Scelta agenzia
Contratto per sito web: 12 clausole che ti proteggono nel 2026
Le 12 clausole indispensabili in un contratto per la realizzazione di un sito web: proprietà, scope, tempistiche, manutenzione, recesso, GDPR.
Stefano Prandi — 2026-06-19
Contratto per sito web: 12 clausole che ti proteggono nel 2026
Ogni anno gestisco almeno una richiesta di consulenza che inizia con la stessa frase: "Mi hanno fatto il sito ma adesso non riesco più a contattare il tecnico / non ho gli accessi / mi chiedono migliaia di euro per spostarlo altrove". Nove volte su dieci la causa è la stessa: contratto inesistente o talmente generico da non tutelare nessuno.
Realizzare un sito web nel 2026 significa muovere asset di valore: codice, dati personali dei tuoi utenti, dominio, indicizzazione, contenuti, brand. Affidarsi a una stretta di mano o a un preventivo PDF di una pagina è un rischio che non vale la pena correre, anche con il professionista più serio del mondo. Le persone si ammalano, le società chiudono, i rapporti si rompono.
Questa guida è la checklist concreta delle 12 clausole che devi pretendere — più 3 bonus avanzate per progetti sopra i 10.000 euro — in qualsiasi contratto di realizzazione sito web. Se il tuo fornitore si rifiuta di metterne anche solo una, è un segnale che vale tutta la guida.
1. Oggetto e scope dettagliato
La clausola più sottovalutata e quella che genera il 70% dei conflitti. "Realizzazione sito web vetrina" non è uno scope: è un titolo. Lo scope deve descrivere, pagina per pagina, cosa è incluso: numero di pagine statiche, numero di template dinamici, sezione blog sì/no, form di contatto con quanti campi, integrazione newsletter con quale provider, area riservata, e-commerce sì/no e quanti prodotti, lingue gestite, browser supportati, breakpoint responsive.
Allega al contratto un documento "Specifiche Tecniche" anche di 3-4 pagine. Tutto ciò che non è scritto lì dentro è fuori scope e legittimamente fatturabile a parte. Tutto ciò che è scritto lì dentro è dovuto al prezzo pattuito. Per costruire questo elenco ti aiuta la guida cosa chiedere in un preventivo sito web.
2. Proprietà intellettuale e cessione del codice
Per la Legge 633/1941 sul diritto d'autore, il codice sorgente è opera dell'ingegno e appartiene a chi lo scrive. Se nel contratto non c'è una clausola esplicita di cessione dei diritti patrimoniali, il freelance o l'agenzia restano proprietari del codice anche dopo averti consegnato il sito funzionante. Tu hai solo una licenza d'uso.
La formula corretta da inserire suona così: "Il Fornitore cede al Cliente, a titolo definitivo ed esclusivo, tutti i diritti patrimoniali sull'opera realizzata, ivi inclusi codice sorgente, design, layout grafici, contenuti testuali originali prodotti per il progetto, secondo quanto previsto dagli artt. 12-19 e 64-bis della L. 633/1941". Aggiungi che la cessione si perfeziona al saldo finale: tutela legittima per il fornitore, certezza per te.
3. Tempistiche con milestone e penali
Una data unica di consegna ("entro novembre 2026") è inutile: se slitta, non hai strumenti. Spezza il progetto in milestone con date specifiche: wireframe approvati entro X, design finale entro Y, sviluppo backend entro Z, sviluppo frontend entro W, test e debug entro K, go-live entro D.
Per ogni milestone superata di oltre 15 giorni senza causa imputabile al cliente, prevedi una penale forfettaria (esempio: 1% del valore totale per settimana di ritardo, con tetto massimo del 10%). Le penali servono soprattutto come deterrente: nessun fornitore vuole pagarle, e tutti lavorano meglio sapendo che ci sono. Senza penali, ritardare costa zero al fornitore e tantissimo a te.
4. Pagamenti scaglionati
Il modello standard di mercato nel 2026 prevede tre o quattro tranche: acconto del 30-40% alla firma, secondo SAL del 30% all'approvazione del design, terza tranche del 20% prima del go-live, saldo del 10-20% a consegna effettiva e collaudo positivo. Diffida da chi chiede il 100% upfront (lasci il fornitore senza incentivi a finire) o lo 0% upfront (probabilmente non è strutturato e ti molla a metà).
Specifica nel contratto: importi, scadenze, modalità di pagamento, conseguenze del ritardo (interessi di mora ex D.Lgs. 231/2002 nel B2B), e — soprattutto — che il go-live e la consegna dei codici di accesso avvengono solo dopo il saldo finale.
5. Modifiche in corso d'opera
La fonte numero uno di scope creep. Il cliente cambia idea, vuole aggiungere una sezione, cambiare i colori del brand a metà sviluppo, rifare i testi tre volte. Tutto legittimo, ma deve avere un prezzo trasparente.
La clausola deve stabilire: cosa si intende per "modifica fuori scope" (qualunque cosa non inclusa nel documento Specifiche Tecniche), come si quantifica (tariffa oraria pubblicata, esempio 70-90 euro/ora nel 2026), come si autorizza (preventivo scritto firmato prima dell'esecuzione, anche via email). Nessun lavoro extra parte senza preventivo accettato. Questo protegge entrambi: tu da fatture sorpresa, il fornitore da richieste infinite.
6. Hosting e dominio intestati a te
Clausola chirurgica e non negoziabile. Il dominio deve essere registrato a tuo nome (persona fisica o partita IVA del tuo studio/azienda), con email di contatto registrar che controlli tu, non il fornitore. L'hosting può essere gestito dal fornitore ma deve essere acquistato con account intestato a te o, in alternativa, deve essere previsto un trasferimento gratuito a richiesta entro 5 giorni lavorativi.
Inserisci anche: "Alla cessazione del rapporto, per qualsiasi causa, il Fornitore si impegna a consegnare al Cliente entro 7 giorni tutti i codici di accesso, file sorgente, database, configurazioni DNS e documentazione tecnica necessaria all'autonoma gestione del servizio". Approfondimento operativo nel mio articolo il sito è davvero tuo: 5 controlli da fare subito.
7. Manutenzione post-lancio
La manutenzione è un contratto a sé, non un favore. Definisci nel contratto principale (o in allegato) cosa è incluso nei primi 30-60-90 giorni dopo il go-live a titolo di garanzia (vedi punto 11) e cosa diventa manutenzione a pagamento.
Tipiche voci di manutenzione: aggiornamenti CMS e plugin, backup, monitoraggio uptime, security patch, piccole modifiche testuali (sotto il quarto d'ora), report mensile. Specifica formula: a canone fisso mensile (esempio 80-200 euro/mese), a pacchetto ore (esempio 5 ore/mese), o a ticket. Senza accordo scritto, ogni richiesta diventa una trattativa estenuante.
8. Recesso anticipato
Nei rapporti B2B il recesso ad nutum non esiste di default: dipende da cosa scrivete. La best practice è regolare entrambi gli scenari.
Recesso del cliente prima della consegna: il cliente paga il lavoro effettivamente svolto fino alla milestone più recente raggiunta, più una penale del 10-20% sul residuo come indennizzo per mancato guadagno. Le tranche già versate non sono restituibili se relative a lavoro già eseguito.
Recesso del fornitore prima della consegna: il fornitore restituisce le tranche già incassate non corrispondenti a lavoro già consegnato e utilizzabile, e consegna comunque il lavoro parziale in formato sorgente. Senza queste due clausole, in caso di rottura del rapporto si va in tribunale e si discute per anni.
9. Riservatezza reciproca (NDA)
Il fornitore vede i tuoi numeri di business, le tue strategie, la tua roadmap commerciale, talvolta dati di clienti. Tu vedi il suo modo di lavorare, le sue tariffe, i suoi processi. Una clausola NDA reciproca è standard nel 2026 e dovrebbe coprire: definizione di informazione riservata, obblighi di non divulgazione, durata (tipicamente 3-5 anni post-fine rapporto), eccezioni (informazioni già pubbliche, sviluppate autonomamente, divulgate per obbligo di legge).
Aggiungi una previsione sui referral: il fornitore può citare il tuo brand nel suo portfolio con uno screenshot del sito e una descrizione del progetto, salvo tuo diniego scritto. È equo: dargli zero referral è poco realistico, dargli carta bianca è imprudente.
10. GDPR e DPA per i dati raccolti
Il punto più delicato e quello dove il Garante Privacy può fare male a entrambi se non gestito bene. Tu cliente sei Titolare del trattamento dei dati personali raccolti tramite il sito (form contatti, newsletter, account, analytics, cookie). Il fornitore che gestisce hosting, manutenzione, database o ha accesso ai dati per qualsiasi motivo è Responsabile del trattamento ex art. 28 GDPR.
Devi firmare un Data Processing Agreement (DPA) separato o come allegato al contratto principale, che disciplini: tipologie di dati trattati, finalità, durata, misure di sicurezza tecniche e organizzative, gestione di data breach (notifica al titolare entro 24-48h), subprocessor autorizzati (esempio: il fornitore di hosting), trasferimenti extra-UE (clausole contrattuali tipo della Commissione UE). Riferimento normativo completo su gdpr.eu.
Senza DPA siete entrambi esposti a sanzioni fino al 4% del fatturato globale annuo o 20 milioni di euro, anche per violazioni colpose.
11. Garanzie e bugfix
Per legge (art. 1667 e 1668 c.c.) il contratto d'opera ha una garanzia di 1 anno dalla consegna per difformità e vizi. Ma è troppo generica per il digitale. Meglio specificare nel contratto: garanzia di 60 o 90 giorni dal go-live durante i quali ogni bug, errore di funzionamento, crash, incompatibilità browser/device pattuiti viene corretto gratuitamente e con tempi di intervento garantiti (esempio: bug critico bloccante entro 24h, bug minore entro 5 giorni).
Definisci cosa è bug (comportamento difforme dalle specifiche tecniche concordate) e cosa è nuova feature (a pagamento). Senza questa distinzione scritta, ogni richiesta finisce in zona grigia.
12. Foro competente e ADR
Clausola breve ma cruciale. Indica il foro competente per controversie (di solito quello della tua sede legale come cliente, se hai potere contrattuale). Soprattutto, prevedi una clausola di ADR (Alternative Dispute Resolution): prima di andare in tribunale, le parti tentano una mediazione presso un organismo accreditato (Camera di Commercio, ConciliaCamera, organismi privati). Costa pochissimo, dura 60-90 giorni, risolve la maggior parte dei conflitti senza i tempi (anni) e i costi (migliaia di euro) del giudizio ordinario.
Le 3 clausole bonus per progetti oltre 10.000 euro
Escrow del codice sorgente. Per progetti complessi (gestionali, e-commerce custom, web app), il codice viene depositato presso un soggetto terzo (notaio, società di escrow software) che lo rilascia al cliente in caso di fallimento, sparizione, morte o grave inadempimento del fornitore. Costo del servizio: 200-500 euro/anno. Vale ogni centesimo se il sito è business-critical.
Contratto di trasferimento del dominio già pre-firmato. Allegato al contratto principale, è un mandato irrevocabile che autorizza il cliente a trasferire il dominio a un altro provider in qualunque momento, anche senza ulteriore consenso del fornitore. Risolve in radice il classico ricatto del "tengo io il dominio finché non mi paghi quello che dico".
Audit annuale di conformità. Una volta all'anno il fornitore (o un terzo indipendente) verifica e certifica: aggiornamenti software effettuati, backup funzionanti e testati, vulnerabilità note rilevate e patchate, conformità GDPR mantenuta, performance Core Web Vitals nei target. Costo tipico: 300-800 euro. Per chi ha sito istituzionale o di compliance (sanità, finanza, legale) è quasi obbligatorio.
Modello template scaricabile
Sto ultimando un modello di contratto in formato Word editabile che integra tutte e 15 le clausole sopra descritte, già scritte in italiano giuridico ma comprensibile, con note di compilazione per ogni paragrafo e annessi (Specifiche Tecniche, DPA, Allegato Privacy). Sarà disponibile gratuitamente per gli iscritti alla newsletter di stepdesign.prandi.net dal mese prossimo. Se ti serve subito una bozza per un progetto in chiusura, scrivimi via form e te la giro in PDF.
Conclusione: il contratto è investimento, non burocrazia
Ogni clausola di questa lista è frutto di un problema che ho visto realmente accadere a clienti, miei o di colleghi. Domini sequestrati per non pagamento di una fattura contestata, codici sorgente persi perché il freelance era sparito senza lasciare accessi, sanzioni GDPR per mancanza di DPA, lavori extra fatturati il triplo del preventivo iniziale perché "non era scritto da nessuna parte che fosse incluso".
Un contratto serio si scrive in 2-3 ore di lavoro condiviso tra cliente e fornitore. Costa zero in denaro e produce certezze che valgono migliaia di euro. Se il professionista a cui ti rivolgi si rifiuta di firmare un contratto strutturato, o ti propone un modulo di una pagina con scritto solo "il cliente paga X per il sito Y", il segnale è chiaro: cambia fornitore.
Vuoi una review del tuo contratto attuale? Sono Stefano Prandi, lavoro da freelance su stepdesign.prandi.net e stimoweb.prandi.net. Mando il mio template di contratto, leggo il tuo, ti segnalo le clausole mancanti o pericolose. Prima call conoscitiva gratuita di 30 minuti, senza impegno. Scrivimi dal form contatti del sito.
FAQ
Serve un contratto scritto per fare un sito web?
Sì, sempre. Anche con freelance fidati o agenzie note, un contratto scritto è l'unico strumento che ti tutela in caso di ritardi, sparizioni, contestazioni sul perimetro del lavoro o dispute sulla proprietà del codice. Senza contratto vale la corrispondenza email (che è già qualcosa), ma in tribunale ricostruire pattuizioni da chat è lento, costoso e incerto. Un contratto da 4 pagine ti costa zero e ti salva migliaia di euro.
Quali sono le clausole indispensabili?
Le 12 minime sono: oggetto e scope dettagliato, proprietà intellettuale con cessione codice, tempistiche e penali, pagamenti, gestione modifiche extra, hosting e dominio intestati a te, manutenzione post-lancio, recesso anticipato, riservatezza reciproca, GDPR e DPA, garanzie e bugfix, foro competente. Se ne manca anche solo una sei esposto su quel punto.
Il codice del sito è automaticamente mio?
No. Per la Legge sul Diritto d'Autore (L. 633/1941) il codice è opera dell'ingegno e appartiene a chi lo scrive, salvo cessione scritta esplicita. Senza una clausola di cessione dei diritti patrimoniali nel contratto, il freelance o l'agenzia restano titolari del codice anche dopo che ti hanno consegnato il sito. Tu hai solo una licenza d'uso, non la proprietà.
Posso recedere se il sito non mi piace?
Nei rapporti B2B il recesso ad nutum (senza motivo) non è automatico: dipende da cosa avete scritto in contratto. La best practice è prevedere una clausola di recesso esplicita che regoli chi paga cosa in caso di abbandono prima della consegna, con percentuali legate alle milestone già completate. Senza clausola sei vincolato fino a consegna o devi dimostrare grave inadempimento dell'altra parte.
Chi è il titolare del trattamento dei dati raccolti?
Sei tu cliente, in quanto soggetto che decide finalità e mezzi del trattamento (form contatti, newsletter, account utenti, analytics). Il web designer o l'agenzia che gestisce hosting e manutenzione è responsabile del trattamento e deve firmare con te un DPA (Data Processing Agreement) ex art. 28 GDPR. Senza DPA siete entrambi esposti a sanzioni del Garante.
Richiedi un preventivo