Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Danni da attacchi cibernetici. Qual è la responsabilità di risarcimento danni del fornitore di sistemi? Spiegazione di un esempio di clausola contrattuale

Danni da attacchi cibernetici. Qual è la responsabilità di risarcimento danni del fornitore di sistemi? Spiegazione di un esempio di clausola contrattuale

IT

Danni da attacchi cibernetici. Qual è la responsabilità di risarcimento danni del fornitore di sistemi? Spiegazione di un esempio di clausola contrattuale

Negli ultimi anni, gli attacchi cibernetici contro le aziende sono in costante aumento.

Secondo un’indagine condotta dalla Japanese Network Security Association (JNSA), un’organizzazione no-profit giapponese, la percentuale di incidenti di fuga di informazioni personali dovuti ad accessi non autorizzati era del 4,7% nel 2013, ma è aumentata fino al 20,3% nel 2018 (Rapporto di indagine sugli incidenti di sicurezza delle informazioni 2018[ja]).

In questo articolo, spiegheremo l’ambito di responsabilità che i fornitori di sistemi devono assumere quando subiscono un attacco cibernetico, basandoci su precedenti casi giudiziari. Inoltre, spiegheremo anche i ruoli e le responsabilità che dovrebbero essere stabiliti nel contratto per permettere ai fornitori e agli utenti di collaborare nella lotta contro gli attacchi cibernetici, basandoci su un modello di contratto.

Il fornitore di sistemi è responsabile per i danni da attacco cibernetico?

Il fornitore di sistemi è responsabile per i danni da attacco cibernetico?

Se un’azienda utente subisce un attacco cibernetico e ne deriva un danno, il primo a essere ritenuto responsabile dovrebbe essere l’autore dell’attacco cibernetico. Tuttavia, se c’è la possibilità che l’attacco sia stato facilitato da una negligenza nello sviluppo o nell’operazione del sistema, potrebbe essere riconosciuta una richiesta di risarcimento danni da parte dell’utente al fornitore del sistema.

Le basi per una richiesta di risarcimento danni contro il fornitore del sistema includono:

  • Responsabilità per inadempimento contrattuale
  • Violazione del dovere di diligenza

Tuttavia, potrebbe anche accadere che il danno si amplifichi a causa di una negligenza da parte dell’utente. In tal caso, la responsabilità dell’utente può essere riconosciuta. In alcuni casi, nei processi legali effettivi, questo è stato preso in considerazione come compensazione per la negligenza, limitando il risarcimento danni contro il fornitore del sistema.

Articolo correlato: Quali sono le 3 categorie di crimini informatici? Un avvocato spiega le misure di prevenzione per ogni scenario[ja]

Responsabilità per danni del fornitore di sistemi e esempi di contratti

Ci sono tre esempi rappresentativi di contratti di sistema IT tra il fornitore di sistemi e l’azienda utente:

  1. Contratto di sviluppo software
  2. Contratto di manutenzione e gestione del sistema
  3. Contratto di utilizzo del servizio cloud

La responsabilità per i danni è determinata dal contratto iniziale, quindi spiegheremo per ogni tipo di contratto di seguito.

Contratto di Sviluppo Software

Un contratto di sviluppo software è un accordo stipulato quando un’azienda, lato utente, affida lo sviluppo del proprio sistema a un fornitore di software.

Se l’azienda utente subisce un attacco cibernetico e la vulnerabilità del software diventa la causa dell’ampliamento del danno, è possibile che la responsabilità venga richiesta dal fornitore.

Le responsabilità che il fornitore del sistema deve assumere variano a seconda del tipo di contratto di sviluppo software, e sono le seguenti due:

  • Contratto d’appalto: Responsabilità per inadempimento contrattuale
  • Contratto di subappalto: Violazione del dovere di diligenza

Contratto d’appalto

Un contratto d’appalto è un accordo in cui si promette il completamento del sistema e si paga un compenso per il prodotto finale.

Se il prodotto consegnato “non è conforme all’obiettivo del contratto”, entro un certo periodo di tempo dalla consegna, l’appaltatore sarà responsabile per l’inadempimento contrattuale (Articoli 559 e 562 del Codice Civile Giapponese[ja]).

In altre parole, c’è il rischio che un prodotto che può facilmente causare un guasto del sistema a causa di un attacco cibernetico sia considerato “non conforme all’obiettivo del contratto”, e che l’utente possa richiedere un risarcimento per danni dovuti all’inadempimento contrattuale.

Se questa richiesta sarà accettata o meno dipende dal livello di sicurezza del software che le parti hanno concordato in anticipo.

【Esempio di responsabilità per inadempimento contrattuale】

Articolo 〇 Dopo l’accettazione menzionata nell’articolo precedente, se viene scoperta una discrepanza (inclusi i bug, qui di seguito denominata “inadempimento contrattuale”) tra il prodotto consegnato e le specifiche del sistema, la parte A può richiedere alla parte B di completare l’esecuzione (qui di seguito denominata “completamento”) per correggere tale inadempimento contrattuale, e la parte B dovrà eseguire tale completamento. Tuttavia, a meno che ciò non comporti un onere eccessivo per la parte A, la parte B può eseguire il completamento in un modo diverso da quello richiesto dalla parte A.

2. Nonostante il paragrafo precedente, se l’obiettivo del contratto individuale può essere raggiunto nonostante l’inadempimento contrattuale, e il completamento richiederebbe un costo eccessivo, la parte B non sarà obbligata a eseguire il completamento come previsto nel paragrafo precedente.

3. Se la parte A subisce danni a causa dell’inadempimento contrattuale (limitatamente a quelli causati da cause imputabili alla parte B), la parte A può richiedere un risarcimento dei danni alla parte B.

Citazione: Modello di contratto di transazione del sistema informativo (seconda edizione)[ja]

Contratto di subappalto

Un contratto di subappalto non prevede l’applicazione della responsabilità per inadempimento contrattuale, in quanto non si assume l’obbligo di completare il prodotto. Invece, si assume il “dovere di gestire l’incarico con la diligenza di un buon amministratore” (dovere di diligenza).

Se un attacco cibernetico causa un guasto del sistema, anche se non si è stabilito un livello di sicurezza al momento del contratto, il fatto di aver sviluppato un sistema di tale livello può essere considerato una “violazione del dovere di diligenza” (Articoli 656 e 644 del Codice Civile Giapponese[ja]), e si potrebbe essere soggetti a una richiesta di risarcimento dei danni.

【Esempio di dovere di diligenza】

Articolo 〇 La parte B, dopo aver stipulato il contratto individuale specificato nell’articolo 〇, fornirà un servizio (di seguito denominato “servizio di supporto alla creazione di specifiche dei requisiti”) per supportare la creazione di specifiche dei requisiti da parte della parte A, basandosi sul documento di concetto del sistema informativo, sul piano di sistematizzazione, ecc., creato dalla parte A come parte di questo lavoro.

2. La parte B, sulla base della sua conoscenza ed esperienza specializzata in tecnologia dell’informazione, svolgerà attività di supporto come ricerca, analisi, organizzazione, proposta e consulenza con la diligenza di un buon amministratore, al fine di garantire che il lavoro della parte A sia svolto in modo fluido e appropriato.

Citazione: Modello di contratto di transazione del sistema informativo (seconda edizione)[ja]

Contratto di Manutenzione e Gestione del Sistema

Il contratto di manutenzione e gestione del sistema è un accordo in cui un’azienda affida a un fornitore di software il compito di mantenere e gestire il software esistente. Quando si stipula un contratto di manutenzione e gestione, è comune includere nel contratto il livello di sicurezza che deve essere raggiunto, specificandolo in documenti come le specifiche tecniche.

Se si verificano danni a causa di un attacco informatico e il livello di sicurezza del sistema è inferiore a quello concordato al momento della stipula del contratto, la responsabilità per l’inadempimento del contratto può essere perseguita sulla base della clausola di non conformità del contratto.

Tuttavia, se non è stato definito in anticipo un livello di sicurezza, il mantenimento e la gestione di un sistema vulnerabile agli attacchi informatici potrebbe essere considerato in violazione del dovere di diligenza e responsabilità, e potrebbe essere perseguito.

Contratto di Utilizzo del Servizio Cloud

Il contratto di utilizzo del servizio cloud è un accordo stipulato quando si utilizza un servizio fornito da un fornitore su un cloud. Poiché si prevede che il fornitore offrirà lo stesso servizio a molti utenti, è probabile che si stipulerà un contratto in conformità con i termini di utilizzo stabiliti dal fornitore.

Generalmente, in questo contratto, è predefinita la responsabilità nel caso in cui il servizio non possa essere fornito a causa di un attacco informatico.

Nel contratto di utilizzo del servizio cloud, di solito si stabiliscono le seguenti condizioni al momento della stipula del contratto:

  • SLA (Service Level Agreement): garanzie sulla qualità e regole operative
  • Clausola di limitazione di responsabilità: ambito di responsabilità del fornitore in caso di inadempimento in caso di danni

L’SLA è un documento che esplicita il livello di servizio richiesto dall’utente e le regole operative del fornitore. Se non si riceve il servizio stipulato qui, è possibile richiedere un risarcimento per inadempimento parziale. Inoltre, nel contratto, il fornitore può predefinire le condizioni per ricevere una richiesta di inadempimento e limitare l’importo del risarcimento, anche se la responsabilità è riconosciuta, attraverso una “clausola di limitazione di responsabilità”.

Tuttavia, poiché le clausole di limitazione di responsabilità sono spesso favorevoli al fornitore, potrebbero essere soggette a certe restrizioni secondo la giurisprudenza giapponese in caso di controversie.

【Esempio di clausola di limitazione di responsabilità】

Articolo ○: Se A e B subiscono danni a causa di una causa attribuibile all’altra parte in relazione all’esecuzione di questo contratto e del contratto individuale, possono richiedere un risarcimento danni all’altra parte (limitato ai danni di ○○○). Tuttavia, questa richiesta non può essere fatta dopo che sono trascorsi ○ mesi dalla data di completamento dell’accettazione del prodotto stabilito nel contratto individuale in questione o dalla data di conferma del completamento del lavoro.

2. L’importo totale cumulativo del risarcimento danni in relazione all’esecuzione di questo contratto e del contratto individuale, indipendentemente dalla causa della richiesta, inclusi inadempimento (inclusa la responsabilità per non conformità del contratto), arricchimento senza causa, atto illecito o altro, è limitato all’importo di ○○○ stabilito nel contratto individuale che ha causato la causa di responsabilità.

3. Il precedente paragrafo non si applica in caso di dolo o grave negligenza da parte del debitore del risarcimento danni.

Citazione: Modello di contratto di transazione del sistema informativo (seconda edizione)[ja]

Criteri per determinare l’ambito di responsabilità per il risarcimento dei danni da parte del fornitore di sistemi

Criteri per determinare l'ambito di responsabilità per il risarcimento dei danni da parte del fornitore di sistemi

Quando un’azienda utente subisce danni a causa di un attacco cibernetico, in quali circostanze specifiche potrebbe essere messa in discussione la responsabilità del fornitore che ha sviluppato il sistema?

Di seguito, spiegheremo sulla base di casi reali in cui è stata messa in discussione la responsabilità del fornitore di sistemi.

Il fornitore ha implementato misure in linea con il livello tecnologico al momento dello sviluppo?

Nei casi reali in cui la responsabilità è stata contestata in tribunale, è stato dato grande peso al fatto che il fornitore di sistemi avesse implementato misure di sicurezza al livello prescritto da avvisi e manuali di enti governativi e associazioni industriali al momento dello sviluppo.

Ci sono stati casi in cui il fornitore di sistemi è stato condannato a risarcire i danni causati da attacchi cibernetici, come nel seguente esempio.

【Caso di giudizio】Sentenza del Tribunale di Tokyo del 23 gennaio 2014 (Heisei 26)
Utente: X Co., Ltd., un rivenditore di materiali per interni che conduce vendite per corrispondenza
Fornitore: Y Co., Ltd., che aveva accettato l’incarico di progettare e mantenere un sistema di ordini online

Un incidente in cui le informazioni delle carte di credito di 7.000 clienti sono state divulgate a causa di un attacco cibernetico

■Verdetto
Ordine di risarcimento dei danni di circa 20 milioni di yen al fornitore di sistemi
È stato riconosciuto un importo superiore ai circa 2 milioni di yen del prezzo di sviluppo
È stato riconosciuto un errore anche da parte di X Co., Ltd., e si è applicata una compensazione per negligenza del 30%

■Motivo
・Il fornitore di sistemi ha trascurato di implementare misure di sicurezza in linea con il livello tecnologico del momento.
・Nonostante avesse ricevuto una spiegazione del rischio dal fornitore di sistemi, l’azienda utente che aveva trascurato di prendere misure è stata ritenuta colpevole, e si è applicata una compensazione per negligenza del 30%.

Nel 2014, l'”attacco di iniezione SQL” era il principale metodo di attacco cibernetico, e il Ministero dell’Economia, del Commercio e dell’Industria aveva pubblicato un documento intitolato “Avviso sulla rigorosa implementazione delle misure di gestione della sicurezza dei dati personali in base alla legge sulla protezione dei dati personali[ja]“, in cui metteva in evidenza il rischio cibernetico e chiedeva il rafforzamento dei sistemi.

La sentenza ha riconosciuto la responsabilità del fornitore di sistemi che non aveva preso misure e ha ordinato il risarcimento dei danni, ma ha anche riconosciuto un errore da parte dell’azienda utente e ha concesso una compensazione per negligenza del 30%.

C’è una colpa da parte dell’azienda utente?

Anche l’azienda utente che ordina lo sviluppo del sistema ha obblighi da rispettare, e se c’è una colpa, potrebbe essere tenuta a rispondere di tutta la responsabilità.

Sebbene il seguente non sia un caso di attacco cibernetico, ci sono stati casi in cui è stata riconosciuta pienamente la responsabilità dell’azienda utente e ordinato il risarcimento dei danni.

【Caso di giudizio】Sentenza del Tribunale di Asahikawa del 31 agosto 2017 (Heisei 29)

Utente: Ospedale universitario
Fornitore: Azienda di sistemi che aveva ricevuto l’incarico di sviluppare un sistema di cartelle cliniche elettroniche dall’ospedale universitario

Subito dopo l’inizio del progetto, ci sono state continue richieste di aggiunte da parte dei medici sul campo.
Le richieste non si sono fermate e lo sviluppo è stato ritardato, e l’ospedale universitario ha notificato la risoluzione del contratto a causa del ritardo.

■Verdetto (appello)
Ordine di risarcimento dei danni di circa 1,4 miliardi di yen all’ospedale universitario
La sentenza di primo grado, che ordinava il risarcimento a entrambe le parti, è stata annullata

■Motivo
・Il problema era che l’ospedale non aveva ascoltato l’avvertimento del fornitore che se avesse risposto alle richieste aggiuntive, non avrebbe potuto rispettare la scadenza.

Questo processo è stato avviato quando l’azienda utente ha notificato la risoluzione del contratto a causa del ritardo nello sviluppo del sistema, e sia l’azienda utente che il fornitore di sistemi hanno intentato una causa per richiedere il risarcimento dei danni l’uno all’altro.

La sentenza ha riconosciuto che la causa del ritardo nello sviluppo era che l’azienda utente non aveva ascoltato l’avvertimento del fornitore di sistemi, ha riconosciuto il 100% della responsabilità all’azienda utente, e ha respinto la richiesta dell’azienda utente. Il fornitore di sistemi ha l’obbligo di “gestire il progetto” in modo da rispettare la scadenza. D’altra parte, l’azienda utente ha anche un “obbligo di cooperazione”, e se trascura questo obbligo, può essere ritenuta interamente responsabile, e in un processo reale, la responsabilità di risarcimento è determinata in base a questa percentuale.

Tre punti chiave per lo sviluppo di un sistema sicuro

Tre punti chiave per lo sviluppo di un sistema sicuro

Per prepararsi ai rischi cibernetici, è importante che sia gli utenti che i fornitori collaborino insieme per implementare misure di sicurezza.

Di seguito, spiegheremo le misure che i fornitori e gli utenti possono adottare rispettivamente.

Comprendere i rischi cibernetici segnalati da agenzie governative e simili

I fornitori di sistemi dovrebbero verificare le linee guida rilasciate da organizzazioni specializzate come il Ministero dell’Economia, del Commercio e dell’Industria giapponese (Japanese Ministry of Economy, Trade and Industry) e l’Organizzazione per la Promozione del Trattamento delle Informazioni (Japanese Information-technology Promotion Agency, IPA), comprendere i rischi cibernetici attuali e i metodi per affrontarli, e quindi procedere con lo sviluppo e la gestione.

Inoltre, non solo i fornitori, ma anche le aziende utenti dovrebbero avere una certa comprensione del contenuto e richiedere lo sviluppo e la gestione in conformità con le linee guida, inserendo una clausola sul livello di sicurezza nel contratto.

Riferimento: Ministero dell’Economia, del Commercio e dell’Industria giapponese | Linee guida per la gestione della sicurezza cibernetica Ver 2.0[ja]

Riferimento: Organizzazione per la Promozione del Trattamento delle Informazioni | Come creare un sito web sicuro[ja]

In particolare, in settori come quello finanziario, potrebbe essere richiesta una sicurezza avanzata da leggi e linee guida. Per le misure di sicurezza relative agli asset crittografici, si veda la spiegazione dettagliata di seguito.

Articolo correlato: Che cosa sono le misure di sicurezza per gli asset crittografici (valute virtuali)? Spiegazione con tre casi di perdite[ja]

Entrambe le parti coinvolte comprendono la necessità della sicurezza

Le “Linee guida per la gestione della sicurezza cibernetica Ver2.0” del Ministero dell’Economia, del Commercio e dell’Industria giapponese affermano chiaramente che “le misure di sicurezza cibernetica sono un problema di gestione”.

Non si dovrebbe semplicemente delegare la sicurezza al fornitore perché non si capisce, ma l’azienda dovrebbe considerare la gestione del rischio come parte della gestione e assumersi la responsabilità di implementare le misure.

Entrambe le parti lavorano insieme per affrontare gli attacchi cibernetici

Quando si subisce un attacco cibernetico, sia il committente che il fornitore dovrebbero lavorare insieme per minimizzare i danni, invece di incolparsi a vicenda.

Tuttavia, nel caso dello sviluppo di sistemi, la posizione del committente tende ad essere forte, e lo sviluppo del sistema tende ad essere guidato dal costo e dal tempo di consegna. Potrebbe anche accadere che il fornitore non riceva abbastanza denaro o tempo e che le sue proposte di sicurezza non vengano accettate.

Tuttavia, le linee guida indicano che le aziende utenti dovrebbero considerare l’implementazione delle misure di sicurezza non come un “costo”, ma come un elemento essenziale per le future attività commerciali e la crescita, e quindi come un “investimento”.

Nello sviluppo di sistemi, è importante che il fornitore e l’utente lavorino insieme su un piano di parità per affrontare gli attacchi cibernetici.

Riassunto: Consulta un avvocato per la redazione del contratto di sviluppo del sistema

Se si verificano danni a seguito di un attacco cibernetico, il fornitore coinvolto nello sviluppo del sistema può essere ritenuto responsabile per aver trascurato le misure di gestione del rischio cibernetico da parte dell’azienda utente.

Tuttavia, anche l’azienda utente che ha trascurato il suo dovere di cooperazione con il fornitore ha una responsabilità.

Per minimizzare i danni da un attacco cibernetico, è necessario stabilire nel contratto il livello del sistema e l’ambito di responsabilità di ciascuna parte.

Per la redazione di contratti di sviluppo di sistemi, consulta un avvocato con una profonda conoscenza specialistica che comprenda il contenuto delle linee guida e i rischi cibernetici attuali.

Presentazione delle misure adottate dal nostro studio legale

Lo studio legale Monolith è un’agenzia legale altamente specializzata in IT, in particolare nell’intersezione tra Internet e legge. Quando si stipula un contratto di sviluppo di sistema, è necessario redigere un contratto. Nel nostro studio, creiamo e rivediamo contratti per una varietà di casi, dalle aziende quotate alla Borsa di Tokyo alle startup. Se avete problemi con i contratti, si prega di fare riferimento all’articolo sottostante.

Aree di competenza dello studio legale Monolith: Affari legali correlati allo sviluppo di sistemi[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

IT

È possibile stabilire un contratto di sviluppo di sistema senza un contratto scritto?

È possibile stabilire un contratto di sviluppo di sistema senza un contratto scritto?

IT

Cos'è il portafoglio necessario per le transazioni NFT? Spiegazione sulla regolamentazione legale in Giappone

Cos'è il portafoglio necessario per le transazioni NFT? Spiegazione sulla regolamentazione legal.

IT

Cosa sono le regolazioni relative agli asset crittografici? Spiegazione del rapporto tra la 'Legge Giapponese sui Pagamenti in Denaro' e la 'Legge Giapponese sul Commercio di Prodotti Finanziari

Cosa sono le regolazioni relative agli asset crittografici? Spiegazione del rapporto tra la 'Leg.

IT

Cos'è il servizio di custodia? Spiegazione sulla regolamentazione per i fornitori di scambio di criptoasset

Cos'è il servizio di custodia? Spiegazione sulla regolamentazione per i fornitori di scambio di .

IT

Regolamentazione delle Stablecoin aggiunta! Spiegazione dei punti chiave della legge giapponese sulle transazioni finanziarie emendata nel 2022 (Reiwa 4)

Regolamentazione delle Stablecoin aggiunta! Spiegazione dei punti chiave della legge giapponese .

IT

Reati di minaccia e istigazione al suicidio su LINE

Reati di minaccia e istigazione al suicidio su LINE

IT

Cosa sono i punti da controllare nel contratto per lo sviluppo di sistemi su commissione?

Cosa sono i punti da controllare nel contratto per lo sviluppo di sistemi su commissione?

IT

Punti di attenzione nell'utilizzo di OSS nei contratti di sviluppo software affidati a terzi

Punti di attenzione nell'utilizzo di OSS nei contratti di sviluppo software affidati a terzi

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su