Quando Cloudflare cade e Internet si ferma, la domanda è una sola: chi paga i danni?
Il blackout globale di Cloudflare riaccende il tema della responsabilità digitale: cosa possono pretendere davvero le aziende tra contratti, SLA e limiti di tutela.
Il 18 novembre 2025 un esteso e improvviso outage di Cloudflare, uno dei principali fornitori globali di servizi CDN, DNS e sicurezza per il web, ha reso irraggiungibili moltissimi servizi online, coinvolgendo piattaforme ad alto traffico come X.com e perfino ChatGPT.
Il blackout, di natura ancora in corso di analisi, ha acceso interrogativi non solo sul versante tecnico, ma soprattutto giuridico: quando un’infrastruttura critica cade, chi sopporta davvero i danni? E un’impresa può davvero sperare in un risarcimento?
Per rispondere a queste domande è necessario partire da un punto chiave spesso ignorato: i rapporti contrattuali che legano Cloudflare ai propri clienti.
Cloudflare, come tutti i grandi provider internazionali, regola le proprie responsabilità attraverso strumenti contrattuali molto precisi. Il più importante è lo SLA (Service Level Agreement), cioè il documento che stabilisce cosa il provider garantisce e cosa invece resta escluso.
L’episodio è un’occasione per capire come funzionano gli obblighi contrattuali dei grandi provider e quali strumenti di tutela può oggi attivare un’azienda italiana.
Il quadro contrattuale: che cos’è uno SLA
Alla base di quasi tutti i servizi cloud, inclusi quelli offerti da Cloudflare, c’è uno SLA che definisce i livelli minimi di servizio che il fornitore si obbliga a rispettare.
Si tratta di un documento spesso dato per scontato, ma che in realtà stabilisce elementi fondamentali:
- Uptime garantito, espresso in percentuali che determinano quante ore annuali di disservizio sono tollerabili.
- Metriche di performance, come latenza, tempi di risposta e capacità di gestione del traffico.
- Tempi di ripristino, cioè l’arco temporale entro cui il provider deve intervenire per risolvere un malfunzionamento.
La parte più rilevante, tuttavia, riguarda cosa accade se gli impegni non vengono rispettati. Gli SLA prevedono di solito:
- Service credits, ovvero crediti compensativi utilizzabili sulle fatture future e calcolati sulla durata dell’outage.
- Compensazioni economiche limitate, espressamente indicate come unico rimedio possibile per il cliente.
È quindi raro che i grandi provider prevedano risarcimenti in senso civilistico. Il cliente, nella maggior parte dei casi, ottiene uno sconto sul canone e nulla più.
Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato
- +3000 avvocati pronti ad ascoltarti
- Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
- Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere
Lo SLA di Cloudflare: cosa prevede davvero
Cloudflare applica SLA differenti in base al piano sottoscritto.
La distinzione è rilevante perché determina quanto un cliente può effettivamente pretendere.
Per i clienti Business, la procedura per richiedere i crediti richiede di:
- segnalare il disservizio entro 5 giorni lavorativi;
- inoltrare la richiesta entro la fine del mese successivo all’evento;
- fornire log, evidenze tecniche e indicazioni sull’impatto subito.
Anche nei piani Enterprise, i crediti SLA restano l’unico strumento previsto. Non sono ammessi risarcimenti per danni indiretti, mancati profitti o per interruzioni dell’attività.
I limiti di responsabilità: come Cloudflare “blinda” i propri contratti
I termini di servizio Self-Serve (Free, Pro e Business) contengono una serie di clausole che limitano pesantemente la possibilità di ottenere un risarcimento:
- ricorso obbligatorio all’arbitrato e foro esclusivo in California;
- esclusione della responsabilità per danni indiretti, consequenziali o speciali;
- limite massimo (cap) pari all’ammontare dei corrispettivi pagati negli ultimi 12 mesi.
Nei contratti Enterprise le clausole sono analoghe, seppur con soglie più elevate. Il tetto massimo risarcibile resta comunque confinato ai corrispettivi già pagati dal cliente e continua a escludere i danni consequenziali.
Il risultato è chiaro: ottenere un risarcimento giudiziale nei confronti di Cloudflare è estremamente difficile. Il sistema contrattuale è costruito per chiudere la partita sul terreno degli SLA.
Il diritto italiano ed europeo: cosa cambia (e cosa no)
a) Rapporti B2B (azienda ↔ Cloudflare)
Nel nostro ordinamento, l’art. 1218 c.c. impone a chi non adempie un’obbligazione di risarcire il danno, ma l’art. 1229 c.c. permette contrattualmente di limitare la responsabilità, salvo il caso di dolo o colpa grave.
Nei rapporti internazionali B2B queste clausole sono di norma valide, perché il Regolamento (CE) 593/2008 “Roma I” consente alle parti di scegliere liberamente la legge applicabile, anche straniera. Non sorprende, dunque, che Cloudflare individui nella legge californiana la disciplina dei propri rapporti.
b) Rapporti B2C (consumatore ↔ Cloudflare)
Se un consumatore utilizzasse direttamente un servizio Cloudflare, varrebbero le tutele inderogabili del Codice del Consumo e del Reg. 1215/2012 “Bruxelles I bis”, che impongono legge e foro del consumatore.
Tuttavia, Cloudflare opera quasi esclusivamente B2B, rendendo questa ipotesi marginale.
c) Clausole vessatorie e approvazione
Le clausole limitative della responsabilità, quando applicate in contratti regolati dal diritto italiano, richiederebbero un’approvazione specifica ai sensi dell’art. 1341 c.c..
Ma se le parti scelgono una legge straniera, come quella californiana, questa tutela non trova applicazione.
GDPR: un outage può costituire una violazione dei dati?
Il GDPR considera violazione dei dati personali non solo l’accesso non autorizzato, ma anche la perdita temporanea di disponibilità.
Di conseguenza, se l’interruzione causata da Cloudflare ha reso temporaneamente inaccessibili dati personali, il titolare deve valutare il rischio per gli interessati e, in caso positivo:
- notificare il data breach al Garante Privacy entro 72 ore;
- informare eventualmente gli utenti se si configura un rischio elevato.
Cloudflare, in qualità di responsabile del trattamento, ha l’obbligo di avvisare il titolare “senza ingiustificato ritardo”.
Non ogni disservizio è un data breach, ma la perdita di disponibilità non pianificata può esserlo quando riguarda dati sensibili o servizi critici.
NIS2 e DORA: obblighi per imprese italiane
Con il d.lgs. 138/2024, l’Italia ha recepito la direttiva NIS2, imponendo a imprese essenziali e importanti (energia, sanità, finanza, pubbliche amministrazioni, trasporti) obblighi stringenti di:
- continuità operativa;
- segnalazione degli incidenti entro 24–72 ore.
Dal 17 gennaio 2025 si applica inoltre il Regolamento DORA, che impone agli operatori finanziari di:
- integrare nei contratti ICT clausole specifiche (SLA, audit, exit strategy);
- gestire e monitorare i rischi derivanti da fornitori tecnologici critici.
Un outage di Cloudflare, quindi, può comportare obblighi di notifica verso le autorità competenti, anche se il problema nasce da un fornitore esterno.
Cosa può fare davvero un’impresa italiana
- Richiedere i crediti SLA
Avviare il ticket entro 5 giorni lavorativi, formalizzare la richiesta nel mese successivo e fornire log dettagliati sull’inattività e sui suoi impatti. - Valutare coperture assicurative
Polizze “business interruption” o “cyber risk” possono compensare parte delle perdite, se ben documentate. - Aggiornare contratti e piani di continuità
Integrare SLA coerenti con quelli dei fornitori critici, prevedere architetture ridondate (multi-provider DNS/CDN) e allinearsi a NIS2 e DORA. - Consultare un legale specializzato
Solo in casi di colpa grave o violazioni dolose un’azione giudiziale può risultare praticabile, previa attenta analisi del contratto e del danno effettivo.
L’incidente Cloudflare evidenzia una verità spesso sottovalutata: nel digitale, la resilienza operativa non è solo una questione tecnica, ma anche giuridica. Gli SLA rappresentano una vera e propria linea di difesa contrattuale, che se ben compresa può fare la differenza tra un semplice disagio e un danno significativo.
FAQ
Solo se il contratto è stato violato in modo grave e l’evento non rientra nelle clausole di esclusione. In pratica, la maggior parte dei casi si risolve con crediti SLA.
No. Un outage non è di per sé un illecito: conta se il provider ha rispettato gli obblighi contrattuali e di diligenza.
Di norma no, perché le clausole di limitazione e forza maggiore escludono la responsabilità per effetti indiretti.
Solo se la perdita di disponibilità ha riguardato dati personali e comporta rischio per gli interessati.
Implementare ridondanza tecnica e tutele contrattuali (SLA, assicurazione, backup provider).
Riferimenti normativi principali
- Codice civile: artt. 1218, 1223, 1229, 1341.
- Reg. (CE) 593/2008 “Roma I” – legge applicabile ai contratti.
- Reg. (UE) 1215/2012 “Bruxelles I bis” – foro competente per i consumatori.
- GDPR (UE 2016/679) – art. 4(12), 33, 34.
- D.lgs. 138/2024 (NIS2) e Reg. (UE) 2022/2554 (DORA).
- Cloudflare Terms, Business SLA, Enterprise Terms (versioni aggiornate al 2025).
Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato
- +3000 avvocati pronti ad ascoltarti
- Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
- Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere
Newsletter
Iscriviti alla nostra newsletter settimanale per ricevere informazioni e notizie dal mondo legal.
Altro su Contrattualistica
Approfondimenti, novità e guide su Contrattualistica
Richiedi una Consulenza Legale, +3000 Avvocati sono pronti a rispondere
- Consulenza “Flex” a 29,90
- Richiesta Preventivo Gratuita
- Richieste Dirette agli Avvocati Scritte, Video o Telefoniche
