Aziende e studi professionali funzionano grazie all’informatica, parola che racchiude una infinità molteplicità di servizi.
E’ difficile però per piccole imprese e studi professionali gestire in autonomia i servizi informatici, infatti oggi è diventata indispensabile la figura dell’MSP il Managed Service Provider, figura che si differenzia dal semplice tecnico informatico a chiamata.
CHI E’ L’MSP (MANAGED SERVIZI PROVIDER)?
L’MSP è colui che si assume l’impegno di gestire le strutture informatiche aziendali (con ambiti più o meno ampi), in cambio di un canone mensile, più o meno elevato, a seconda dei servizi richiesti. E’ una soluzione apprezzata da entrambe le parti, da un lato l’azienda o studio professionale può contare su una gestione regolare (già di per sé in grado di anticipare molti problemi) a fronte di una spesa ripartita e sotto controllo, dall’altra permette all’MSP di impostare la gestione delle strutture informatiche del cliente con un approccio “industriale” (se mi è consentito questo termine), potendo quindi programmare le attività di gestione, secondo metodologie precise che permettono una economica di scala.
Il rapporto tra MSP e cliente è quindi di lungo periodo: l’MSP può fornire vari servizi che vanno dalla progettazione, manutenzione dei sistemi informatici e all’assistenza al personale, perché bisogna anche sapere poi usare i vari servizi informatici.
A questa attività più propria dell’MSP, si affianca spesso anche la fornitura diretta di servizi CLOUD (backup, server, hosting, ecc.) che l’MSP configura e rivende in proprio al cliente. L’MSP, in questo caso, si avvale di piattaforme CLOUD affidabili (per es. certificate 27001, 27018, 27017…certamente con datacenter minimo TIER 4), dove i servizi CLOUD vengono acquistati dall’MSP, riconfigurati (operazione che richiede adeguata competenza tecnica) e poi rivenduti al cliente.
Non solo, ma l’MSP può trovarsi a noleggiare attrezzature comprese nel canone del servizio (per esempio il firewall perimetrale) oppure ancora vendere licenze informatiche di terze parti o ancora attrezzatture informatiche, fino alla gestione del mandato di acquisto di nomi a dominio e relativo poi rinnovo.
La vendita di licenze poi apre un mondo a sé, perché si va dai sevizi basilari (per es. office 365) fino alla fornitura del gestionale con vari servizi di assistenza e personalizzazione.
L’MSP quindi è una sorta di fiduciario, a cui il cliente può rivolgersi per potersi sollevare, a costi ragionevoli, dalle infinite problematiche collegate alla gestione dei servizi informatici, consapevole che senza di essi, l’azienda o lo studio professionale si blocca.
L’informatica però, si sa, non è una scienza esatta. Oggi un servizio funziona perfettamente, domani non funziona più per un nuovo aggiornamento. Oppure va a fuoco un intero datacenter con tutti i dati salvati all’interno di esso (compresi quelli di backup…) e nessuno ha pensato di replicare i dati in altri datacenter.
Il rapporto tra MSP e cliente è quindi un rapporto problematico, non privo di rischi, proprio per i complessi servizi offerti, non sempre prevedibili.
LA COMPLIANCE PRIVACY: L’MSP QUALE RESPONSABILE DEL TRATTAMENTO
A tutto questo si aggiunge poi la normativa privacy, in particolare l’art. 28 del regolamento GDPR che obbliga il cliente a nominare l’MSP quale responsabile del trattamento, mediante un contratto apposito (il DPA, Data Processing Agreement), sottoscrivibile anche in forma elettronica.
Senza DPA, sono applicabili sanzioni a carico sia del cliente sia dell’MSP (una delle prime sanzioni per l’MSP è stata pari ad euro 40.000, sanzione applicata in termini contenuti in via di prima applicazione… vd il sito del Garante Privacy provvedimento del 17.12.2020 doc. web 9525315).
La compliance all’art. 28 GDPR per l’MSP è un obiettivo che richiede impegno e risorse ed appare sempre di più necessario presentare al cliente il DPA, perché adesso le imprese o studi professionali più strutturati lo richiedono sempre più spesso, tanto da sottoporlo anche ai loro avvocati che, non raramente, vogliono chiarimenti e precisazioni.
Nella prima fase di applicazione del regolamento GDPR, si è assistito alla pretesa, da parte dei clienti, di far firmare all’MSP la nomina a responsabile del trattamento con numerose clausole capestro. Ora, superata la fase iniziale, è apparso fondamentale che l’MSP abbia un proprio DPA da sottoporre al cliente, con clausole ragionevoli per entrambe le parti.
Il rapporto quindi tra MSP e cliente è dunque complesso, che può sfuggire di mano senza un’adeguata gestione contrattuale dei rapporti.
PUO’ OGGI UN MSP LAVORARE SENZA UN CONTRATTO CHE LO TUTELI?
A fronte di questa complessità dei rapporti tra l’MSP e il Cliente, si resta sorpresi dal fatto che molti MSP lavorano senza un contratto (con relativo DPA), semplicemente emettono la fattura allo scadere del mese.
Certo poi quando sorgono i problemi, ecco che l’MSP si rende conto che il contratto è uno strumento a sua tutela, specie se nel contratto viene prevista una responsabilità condivisa con il cliente sulla gestione dei servizi informatici (non esiste alcun sistema sicuro se poi i dipendenti dei clienti cliccano su qualsiasi cosa arrivi via e-mail oppure la password è “pippo”).
Senza contratto poi al primo problema, ecco che l’MSP non si sa bene come comportarsi.
Puoi cancellare i dati del cliente se non paga il servizio? E se il cliente viene ispezionato dalla Guardia di Finanza Nucleo Speciale Privacy e non trovano la nomina a responsabile del trattamento dell’MSP, che succede? E se il cliente non vuole spendere per una determinata soluzione di sicurezza proposta dall’MSP e poi arriva l’attacco informatico, di chi è la colpa?
Davvero allora, oggi, è possibile per un MSP, lavorare senza contratto (con relativo DPA)?
Certo la scelta da parte dell’MSP di regolarizzare con un contratto il rapporto con il cliente, appare difficile per l’MSP.
Prima di tutto non è facile trovare il legale adatto che capisca di informatica e sia in grado di dialogare con l’MSP per capire le sue esigenze e condurlo verso una soluzione contrattuale comprensibile, personalizzata e relativamente semplice da gestire. Per fare tutto questo l’avvocato deve dedicare molto tempo all’MSP per spiegare, ragionare assieme e proporre soluzioni innovative (per esempio firma elettronica dei contratti).
L’MSP poi deve dedicare tempo alla preparazione del contratto, collaborando con l’avvocato, concentrandosi sulla definizione dei servizi offerti, che sono un presupposto di partenza ineliminabile che richiede uno sforzo di sintesi anche commerciale.
Se sei un MSP, ma non sai a chi rivolgerti per farti assistere da un legale che sappia dialogare con te e conosca i tuoi problemi, allora, sappi che io mi occupo dell’attività di preparazione della contrattualistica MSP-CLOUD proprio per gli MSP, aiutandoli nel percorso che porta a gestire dal punto di vista legale tutti i servizi offerti, mediante una soluzione personalizzabile, che ho elaborato nel corso degli anni e che ho riscontrato essere molto apprezzata.
Vuoi approfondire? Clicca qui.
