Canella Camaiora / Diritti, decompilazione e “segnali di allarme” nei contratti software

Diritti, decompilazione e “segnali di allarme” nei contratti software

Tempo di lettura: 12 minuti

Scritto da: Arlo Canella Leggi la bio per Canella Camaiora Studio Legale

Diritti, decompilazione e “segnali di allarme” nei contratti software

Abstract

Il contributo analizza i principali profili giuridici dei contratti software, nell’ambito della proprietà intellettuale applicata a software, intelligenza artificiale e piattaforme tecnologiche. L’articolo esamina la titolarità dei diritti sul software, i limiti e le condizioni della decompilazione per la correzione degli errori, nonché i segnali di allarme contrattuali che incidono su autonomia, continuità operativa e allocazione del rischio. L’analisi, fondata sul quadro normativo europeo e sulla giurisprudenza più recente, offre criteri di lettura utili a imprese e pubbliche amministrazioni per valutare, negoziare e gestire contratti software complessi, prevenendo dipendenze tecnologiche e criticità legali.

Di chi è il software, sul serio?

Uno dei problemi più frequenti – e allo stesso tempo più sottovalutati – nei contratti software riguarda una domanda apparentemente semplice: chi è davvero il titolare del programma e quali diritti ha chi lo commissiona o lo utilizza. Molte imprese sono convinte di “acquistare” un software, ma nella pratica ottengono soltanto una licenza d’uso, cioè un diritto limitato a utilizzare il programma entro confini ben precisi.

La differenza non è teorica. Diventa decisiva quando il rapporto con il fornitore si interrompe, quando il software smette di funzionare o quando occorre modificarlo, aggiornarlo o integrarlo con altri sistemi. In questi casi, scoprire di non avere i diritti necessari può tradursi in un blocco operativo totale.

Dal punto di vista giuridico, la cornice è chiara. In base alla Legge sul diritto d’autore (Legge 633/1941), il software è un’opera protetta al pari di un libro o di una composizione musicale. Chi scrive il codice è, per legge, titolare dei diritti patrimoniali, salvo che un contratto scritto non preveda espressamente la loro cessione al committente (art. 64-bis LDA). In assenza di una clausola chiara, l’utilizzatore non può modificare, copiare, decompilare o cedere il programma oltre quanto consentito dalla licenza.

Esiste una prima, importante eccezione: il software sviluppato dal dipendente nell’ambito delle proprie mansioni. In questo caso, i diritti patrimoniali spettano automaticamente al datore di lavoro, per effetto dell’art. 12-bis LDA. Qui la legge tutela l’investimento dell’impresa senza bisogno di ulteriori pattuizioni.

Negli ultimi anni, però, la giurisprudenza italiana ha iniziato a spingersi oltre il dato letterale della norma. Una pronuncia significativa del Tribunale di Bologna ha infatti applicato per analogia l’art. 12-bis anche allo sviluppo affidato a programmatori esterni, quando ricorrono alcune condizioni sostanziali:

  • il software è realizzato su specifiche dettagliate del committente,
  • è destinato a un uso esclusivo da parte di quest’ultimo,
  • lo sviluppatore è remunerato per eseguire un progetto altrui e non per creare un prodotto autonomo.

In questo scenario, i giudici hanno riconosciuto che i diritti patrimoniali possono spettare al committente anche in assenza di una cessione scritta. Il messaggio è chiaro: conta la sostanza del rapporto, non solo la forma del contratto. Un’impresa che finanzia integralmente lo sviluppo e governa le scelte progettuali non può essere ridotta al ruolo di semplice licenziataria di ciò che ha già pagato.

Accanto al tema della titolarità, c’è poi un altro nodo cruciale: l’accesso al codice sorgente. Il sorgente è la versione “leggibile” del software, quella che consente a un tecnico di intervenire concretamente sul programma. Senza di esso, il cliente è totalmente dipendente dal fornitore, anche per correggere errori critici. Eppure, molti contratti – anche nel settore pubblico – tacciono completamente su questo punto.

Una soluzione diffusa, ma ancora poco utilizzata, è il deposito in escrow del codice sorgente: il sorgente viene affidato a un soggetto terzo e rilasciato al committente solo in casi predeterminati, come il fallimento del fornitore o l’interruzione del servizio. Non è una garanzia teorica, ma uno strumento di continuità operativa.

In sintesi, pagare lo sviluppo di un software non significa poterne disporre liberamente. Senza clausole chiare, il rischio è di trovarsi vincolati a un fornitore anche quando il rapporto non funziona più. Per questo, un contratto ben costruito deve chiarire fin dall’inizio:

  • chi è titolare dei diritti d’autore,
  • chi può accedere e intervenire sul codice sorgente,
  • cosa accade se il rapporto contrattuale si interrompe.

La giurisprudenza sta aprendo spiragli importanti per tutelare i committenti anche in presenza di contratti lacunosi. Ma affidarsi ai tribunali è sempre l’ultima linea di difesa. Il vero punto di equilibrio si gioca prima, nella scrittura del contratto.

Ed è proprio quando il software smette di funzionare – o quando il fornitore non collabora più – che emerge una domanda ancora più delicata: fino a che punto l’utente può intervenire direttamente sul programma, anche arrivando a decompilarlo? È qui che il diritto d’autore incontra i suoi limiti più concreti.

Decompilare il software è legale, oppure no?

Per anni, molte aziende e pubbliche amministrazioni si sono sentite dire che “non si può toccare il codice del programma” perché coperto dal diritto d’autore. Ma cosa succede quando un software ha un errore che impedisce il suo normale funzionamento e il fornitore non interviene o non è più disponibile? È legittimo per l’utente cercare di risolvere il problema da solo, anche se significa “decompilare” il programma?

Nel 2021, la Corte di Giustizia dell’Unione Europea ha risposto con una sentenza chiara nel caso Top System (C-13/20): sì, è possibile decompilare un software per correggere errori, anche senza il permesso dell’autore. A condizione, però, che chi lo fa sia un utilizzatore legittimo del programma.

Secondo l’art. 5(1) della Direttiva 2009/24/CE, “in the absence of specific contractual provisions, the acts referred to in Article 4 (a) and (b) shall not require authorization by the rightholder where they are necessary for the use of the computer program by the lawful acquirer in accordance with its intended purpose, including for error correction.”

Questo significa che la persona o l’organizzazione che ha acquistato regolarmente una licenza può compiere anche atti riservati all’autore (come la riproduzione o la modifica del codice) se necessari per l’uso normale del programma, inclusa la correzione di errori.

La Corte spiega che la decompilazione, da un punto di vista tecnico, non restituisce il codice sorgente originale, ma produce una “terza versione” del programma, comprensibile quanto basta per essere rimaneggiata e ricompilata in un software funzionante. Da un punto di vista giuridico, la decompilazione “entails the reproduction and alteration of the code”, cioè due attività che normalmente sono riservate all’autore. Tuttavia, in caso di malfunzionamento, questi atti possono rientrare nelle eccezioni previste dall’art. 5.

La Corte è netta: “the lawful acquirer of a computer program may decompile software to correct errors affecting the program’s functioning without the rightholder’s authorization.” In altre parole, se il programma è difettoso e non fa quello che dovrebbe, chi lo ha comprato ha il diritto di decompilarlo per sistemarlo, anche senza chiedere il permesso a chi lo ha scritto.

La decisione sottolinea anche che non è necessario rispettare i requisiti dell’articolo 6 della stessa direttiva, che disciplina i casi di decompilazione per ottenere interoperabilità tra programmi diversi. Le due norme “have different purposes,” e nessuna disposizione della direttiva suggerisce che la decompilazione debba essere ammessa “only for ensuring interoperability”.

Attenzione però: non è un “liberi tutti”. La Corte elenca quattro condizioni da rispettare:

  1. “Decompilation must be intended for error correction” e “necessary to allow the lawful acquirer to use the relevant software in accordance with its intended purpose.”
  2. Deve rispettare “specific contractual provisions”, che possono regolare come avviene la correzione, ma non possono escluderla del tutto.
  3. Il codice decompilato “must not be used for purposes other than error correction.”

Un altro passaggio importante riguarda il concetto stesso di “errore”. Secondo la Corte, si tratta di “defects preventing the use of software in accordance with its intended purpose.” Ma, a differenza dell’Avvocato Generale, la Corte non entra nel merito della definizione di errore. L’unico chiarimento è che la “technical obsolescence” non rientra nell’errore: aggiornare un software perché è diventato vecchio non è lecito senza il consenso del titolare dei diritti.

Infine, la Corte chiarisce un punto operativo fondamentale: l’acquirente non è obbligato a chiedere prima l’aiuto del titolare dei diritti. In parole loro: “lawful acquirers are not required to ask the rightholder to correct the errors, to request access to the program’s source code, or to bring legal proceedings seeking an order that the rightholder perform a particular act.”

L’intelligenza artificiale complica i contratti

Chi oggi commissiona o utilizza software sviluppato con il supporto dell’intelligenza artificiale si trova davanti a problemi che i contratti tradizionali non consideravano minimamente. Le tecnologie AI – che si tratti di chatbot, algoritmi predittivi o strumenti di analisi automatica – producono risultati nuovi, dinamici e spesso imprevedibili. E questo pone nuove domande legali, che non si possono più ignorare.

Il primo nodo riguarda i diritti sull’output generato. Se un sistema AI scrive testi, elabora immagini o prende decisioni autonome, chi “possiede” quei risultati? La software house? Il cliente? L’autore del dataset con cui è stato addestrato il modello? Per evitare dispute, i contratti devono esplicitare chi ha la titolarità – o almeno i diritti d’uso – sull’output. È un tema ormai ricorrente nei contenziosi, anche in Italia.

Il secondo punto critico riguarda i dataset di addestramento. Molte soluzioni AI si basano su grandi quantità di dati – a volte forniti proprio dal cliente – per apprendere schemi e generare risposte. Ma il cliente ha dato realmente il consenso a usare quei dati? E può riutilizzarli in futuro? Senza clausole chiare, si rischia di violare diritti di terzi o di perdere il controllo su informazioni strategiche.

La soluzione è contrattuale. Servono clausole che disciplinino i diritti d’uso e riuso dei dataset, distinguendo bene tra:

  • i dati forniti dal cliente (per cui serve sempre il consenso e il rispetto della privacy),
  • i dati generati dal sistema durante l’utilizzo (spesso considerati “prodotti secondari”),
  • i dati “di sistema”, usati per migliorare il modello in generale (es. AI che impara da tutti i clienti contemporaneamente).

Inoltre, va garantita la liceità dei dati utilizzati per il training, soprattutto se si tratta di informazioni personali. Il nuovo AI Act europeo, in vigore dal luglio 2025, introduce obblighi sulla trasparenza, la tracciabilità e la documentazione dei dati, specie per i sistemi ad alto rischio. Ma non disciplina la responsabilità civile in caso di danni causati dall’output.

Infine, la responsabilità. Se un algoritmo AI commette un errore – per esempio, discrimina un candidato in una selezione automatizzata – chi ne risponde? Il produttore del modello? Il fornitore SaaS? Il cliente che lo ha usato? L’AI Act non dà una risposta diretta su questo punto: si limita a imporre obblighi tecnici e organizzativi, ma non regola chi paga in caso di danni. La questione, oggi, si risolve solo a livello contrattuale. Per questo è fondamentale prevedere clausole di allocazione del rischio, di esclusione o limitazione di responsabilità, e di indennizzo. Clausole che devono tenere conto del fatto che l’output dell’AI è spesso non replicabile né del tutto prevedibile.

In breve: se il software classico poneva domande su codice e licenze, il software AI-richiede nuovi strumenti contrattuali, per rispondere a domande completamente diverse. Chi possiede l’output? Chi controlla i dati? Chi risponde degli errori? Ignorare queste domande significa esporsi a rischi legali enormi, soprattutto nei settori regolamentati o pubblici.

Le 10 “red flags” nei contratti software del 2025

Per una PMI, una startup o una pubblica amministrazione, firmare un contratto software significa spesso entrare in un territorio tecnico opaco, dove le parole sembrano rassicuranti ma nascondono trappole giuridiche e operative. I contratti che regolano la fornitura, lo sviluppo o la licenza d’uso di software – specialmente in ambito SaaS – contengono spesso clausole standardizzate che, a una lettura superficiale, sembrano innocue, ma in realtà mettono in discussione i diritti fondamentali del committente.

  1. Il primo errore ricorrente riguarda la mancanza di una clausola chiara sulla titolarità del software sviluppato. Se il contratto non precisa a chi appartengano i diritti patrimoniali sul programma realizzato, questi – per legge – restano in capo allo sviluppatore. Il cliente, anche se ha commissionato e finanziato il progetto, non potrà modificarlo, copiarlo o cederlo a terzi senza violare il diritto d’autore. Questo equivoco, ancora oggi molto frequente, può essere evitato solo con una clausola espressa di cessione dei diritti o, quantomeno, con una licenza d’uso ampia e ben delimitata.
  2. Una seconda insidia riguarda l’accesso al codice sorgente. In molti contratti, anche in ambito pubblico, il committente riceve esclusivamente l’accesso al software compilato, ma non al suo codice leggibile e modificabile. Questo rende l’ente o l’azienda totalmente dipendente dal fornitore, anche per interventi minimi. Se il contratto non prevede la consegna del sorgente, l’unica forma di tutela praticabile è l’escrow.
  3. Il terzo problema riguarda la vaghezza o l’inconsistenza degli SLA. Troppo spesso nei contratti si legge che il servizio sarà “continuativo” o “disponibile”, senza parametri misurabili, tempi di intervento, soglie minime di disponibilità o penali in caso di disservizi. In assenza di SLA dettagliati, l’utente non ha strumenti per rivalersi.
  4. Un’altra red flag molto diffusa è l’assenza di clausole di uscita chiare. Alcuni contratti partono con entusiasmo ma non disciplinano come e quando il rapporto possa concludersi. Altri prevedono penali elevate o condizioni vessatorie. Peggio ancora, in molti casi il cliente non ha diritto a esportare i propri dati. Questo genera un effetto lock-in.
  5. Altro punto critico sono le modifiche unilaterali del contratto. Non è raro trovare clausole che consentono al fornitore di cambiare funzionalità, prezzi o condizioni generali “previo avviso”, lasciando il cliente in balia di decisioni non negoziate. Questo espone a cambiamenti imprevisti.
  6. Sesto elemento da tenere sotto controllo è la disciplina della responsabilità. Alcuni contratti escludono ogni responsabilità del fornitore. In altri casi è limitata a importi irrisori. Un contratto ben scritto deve invece prevedere responsabilità equilibrate.
  7. La settima red flag è l’assenza di impegni evolutivi sul software. Se il contratto non prevede un piano di aggiornamenti o una garanzia di compatibilità futura, il software rischia di diventare obsoleto rapidamente.
  8. Ottavo aspetto problematico è l’omessa disciplina dei dati e della privacy. Il fornitore deve indicare dove i dati sono archiviati, chi può accedervi e con quali misure di sicurezza. Altrimenti, si resta esposti a sanzioni.
  9. La nona red flag riguarda la mancanza di tracciabilità. Se il contratto non prevede audit, reportistica o accesso ai log di sistema, il cliente perde ogni controllo effettivo.
  10. Infine, molti contratti non dicono nulla – ma proprio nulla — sull’intelligenza artificiale. Se il contratto ignora questi aspetti, si crea un vuoto giuridico.

In definitiva, i contratti software vanno riletti alla luce delle esigenze attuali, che non sono solo tecniche ma anche giuridiche, strategiche e organizzative. E spesso basta anche una sola di queste falle per compromettere l’efficacia e la sicurezza di un intero progetto digitale.

© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 23 Dicembre 2025

È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.

Avv. Arlo Cannela

Arlo Canella

Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.

Leggi la bio
error: Content is protected !!