Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Cosa sono le 3 categorie di crimini informatici? Un avvocato spiega le misure di protezione per ogni scenario

Cosa sono le 3 categorie di crimini informatici? Un avvocato spiega le misure di protezione per ogni scenario

IT

Cosa sono le 3 categorie di crimini informatici? Un avvocato spiega le misure di protezione per ogni scenario

“Cybercrime”, sebbene sia un termine abbastanza diffuso nel linguaggio quotidiano, è definito a livello internazionale come “reato commesso attraverso l’abuso di tecnologia informatica e di telecomunicazioni”. Alcuni tipi di cybercrime, come l’hacking (o cracking), possono colpire anche le aziende, rendendole vittime. In caso di tali danni, è necessario considerare quali misure adottare.

In questo articolo, classificheremo i cybercrimini in tre categorie generalmente utilizzate in Giappone e spiegheremo per ciascuna categoria a quali reati corrisponde e quali misure possono essere adottate in caso di danni. La ragione per cui questa classificazione è importante è che:

  • Se non si può essere considerati “vittime” in senso legale, anche se si può “segnalare” che è stato commesso un reato, può essere difficile spingere la polizia a indagare attraverso una denuncia o una querela.
  • Nel caso di reati per i quali esistono misure civili, non è necessario affidarsi alle indagini della polizia, ma si può chiedere a un avvocato di identificare il colpevole attraverso metodi civili e richiedere un risarcimento per i danni.
  • Se si è vittime di un reato per il quale non esistono soluzioni civili, si dovrà spingere la polizia a indagare.

Questo perché le “misure” variano a seconda della categoria.

Le tre categorie di crimini informatici

In Giappone, i crimini informatici sono generalmente classificati in tre categorie.

Come indicato sopra, in Giappone è comune classificare i crimini informatici in tre categorie.

  • Crimini informatici: La definizione esatta sarà spiegata in seguito, ma in poche parole, si tratta di atti criminali che ostacolano le operazioni aziendali.
  • Crimini commessi utilizzando la rete: Atti criminali commessi abusando di Internet.
  • Violazione della legge giapponese sulla proibizione dell’accesso non autorizzato: Ad esempio, atti di accesso non autorizzato.

Di seguito, spiegheremo ciascuno di essi in dettaglio.

Che cosa sono i crimini informatici

Che cos’è il reato di danneggiamento di computer e interferenza con le operazioni

Un’azione che corrisponde a questo reato, definito nel codice penale giapponese come “reato di danneggiamento di computer e interferenza con le operazioni”, è un tipico esempio di questo tipo di crimine.

Chiunque danneggia un computer o un registro magnetico utilizzato per le operazioni di un individuo, o fornisce informazioni false o istruzioni inappropriate a un computer utilizzato per le operazioni di un individuo, o in qualsiasi altro modo, fa sì che il computer non esegua operazioni secondo il suo scopo di utilizzo, o esegua operazioni contrarie al suo scopo di utilizzo, interferendo con le operazioni di un individuo, sarà punito con una pena detentiva fino a 5 anni o una multa fino a 1 milione di yen.

Articolo 224-2 del Codice Penale Giapponese

Sebbene la frase sia difficile da leggere, in sintesi, si tratta di un crimine che si verifica quando si interferisce con le operazioni utilizzando metodi come:

  • Danneggiare un PC o i dati al suo interno utilizzati per le operazioni
  • Invio di informazioni false o non previste al PC utilizzato per le operazioni

Un esempio tipico di questo è un’azione che aumenta il saldo del conto di una banca online sfruttando una falla di sicurezza o effettuando un accesso non autorizzato all’account di un’altra persona. Inoltre, azioni come la modifica del sito web di un’azienda sfruttando una falla di sicurezza o ottenendo illegalmente le informazioni di accesso, rientrano in questa categoria. Sebbene l’atto di “accesso non autorizzato” sia un esempio del “reato di accesso non autorizzato” che verrà discusso in seguito, questo tipo di crimine riguarda azioni come operazioni non autorizzate, alterazioni, cancellazioni e modifiche illegali dei dati.

Qual è la differenza con l’accesso non autorizzato?

Questo tipo di crimine può essere commesso anche senza l’intervento di un atto di accesso non autorizzato. Un esempio tipico è il cosiddetto attacco DoS. Questo include schemi come l’invio di un gran numero di e-mail per causare un malfunzionamento del server di posta elettronica, o l’esecuzione di un gran numero di accessi a un sito web per causare un malfunzionamento del server web. Sebbene ciascuna di queste azioni sia legale se vista individualmente, l’esecuzione di un gran numero di queste azioni può causare al server (PC) di eseguire operazioni non previste, causando danni all’azienda in questione, come l’incapacità di utilizzare la posta elettronica o l’incapacità di aprire il sito web. Pertanto, “anche se non viola la legge sull’accesso non autorizzato, rientra nel reato di danneggiamento di computer e interferenza con le operazioni”. Inoltre, in casi di crimini di questo tipo, il reato di frode può anche diventare un problema.

Come incoraggiare le indagini della polizia

Come può una vittima di un crimine informatico far arrestare il colpevole dalla polizia?

Queste azioni sono crimini come descritto sopra, e poiché l’azienda in questione è la vittima, è possibile richiedere un’indagine da parte della polizia. Tuttavia, la realtà è che la polizia giapponese non è molto attiva nel trattare con questi crimini. Questo è dovuto in parte a problemi tecnici. Ad esempio, ho parlato di un semplice attacco DoS sopra, ma in realtà, molti attacchi non provengono da un singolo indirizzo IP con un milione di e-mail o accessi, ma da molti indirizzi IP, cioè da attacchi distribuiti. Questi attacchi sono chiamati “DDoS”.

Se un gran numero di e-mail o accessi proviene dallo stesso indirizzo IP, è chiaro che si tratta di un gran numero di accessi da parte della stessa persona e che si tratta di “informazioni non previste”. Tuttavia, se gli indirizzi IP sono distribuiti, ogni singola e-mail o accesso in sé è legale, quindi a meno che non ci siano prove che siano stati effettuati dalla stessa persona, non si può dire che si tratti di un invio illegale di informazioni. Quindi, come si può dimostrare che “un gran numero di e-mail o accessi sono stati effettuati dalla stessa persona” in un rigoroso processo penale? Questo è certamente un problema difficile per la polizia e la procura.

Inoltre, in un processo penale, non è sufficiente dimostrare che “la comunicazione che costituisce un crimine (ad esempio, l’invio di un gran numero di e-mail nel caso sopra citato) è stata effettuata dal PC di proprietà del sospettato”. Ciò che è richiesto in un caso penale è la constatazione dei fatti a livello di “chi”, non di “da quale PC”. Infatti, molte delle sentenze dei processi penali esaminano attentamente questa parte, cioè “l’atto criminale è stato sicuramente commesso dal PC del sospettato, ma è stato realmente commesso dal sospettato stesso?”. Questi ostacoli alla prova, sebbene importanti per prevenire condanne ingiuste, possono anche essere un motivo per cui la polizia e la procura esitano a indagare sui crimini informatici.

Tuttavia, se il tempo trascorso dall’evento è breve, è possibile che l’analisi dettagliata dei log del server, ad esempio, possa portare a prove che “è molto probabile che sia stata la stessa persona” e “è sicuramente stata la persona sospettata”. Un’indagine basata sulla tecnologia IT e un’analisi legale che traduce ciò che è stato scoperto nell’indagine in documenti legalmente significativi. Se questi due elementi sono presenti, ci possono essere casi in cui è possibile incoraggiare un’indagine da parte della polizia.

La risoluzione civile è difficile

Sarebbe bello se ci fossero soluzioni civili senza dover fare affidamento sulla polizia, ma la verità è che per questo tipo di crimine, le misure civili sono scarse.

Ad esempio, nel caso in cui vengano inviate molte e-mail, l’indirizzo IP del mittente è indicato nell’e-mail (nell’intestazione dell’e-mail), quindi si vorrebbe far rivelare al provider il nome e l’indirizzo del contraente che stava utilizzando quell’indirizzo IP. Tuttavia, secondo il diritto civile giapponese, non esiste un diritto di richiedere legalmente questa divulgazione. Nel caso di diffamazione su Internet, come menzionato in seguito, è possibile utilizzare il diritto di divulgazione delle informazioni del mittente previsto dalla legge sulla limitazione della responsabilità dei fornitori, ma per farla breve, questo diritto di divulgazione è riconosciuto solo per:

Comunicazioni per effettuare post che possono essere viste da un numero indeterminato di persone (il tipico esempio sono le comunicazioni per postare diffamazioni su un forum internet aperto al pubblico)

Non è riconosciuto.

Di fatto, in molti casi di crimini informatici avanzati, è necessario un rapporto più dettagliato per incoraggiare la polizia a indagare rispetto a quando si avvia un processo. Inoltre, dal primo contatto con la polizia fino all’effettiva indagine e arresto, possono essere necessari periodi di tempo come un anno. Al contrario, la risoluzione civile può essere più semplice, richiedere meno tempo e meno lavoro… ma per questo tipo di crimine, la risoluzione civile è impossibile o molto difficile in linea di principio. Se il colpevole può essere identificato, è possibile richiedere un risarcimento per i danni causati dal reato, ad esempio i danni causati da un malfunzionamento del server web, ma non ci sono mezzi per farlo.

https://monolith.law/corporate/denial-of-service-attack-dos[ja]

Reati informatici

Danni da diffamazione su Internet

Anche i danni alla reputazione sono un tipo di crimine informatico.

Questo si riferisce a reati commessi utilizzando computer o reti, oltre ai reati informatici menzionati sopra. Ad esempio, la cosiddetta diffamazione su Internet non danneggia i dati, non invia informazioni non previste, né fa eseguire operazioni non previste al PC, ma viene eseguita utilizzando la rete Internet.

I post che costituiscono diffamazione sono classificati come:

  • Illegali sia dal punto di vista penale che civile (un esempio tipico è la diffamazione)
  • Non illegali dal punto di vista penale, ma illegali dal punto di vista civile (tipicamente, violazioni della privacy o dei diritti all’immagine)

Se è illegale sia dal punto di vista penale che civile, è possibile cercare di identificare l’autore del post utilizzando una richiesta di divulgazione delle informazioni sull’emittente in base alla legge sulla limitazione della responsabilità dei fornitori di servizi (Japanese Provider Liability Limitation Law), o incoraggiare la polizia a indagare e arrestare l’autore del post.

Tuttavia, a seconda del contenuto, la polizia tende ad adottare un atteggiamento noto come “non intervento in questioni civili” e non indaga attivamente su tali post. Inoltre, le violazioni della privacy e dei diritti all’immagine non sono reati penali, quindi è necessaria una risoluzione civile.

https://monolith.law/practices/reputation[ja]

Danni causati da comunicazioni uno-a-uno come e-mail

È molto difficile identificare il mittente di un’e-mail in termini civili.

Il difficile è l’invio di messaggi inappropriati tramite mezzi di comunicazione uno-a-uno come e-mail o DM di Twitter. Un esempio tipico è un’e-mail con un linguaggio che costituisce minaccia o estorsione. La richiesta di divulgazione delle informazioni sull’emittente in base alla legge sulla limitazione della responsabilità dei fornitori di servizi può essere utilizzata solo nel caso di:

Comunicazioni per fare post che un numero indeterminato di persone può vedere (tipicamente, comunicazioni per fare post diffamatori su bacheche Internet che sono aperte a un numero indeterminato di persone)

Pertanto, per tali comunicazioni, non esistono soluzioni civili in primo luogo, e l’unica opzione è sperare in un’indagine da parte della polizia. Tuttavia, anche se il contenuto scritto su un sito di bacheca su Internet costituisce diffamazione, se viene utilizzato un mezzo di comunicazione uno-a-uno, il reato di diffamazione non si verifica. In breve, il reato di diffamazione si verifica solo per azioni rivolte a un numero indeterminato o a molte persone. Con i mezzi di comunicazione uno-a-uno, la diffamazione non si verifica in linea di principio. Questo problema è discusso in dettaglio in un altro articolo.

https://monolith.law/reputation/email-sender-identification[ja]

Danni causati da immagini osceni o siti illegali

Inoltre, ci sono crimini in cui non ci sono vittime, o in cui le aziende che subiscono danni nella pratica non sono le vittime. Ad esempio:

  • La pubblicazione di immagini o video non censurati su siti per adulti (esposizione pubblica di immagini osceni)
  • Pubblicità di siti di casinò illegali
  • Siti truffa che affermano di vendere prodotti di marca ma in realtà non spediscono nulla

Sono tipici esempi.

Ad esempio, se viene effettuata una ripresa segreta negli spogliatoi delle donne in un’azienda e le immagini vengono pubblicate su Internet, queste immagini costituiscono chiaramente una violazione della privacy (o dei diritti all’immagine) della donna ritratta, ma come menzionato sopra, la violazione della privacy (o dei diritti all’immagine) non è un reato, e anche se la ripresa segreta è un reato, la pubblicazione delle foto scattate con la ripresa segreta non è immediatamente un reato, quindi è un problema difficile chiedere alla polizia come indagare.

Inoltre, anche se l’esistenza di siti di casinò illegali o siti truffa ha causato una diminuzione delle vendite della propria azienda o una diminuzione della fiducia in essa, tali azioni, come menzionato sopra, sono considerate reati per il bene della società anche se non ci sono vittime specifiche (tipicamente, violazioni del limite di velocità o regolamenti sulle droghe), o sono considerate reati che hanno solo vittime dirette (ad esempio, i consumatori che hanno pagato soldi al sito truffa), quindi anche se un’azienda lamenta danni, alla fine diventa una segnalazione da parte di un terzo che non è una vittima. Inoltre, poiché non è una “vittima”, l’identificazione attraverso la richiesta di divulgazione delle informazioni sull’emittente, ecc., è fuori questione in primo luogo.

Tuttavia, se si tratta di un’azione che viola i diritti di proprietà intellettuale (diritti d’autore, diritti di marchio, ecc.) detenuti da un’azienda, come la vendita di falsi prodotti di marca, l’azienda può incoraggiare le indagini della polizia come “vittima” o cercare di identificare il venditore attraverso mezzi civili.

Violazione della Legge Giapponese sull’Accesso Illegale

Azioni proibite dalla Legge Giapponese sull’Accesso Illegale

Infine, parliamo delle azioni proibite dalla Legge Giapponese sull’Accesso Illegale. Questa legge proibisce:

  1. Accesso illegale
  2. Promozione dell’accesso illegale
  3. Acquisizione illegale e simili

Queste sono le azioni proibite.

Per quanto riguarda la prima, l’accesso illegale, ci sono principalmente due tipi:

  • Impersonificazione: l’azione di accedere come un’altra persona senza permesso, inserendo l’ID e la password di qualcun altro
  • Attacco alle vulnerabilità di sicurezza: l’azione di accedere come un’altra persona sfruttando le vulnerabilità di sicurezza, senza bisogno di inserire ID o password

Questi sono i due tipi principali.

La seconda, la promozione dell’accesso illegale, si riferisce all’azione di divulgare o vendere senza permesso le informazioni dell’account di un’altra persona (ID, password, ecc.).

Un esempio di questo tipo è il furto di password attraverso i cosiddetti siti di phishing.

Infine, la terza, l’acquisizione illegale e simili, si riferisce all’azione di far inserire le informazioni dell’account di un’altra persona attraverso mezzi come i siti di phishing, o di conservare le informazioni dell’account ottenute illegalmente in questo modo.

Per ulteriori dettagli sulla Legge Giapponese sull’Accesso Illegale, si prega di consultare l’articolo sottostante.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Risoluzione attraverso la polizia

Anche in caso di vittima di accesso illegale, sarà necessario sollecitare un’indagine alla polizia. Tuttavia, molti casi comportano problemi altamente tecnici, e come nel caso dei crimini informatici menzionati sopra, a meno che non ci sia qualcuno con conoscenze e competenze sia in IT che in legge per redigere rapporti e simili, può essere difficile in pratica ottenere un’indagine da parte della polizia.

Inoltre, se l’autore può essere identificato, è possibile richiedere un risarcimento per i danni a tale persona. Tuttavia, come nel caso dei crimini informatici menzionati sopra, può essere molto difficile identificare l’autore attraverso mezzi civili.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Punti di modifica dei termini di utilizzo del servizio cloud (BtoB) in seguito alla revisione del codice civile giapponese per l'introduzione di nuove regole sui contratti standard

Punti di modifica dei termini di utilizzo del servizio cloud (BtoB) in seguito alla revisione de.

IT

Un avvocato spiega le azioni e gli esempi proibiti dalla 'Legge Giapponese sulla Proibizione dell'Accesso Illegale

Un avvocato spiega le azioni e gli esempi proibiti dalla 'Legge Giapponese sulla Proibizione del.

IT

Cosa sono la regolamentazione legale delle ICO e i metodi per eseguirle legalmente?

Cosa sono la regolamentazione legale delle ICO e i metodi per eseguirle legalmente?

IT

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

IT

Quali sono i rischi nell'adozione di ChatGPT nelle aziende? Spiegazione di casi di perdita di informazioni riservate e relative contromisure

Quali sono i rischi nell'adozione di ChatGPT nelle aziende? Spiegazione di casi di perdita di in.

IT

La responsabilità legale dei fornitori di piattaforma nelle transazioni tra utenti

La responsabilità legale dei fornitori di piattaforma nelle transazioni tra utenti

IT

La relazione tra il ritardo nella consegna dello sviluppo del sistema e il ritardo nell'esecuzione secondo la legge giapponese

La relazione tra il ritardo nella consegna dello sviluppo del sistema e il ritardo nell'esecuzio.

IT

I rischi di perdita di dati e la responsabilità legale degli operatori di sistemi

I rischi di perdita di dati e la responsabilità legale degli operatori di sistemi

IT

Cosa sono le differenze tra STO e ICO? Spiegazione del concetto di token di sicurezza e del significato di STO

Cosa sono le differenze tra STO e ICO? Spiegazione del concetto di token di sicurezza e del sign.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su