La richiesta di audit avanzata dalle software house per verificare la conformità di quanto installato ai termini e condizioni previsti nei contratti di licenza d’uso – richiesta oggigiorno molto frequente – costituisce un momento particolarmente delicato dei rapporti tra l’azienda ed il vendor.
Un momento in cui, data la crescente complessità delle condizioni di licensing e delle metriche di utilizzo previste dalla maggior parte dei vendor, la sinergia e l’integrazione tra competenze giuridico-legali e competenze tecnico-operative esistenti all’interno dell’azienda si rivela particolarmente importante al fine di gestire correttamente le diverse fasi dell’audit.
Per poter affrontare al meglio la verifica, è particolarmente importante che l’azienda espleti al proprio interno una serie di accertamenti preliminari rispetto al formale avvio delle operazioni di audit.
In primo luogo, è opportuno procedere a inventario delle licenze possedute e comparare le risultanze della propria verifica con le indicazioni provenienti dal vendor.
Parallelamente sarà necessario ricostruire e acquisire l’intera impalcatura contrattuale relativa agli accordi in essere con il vendor. Essa contiene, tra l’altro, la disciplina delle condizioni e delle metriche di utilizzo dei programmi, nonché dei diritti che possono essere fatti valere dal vendor in sede di verifica, oltre che costituire prova della legittima acquisizione dei diritti di utilizzo sui prodotti licenziati.
Un supporto legale specialistico, con focus sulle peculiarità della contrattualistica informatica, può rivelarsi fondamentale per intavolare e sostenere la dialettica con la software house o con l’auditor terzo da essa investito dell’incarico di espletare materialmente la verifica.
Ciò perché gli accordi di licenza – tipicamente predisposti in maniera unilaterale dal software vendor e accettati dai licenziatari per lo più passivamente, senza alcuna rilevante possibilità di negoziarne termini e condizioni – potrebbero presentare clausole di difficile interpretazione o addirittura profili di potenziale abusività o illegittimità.
Un esempio evidente di quanto sopra è costituito dalla sentenza C-128/11 del 3 luglio 2012, con cui la Corte di Giustizia dell’Unione Europea ha riqualificato in vere e proprie compravendite gli accordi di licenza a tempo indeterminato, sancendo conseguentemente l’illegittimità di ogni clausola o previsione in essi contenuta con cui si vietasse o si subordinasse al previo consenso del vendor la successiva rivendita del software oggetto di cessione.
Sotto un profilo più tecnico, invece, al fine di prepararsi adeguatamente alla verifica condotta dal vendor, preventivandone i potenziali rischi e pianificando le opportune e necessarie strategie di mitigazione nel breve termine, l’azienda potrà valutare la possibilità di svolgere al proprio interno, eventualmente con il supporto di consulenti esterni specializzati in tale ambito, un’attività di Asset Software Management (SAM).
Tale attività, effettuata in via preventiva, costituisce un esempio di modello di gestione e controllo che l’azienda potrebbe implementare per evitare di commettere reati per violazione dei diritti di proprietà intellettuale esistenti sul software, in tal modo esonerandosi da responsabilità amministrativa, ex d. lgs. 231/2001. Ma può essere espletata anche in vista in di un imminente e preannunciato audit della software house, per ottenere una “fotografia” realistica e oggettiva delle installazioni di software in azienda, eventualmente individuando i possibili gap tra i dati di inventario o le installazioni reali, in modo da poter approntare le eventuali azioni correttive.
Una volta che l’azienda abbia raggiunto consapevolezza sulla situazione del proprio parco installato e abbia ricostruito il quadro giuridico che ne governa l’utilizzo, è opportuno e vivamente consigliabile definire e concordare con il vendor e/o con l’eventuale auditor terzo le “regole del gioco” per l’audit stesso. Sotto questo profilo, occorrerà, tra l’altro:
* definire e delimitare con esattezza il perimetro dell’audit, tanto sotto il profilo oggettivo, procedendo a esatta identificazione dei prodotti da sottoporre a verifica (cosa che acquista rilevanza nelle ipotesi in cui l’azienda utilizzi più prodotti software licenziati dalla medesima software house), quanto sotto il profilo soggettivo, procedendo a identificazione del perimetro societario impattato dall’audit medesimo (aspetto che assume rilevanza nell’ipotesi in cui l’azienda destinataria della verifica faccia parte di un gruppo societario);
* valutare con le controparti l’opportunità o la necessità di sottoscrivere specifici accordi di confidenzialità che garantiscano la riservatezza delle operazioni da effettuarsi e delle informazioni raccolte attraverso le stesse;
* far chiarezza sulle regole che presiederanno all’espletamento delle operazioni di verifica, anche alla luce di quanto previsto in merito dagli accordi di licenza;
* concordare quali strumentazioni verranno utilizzate e quali tipi di dati verranno raccolti.
E’ evidente che la gestione dell’audit dovrà poi tenere conto della specificità dei prodotti licenziati, delle forme e modalità attraverso cui il vendor procede a verifica, del fatto che l’azienda possa essere in concreto inadempiente rispetto all’accordo di licenza (talora anche in maniera inconsapevole) e di una serie di variabili che non sempre è possibile preventivare, ma che dovranno essere gestite al momento.
In linea generale, occorre comunque tener presente che, nonostante la possibilità di accesso e verifica sia un diritto contrattualmente pattuito a favore del vendor, tutto ciò che non è espressamente previsto nel contratto non può considerarsi autorizzato.
Il vendor per esempio non potrà imporre attività diverse o ulteriori rispetto a quelle predeterminate in contratto, né imporre unilateralmente una modifica delle condizioni contrattuali, se tale diritto non è stato espressamente normato nell’accordo.
Ancora: nel caso di aziende appartenenti ad ampi gruppi societari, l’audit rivolto a una di esse non potrà essere indiscriminatamente esteso a tutte le altre, e potrà essere contestato come illegittimo l’eventuale tentativo del vendor di estendere il perimetro della verifica all’utilizzo che dei propri programmi facciano tutte le entità afferenti al medesimo gruppo societario, a prescindere dalla formale identificazione dei destinatari dell’audit quali licenziatari e/o utilizzatori, alla luce delle previsioni contrattuali contenute nei contratti azionati.
Su questi temi il 15 maggio 2017, dalle ore 09:30 alle 13:00, presso la Sala Consiglio del DIG – Politecnico di Milano, si terrà il Workshop di approfondimento “Gli audit dei Software Vendor: come gestirli al meglio”.
Obiettivo dell’incontro è l’approfondimento delle problematiche legali connesse all’effettuazione di tali controlli e al rischio che, nel corso degli stessi, possano essere avanzate richieste esorbitanti rispetto alle prerogative dei software vendor. Il Workshop è indirizzato a responsabili e specialisti che si occupano della gestione del software in azienda (sistemi informativi, acquisti, funzioni legali e compliance). Per maggiori informazioni e per iscriversi, cliccare qui.
* Anna Italiano è Senior Legal Consultant di P4I-Partners4Innovation. Gabriele Faggioli è giurista, CEO di P4I – Partners4Innovation, Presidente Clusit e Adjunct professor MIP – Politecnico di Milano