherร  di evitare tramite opportune clausole di manleva che hanno il suo perchรจ e denota comunque la serietร  e professionalitร  di un fornitore che non si getta a capofitto in contratti che lo vedono con un’eccessiva responsabilitร  soprattutto se in comparazione di quelli che sono gli standard di mercato, ove nessun hosting o quasi รจ disposto ad accollarsi il risarcimento dei danni e non manlevarsi.

Cosa dovrebbe aspettarsi un cliente che si vede un fornitore dire sempre di si anche a clausole risarcitorie molto pericolose in grado di minare il futuro imprenditoriale dell’impresa? Dire sempre di si non รจ in alcun modo sinonimo di professionalitร , cosรฌ come l’estrema accondiscendenza di un fornitore denota approssimazione e inesperienza, ovvero un chiaro campanello di allarme che mette in discussione il fornitore di hosting stesso su tutti i fronti.

Yes Man

Immaginiamo ad esempio che il baretto sotto casa a gestione familiare con un fatturato di 100 mila euro l’anno, ed un utile di appena 20 mila decidesse di farci ospitare il loro sito costato 1000 euro, ad un costo di 100โ‚ฌ l’anno, ed in fase contrattuale pretendessero l’accettazione una clausola vessatoria in cui in caso di attacco hacker risarciremmo 50 mila euro a titolo di risarcimento danni.

Si capisce sin da subito come tale richiesta sia squilibrata nella classica formula bonus / malus che vediamo ad esempio nelle polizze assicurative (specie quelle americane). Sappiamo che il prezzo dell’assicurazione dell’auto per un neopatentato รจ maggiore di quella di un 50 enne appartenente alla minima classe di rischio essendo un guidatore modello, e che soprattutto in caso di sinistro, l’assicurazione faccia riferimento a tabelle e riferimenti superpartes per valutare il danno da risarcire. Se la FIAT 500 del ’48 in cui avete conosciuto vostra moglie insomma ha un valore simbolico ed affettivo senza paragoni, la vostra richiesta di danni morali per 100 mila euro, sarร  liquidata dal liquidatore con le tabelle vigenti su Quattroruote, con 5 o 6 mila euro insomma. A prescindere dalle vostre ragioni, ci sono dei valori inopinabili da rispettare.

Un premio in contrapposizione ad un massimale all’interno di una proposta assicurativa, permette insomma di valutare un rischio, la probabilitร  dello stesso, l’incidenza reale sul business del cliente, e da li formulare un canone che comprende oltre che ai costi vivi di esercizio, il ricarico che costituisce la merginalitร , anche il premio per l’azienda di hosting che decide di far fronte a tali impegni contrattuali.

Un cliente che non pretende nulla che il servizio in best effort (cosรฌ come lo abbiamo proposto nella nostra offerta) avrร  il costo del canone di esercizio. Un cliente che invece pretende ALTRO, avrร  il costo del canone di esercizio piรน il costo per poter fornire ALTRO.

Prendendo l’esempio sopra del baretto sotto casa, in cui si chiede un risarcimento danno di 50 mila euro in caso di attacco hacker, รจ normalissimo, che il fornitore di hosting andrร  a specificare le sue responsabilitร  e quelle del cliente. Da dove รจ entrato l’attaccante? Dal sistema linux gestito dall’hosting o da un plugin WordPress non aggiornato gestito dal webmaster? Ed ecco qui una serie di clausole che iniziano ad essere estremamente puntigliose e specifiche per mettere nero su bianco le casistiche che vedono l’hosting responsabile e dunque imputabile di risarcire il cliente.

Quale hosting provider accetterebbe di esporsi per 50 mila euro di risarcimento, per un canone di 100 euro l’anno? Ovviamente nessuno.

Diverso รจ esporsi per 50 mila euro a fronte di un canone di 5 mila euro anno. Sebbene possa sembrare un’assurditร , รจ vero che cambiando il tipo di tecnologia e gestione del sistema, tramite l’installazione di ulteriori precauzioni, sistemi di hashing dei file e notifica variazioni, ecc… ecc.., l’hosting puรฒ arrivare a calcolare statisticamente e probabilisticamente parlando che l’evento che comporterebbe un risarcimento di 50 mila euro, ha una probabilitร  dello 0,5% e pertanto ha senso accettare e correre il rischio a fronte di un canone annuale di 5000 euro, e non 100โ‚ฌ.

Ci si troverebbe di fatto ad una controproposta in cui il fornitore di hosting accetta la clausola risarcitoria proponendo il nuovo canone di hosting, che perรฒ diventa assolutamente non accettabile e troppo esoso per il cliente.

Cosa cerca di ottenere il cliente?

A questo punto bisogna necessariamente porsi la domanda, di cosa stia cercando il cliente. Come puรฒ ad esempio un sito di un baretto che fattura poco pretendere un risarcimento di 50 mila euro per un sito web che ne รจ costato appena 2000? Perchรฉ ad esempio non chiedere il risarcimento dei costi vivi della realizzazione del sito piรน eventuali, per un importo di 5000 euro e non invece 50 mila?

C’รจ forse temerarietร ? Ci si trova di fronte ad uno speculatore che sta gettando le basi per poter procedere legalmente per un risarcimento danni magari per un sito attaccato da un suo amico?

Questi sono dei campanelli di allarme che vanno sempre considerati e valutati pensando male. Nel mondo dell’imprenditoria la gentilezza รจ un aspetto puramente formale ma non sostanziale.

Vediamo dunque i campanelli di allarme standard che un fornitore di Hosting dovrebbe valutare nel momento in cui il cliente rigetta il contratto standard ma lo integra con clausole risarcitorie e vessatorie del genere.

Risarcimento del danno generico.

Di fatto il cliente scrive nel contratto in una clausola vessatoria che in caso di responsabilitร  del fornitore (o presunta tale, ci sarร  sempre una CTU che costerร  cifre assurde e che in teoria pagherร  il soccombente), avrร  diritto a richiedere dei danni. Non spiega di che tipo, inerenti a quali ambiti, mancato guadagno, cessato lucro, danni materiali, danni morali, o altro, ne specifica un importo che รจ di fatto un massimale.

Il cliente pretende di fatto un assegno in bianco da poter riempire a piacimento con pezze di appoggio (anche reali) di fronte ad un canone di servizio invece ben definito e delineato.

Viene meno insomma la proporzionalitร  del premio in base al massimale che di fatto รจ indefinito. รˆ possibile che il risarcimento arrivi ad un milione di euro, o un miliardo, a fronte di 100euro di canone mensile.

Mancanza di delineazione delle responsabilitร .

Il cliente non specifica in modo estremamente preciso i domini e contesti di competenza, ma tende ad accollare tutte le responsabilitร  al fornitore anche per conseguenze non a lui imputabili.

Il cliente che ad esempio pretende un risarcimento del danno a fronte di hackeraggio, non avendo l’onestร  intellettuale di specificare che attacchi che vedrร  come causa l’applicazione (plugin non aggiornati, e simili) e che rigirando la responsabilitร  al fornitore, non solo non si pre-occupa di mantenere aggiornata l’installazione a livello applicativo, ma magari pretende un risarcimento di 10 mila euro per danni di immagine in caso di hackeraggio.

Le responsabilitร  e le aree di competenza insomma vanno sempre ben delineate in maniera esplicita ed eloquente, ribadendo che tutto quello che non รจ esplicitamente competenza del fornitore lo manleva in modo diretto ed indiretto dalle relative conseguenze.

Cosa cerca di ottenere invece il fornitore?

Il fornitore di Hosting cerca di vendere un servizio di Hosting, minimizzando i costi e massimizzando i profitti secondo le basi della ricerca operativa. A tal proposito tende a sgravarsi di responsabilitร  civili in modo esplicito ed eloquente a livello contrattuale anche per fermare nell’immediato qualsiasi iniziativa legale che costerebbe comunque cifre ingenti e non proporzionate al canone di noleggio.

Il gioco deve valere la candela insomma.

Raramente un fornitore ha interesse ad esporsi se il rischio non รจ estremamente calcolato e le SLA sono estremamente vantaggiose.

L’uptime garantito di fronte ad un risarcimento del danno scenderร  inevitabilmente dal 99,99% al 99,8% su base annuale che significa di fatto 17ore di down all’anno.

In base al tipo di massimale risarcibile ed in base al tipo del tipo di danno, il canone di esercizio puรฒ aumentare in modo molto importante e di norma MAI inferiore al 20% del massimale coperto.

Ad esempio, dietro una copertura per un massimale di 50 mila euro, il fornitore puรฒ applicare un extra al costo di hosting standard pattuito di tra i 5000 e le 10000 euro annue.

Ovviamente in alcun modo il fornitore ha obblighi di accettare clausole di questo tipo, considerando che non sempre correre un rischio puรฒ essere cosa buona a livello imprenditoriale e pertanto il fornitore semplicemente utilizza il modello standard di contratto in suo possesso che di fatto รจ un contratto di tipo best effort senza risarcimento del danno se non per motivi dolosi.

Trovare un equilibrio tra le esigenze del cliente e quelle del fornitore.

Il modo migliore per trovare un equilibrio tra le esigenze del cliente e quelle del fornitore รจ quello di instaurare le condizioni pecuniarie per un rapporto win – win in cui tutti vincono.

Il cliente si accerta dell’impegno massimo del fornitore nel conseguire in modo assolutamente virtuoso e paranoico la manutenzione del sito del cliente per tutte le aree di competenza e servizi di responsabilitร  del fornitore.

Il fornitore si accerta che a fronte del suo impegno atto a scongiurare un rischio, tendente a zero ma mai zero, ci sia un premio di tipo economico (che a sua volta potrebbe ad esempio essere utilizzato anche per accendere una polizza assicurativa con franchigia specifica per il cliente e scaricare il rischio).

Come si giunge a questo equilibrio prendendo come caso l’esempio sopra del baretto che pretendeva un risarcimento danni di 50 mila euro in caso di hackeraggio ?

  1. Si abbassa il massimale risarcitorio da 50 mila euro a 5000 euro.
  2. Si specifica che qualsiasi attacco che proviene da attacchi a livello applicativo manlevano il fornitore.
  3. Si specifica che qualsiasi attacco di tipo 0day a livello sistemistico, manlevano il fornitore
  4. Si aumenta il canone annuale da 100โ‚ฌ a 500โ‚ฌ

Questo, ad esempio, nel nostro caso potrebbe essere un buon equilibrio, non ottimale, ma sicuramente degno di valutazione per una successiva probabile accettazione.

Verosimilmente per un altro fornitore potrebbe essere non accettabile, e sarebbe comunque una sua scelta legittima.

 

 

 

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. รจ un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate allโ€™alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dellโ€™hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per lโ€™expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hatยฎ, RHELยฎ, RedHat Linuxยฎ, e CentOSยฎ; AlmaLinuxโ„ข รจ un marchio di AlmaLinux OS Foundation; Rocky Linuxยฎ รจ un marchio registrato di Rocky Linux Foundation; SUSEยฎ รจ un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntuยฎ; Software in the Public Interest, Inc. detiene i diritti su Debianยฎ; Linus Torvalds detiene i diritti su Linuxยฎ; FreeBSDยฎ รจ un marchio registrato di The FreeBSD Foundation; NetBSDยฎ รจ un marchio registrato di The NetBSD Foundation; OpenBSDยฎ รจ un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracleยฎ, MySQLยฎ, e MyRocksยฎ; Perconaยฎ รจ un marchio registrato di Percona LLC; MariaDBยฎ รจ un marchio registrato di MariaDB Corporation Ab; REDISยฎ รจ un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINXยฎ e NGINX Plusยฎ; Varnishยฎ รจ un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magentoยฎ; PrestaShopยฎ รจ un marchio registrato di PrestaShop SA; OpenCartยฎ รจ un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPressยฎ, WooCommerceยฎ, e JetPackยฎ; Open Source Matters, Inc. detiene i diritti su Joomlaยฎ; Dries Buytaert detiene i diritti su Drupalยฎ. Amazon Web Services, Inc. detiene i diritti su AWSยฎ; Google LLC detiene i diritti su Google Cloudโ„ข e Chromeโ„ข; Facebook, Inc. detiene i diritti su Facebookยฎ; Microsoft Corporation detiene i diritti su Microsoftยฎ, Azureยฎ, e Internet Explorerยฎ; Mozilla Foundation detiene i diritti su Firefoxยฎ. Apacheยฎ รจ un marchio registrato di The Apache Software Foundation; PHPยฎ รจ un marchio registrato del PHP Group. CloudFlareยฎ รจ un marchio registrato di Cloudflare, Inc.; NETSCOUTยฎ รจ un marchio registrato di NETSCOUT Systems Inc.; ElasticSearchยฎ, LogStashยฎ, e Kibanaยฎ sono marchi registrati di Elastic N.V. Questo sito non รจ affiliato, sponsorizzato, o altrimenti associato a nessuna delle entitร  sopra menzionate e non rappresenta nessuna di queste entitร  in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietร  dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVERยฎ รจ un marchio registrato a livello Europeo da MANAGED SERVER SRL Via Enzo Ferrari, 9 62012 Civitanova Marche (MC) Italia.

Torna in alto