Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > È un crimine il DoS? Un avvocato spiega il 'Reato di interferenza con le operazioni attraverso la distruzione di computer elettronici' giapponese

È un crimine il DoS? Un avvocato spiega il 'Reato di interferenza con le operazioni attraverso la distruzione di computer elettronici' giapponese

IT

È un crimine il DoS? Un avvocato spiega il 'Reato di interferenza con le operazioni attraverso la distruzione di computer elettronici' giapponese

Il reato di interferenza con le operazioni attraverso la distruzione di computer elettronici è un crimine che è stato istituito nel 1987 (Showa 62). A quel tempo, a causa della rapida crescita economica e dello sviluppo tecnologico, i computer iniziarono ad essere ampiamente introdotti negli uffici.

Le operazioni che erano state precedentemente eseguite da persone iniziarono ad essere eseguite da computer, e poiché l’ambito delle operazioni si stava espandendo, si prevedeva che l’interferenza con le operazioni attraverso atti di danno ai computer sarebbe diventata un problema. Per far fronte a questo, è stata istituita questa legge.

Tuttavia, al momento della sua istituzione, i computer erano ancora in fase di sviluppo e Internet non era ancora diffusa, rendendo difficile prevedere specificamente i crimini su Internet. Inoltre, questa legge non utilizza termini di ingegneria informatica, scienze dell’informazione o termini comunemente usati nella società, ma è formulata con termini tipici del codice penale, rendendo le interpretazioni varie e potenzialmente difficili da capire per il cittadino medio.

Inoltre, questo reato è generalmente riconosciuto come rispondente ai crimini di tipo “crimine informatico” tra i crimini informatici.

In questo articolo, spiegheremo in modo semplice e chiaro i dettagli del reato di interferenza con le operazioni attraverso la distruzione di computer elettronici.

Cosa sono le 3 categorie di crimini informatici? Un avvocato spiega le misure di protezione per ogni scenario

Cos’è un attacco DoS

Un attacco DoS (Denial of Service attack) è un tipo di attacco informatico che mira a sovraccaricare un sito web o un server bersaglio inviando una grande quantità di dati o dati irregolari. Questo attacco costringe il sistema dell’obiettivo a non funzionare correttamente. A differenza di accessi non autorizzati che eludono le autorizzazioni di utilizzo o virus che prendono il controllo del sistema, un attacco DoS impedisce agli utenti legittimi di esercitare i loro diritti di accesso. Sebbene sia un metodo di attacco informatico che esiste da tempo, viene anche utilizzato in attacchi DDoS (Distributed Denial of Service attack), un tipo di attacco distribuito, e ci sono ancora molti casi di molestie e danni.

Tipi di attacchi DoS

Gli attacchi DoS possono essere suddivisi in due tipi: “tipo flood” e “tipo vulnerabilità”.

Il termine “flood” deriva dall’inglese ‘Flood’ (= inondazione), e si riferisce a un attacco che sovraccarica il bersaglio inviando una grande quantità di dati dopo aver decifrato il protocollo.

D’altra parte, il tipo di vulnerabilità sfrutta le vulnerabilità del server o dell’applicazione per eseguire operazioni irregolari e interrompere le funzioni. La distinzione con l’accesso non autorizzato può diventare sfumata, ma ad esempio, un attacco LAND, un tipico attacco DoS di tipo vulnerabilità, consiste nell’invio di un pacchetto con lo stesso indirizzo IP e numero di porta di origine e destinazione. Per spiegarlo in modo un po’ più semplice e diretto, l’attaccante A invia al server bersaglio B un pacchetto con il contenuto “Sono B e voglio una risposta”, quindi B risponde a se stesso, e quando B riceve questa risposta, risponde di nuovo a se stesso… Questo fenomeno si ripete, creando un loop infinito. Questo sfrutta la “vulnerabilità” nel senso che “risponde anche ai pacchetti per i quali è l’origine”, ma poiché non elude l’autenticazione della password, non è considerato “accesso non autorizzato”, ma è classificato come “attacco DoS di tipo vulnerabilità”.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Inoltre, un attacco DDoS è un metodo distribuito che esegue un attacco DoS di tipo flood da migliaia di computer infettati da un virus bot, controllati a distanza.

Meccanismo dell’attacco DoS

Il meccanismo di un attacco DoS è tecnicamente semplice, ripetendo frequentemente ciò che è normalmente consentito all’interno del range TCP/IP. Ad esempio, quando si tenta di acquistare i biglietti per un concerto di un idolo popolare al momento della vendita al pubblico e si accede alla pagina di vendita, il sito può diventare lento o andare offline a causa del grande numero di persone che accedono contemporaneamente, rendendo difficile la connessione. Un attacco DoS è un attacco che abusa di diritti legittimi per creare intenzionalmente una situazione del genere.

Un attacco DoS rientra nel reato di danneggiamento di computer e interferenza con le operazioni?

Allora, un attacco DoS è un crimine? Esamineremo se rientra nel reato di danneggiamento di computer e interferenza con le operazioni menzionato in precedenza.

Chiunque danneggia un computer elettronico o una registrazione magnetica utilizzata per le operazioni di una persona, o fornisce informazioni false o istruzioni inappropriate a un computer elettronico utilizzato per le operazioni di una persona, o in qualsiasi altro modo, impedisce al computer elettronico di svolgere le operazioni previste o lo fa svolgere operazioni contrarie alle previste, interferendo con le operazioni di una persona, sarà punito con la reclusione fino a cinque anni o con una multa fino a un milione di yen.

Articolo 234-2, paragrafo 1 del Codice Penale Giapponese (Danneggiamento di computer e interferenza con le operazioni)

Come tale, per stabilire il reato di danneggiamento di computer e interferenza con le operazioni, è necessario soddisfare i seguenti requisiti oggettivi:

  1. Azioni dannose dirette al computer
  2. Inibizione delle operazioni del computer
  3. Interferenza con le operazioni

E, come requisito soggettivo, è necessario che queste azioni siano intenzionali.

Soddisfazione dei requisiti oggettivi

Esamineremo ciascuno di questi punti separatamente.

Azioni dannose dirette al computer

Le azioni dannose (azioni esecutive) devono rientrare in una delle seguenti categorie:

  • “Danneggiamento di un computer elettronico o di una registrazione magnetica utilizzata per le sue operazioni”
  • “Fornire informazioni false o istruzioni inappropriate a un computer elettronico”
  • “O qualsiasi altro metodo”

Per quanto riguarda il “computer elettronico”, non c’è disputa sul fatto che si riferisca a un dispositivo elettronico che esegue automaticamente calcoli e processamento di dati, come un computer d’ufficio, un personal computer o un computer di controllo, come definito in un precedente caso giudiziario (Fukuoka High Court, 21 settembre 2000 (anno 12 dell’era Heisei, 2000)). La registrazione magnetica è definita nell’articolo 7-2 del Codice Penale Giapponese. È ovvio che un server, che è l’obiettivo di un attacco DoS, rientra in queste categorie.

“Danneggiamento” si riferisce non solo alla distruzione fisica, ma anche all’eliminazione dei dati o a qualsiasi altra azione che danneggia l’utilità di un oggetto. “Informazioni false” si riferiscono a informazioni che sono contrarie alla verità. “Istruzioni inappropriate” si riferiscono a dare istruzioni che possono essere elaborate dal computer in questione senza autorizzazione. Ad esempio, se si esegue un attacco DoS di tipo flood in modo massiccio e concentrato, il server bersaglio diventa sovraccarico e non può eseguire correttamente le operazioni. Anche se un attacco di questo tipo non “danneggia” eliminando i dati, è un accesso contrario alla volontà del proprietario del server e dà istruzioni senza autorizzazione, quindi può essere considerato come “istruzioni inappropriate”.

Inibizione delle operazioni del computer

La questione è se rientra in “impedire al computer di svolgere le operazioni previste” o “far svolgere al computer operazioni contrarie alle previste”. C’è una disputa su chi dovrebbe essere il presupposto per lo scopo dell’uso, ma dato che l’interesse legale protetto da questo reato è la sicurezza e l’esecuzione fluida delle operazioni, dovremmo presumere lo scopo del installatore. Quando viene eseguito un attacco DoS e il server è sovraccaricato, il servizio può diventare inutilizzabile, ecc., e le operazioni corrette che l’installatore del server intendeva non possono essere eseguite. In tali casi, si può dire che “le operazioni previste” non vengono eseguite, e questo rientra nell’inibizione delle operazioni.

Interferenza con le operazioni

Il reato di danneggiamento di computer e interferenza con le operazioni è una forma aggravata del reato di interferenza con le operazioni (articoli 233 e 234 del Codice Penale Giapponese), quindi l’interferenza con le operazioni dovrebbe essere considerata allo stesso modo del normale reato di interferenza con le operazioni. In altre parole, “operazioni” si riferisce a compiti eseguiti ripetutamente e continuamente sulla base della posizione sociale, e non è necessario che le operazioni siano effettivamente danneggiate per essere considerate “interferenze”. Quando viene eseguito un attacco DoS, si può dire che l'”operazione” di fornire un servizio su Internet utilizzando il server da parte dell’installatore è interferita, quindi rientra nell’interferenza con le operazioni.

Soddisfazione dei requisiti soggettivi (intenzionalità)

È necessario riconoscere l’intenzionalità (articolo 38, paragrafo 1, del Codice Penale Giapponese) dopo aver soddisfatto questi requisiti. L’intenzionalità si riferisce al riconoscimento e all’accettazione dei fatti che rientrano nei punti ① a ③ (chiamati elementi costitutivi). Non è necessario avere malizia o intenzione di interferire, e anche se non si ha l’intenzione di farlo, se si ha la consapevolezza che “il server potrebbe cadere e il servizio potrebbe diventare inutilizzabile”, l’intenzionalità può essere riconosciuta.

Il caso di accesso massivo al sito web della Biblioteca Centrale di Okazaki

In relazione a quanto sopra, vi presentiamo il caso di accesso massivo al sito web della Biblioteca Centrale di Okazaki (noto anche come caso Librahack).

Un uomo di 39 anni della prefettura di Aichi è stato arrestato per aver lanciato un attacco informatico dopo aver raccolto informazioni sui nuovi libri dal sito web della biblioteca utilizzando un programma di sua creazione. Tuttavia, un’analisi condotta da un esperto su richiesta del giornale Asahi ha rivelato che c’era un problema con il software della biblioteca, che sembrava aver subito un attacco a causa del grande numero di accessi. Si è scoperto che lo stesso problema si era verificato in altre sei biblioteche in tutto il paese che utilizzavano lo stesso software. La società che ha sviluppato il software ha iniziato a fare modifiche in circa 30 biblioteche in tutto il paese.
Il problema è sorto alla Biblioteca Pubblica di Okazaki, nella prefettura di Aichi. Il software aveva un difetto che lo faceva sembrare come se fosse in uno stato di elaborazione continua ogni volta che venivano richiamati i dati del libro, come se il ricevitore fosse ancora sollevato dopo una telefonata. Dopo un certo periodo di tempo, veniva forzatamente disconnesso, ma nella biblioteca, se il numero di accessi superava circa 1.000 in 10 minuti, non era più possibile visualizzare il sito web, dando l’impressione di aver subito un grande numero di accessi.
L’uomo era un ingegnere del software e prendeva in prestito circa 100 libri all’anno dalla Biblioteca Pubblica di Okazaki. Il sito web della biblioteca era difficile da usare, quindi ha creato un programma per raccogliere informazioni sui nuovi libri ogni giorno e ha iniziato a usarlo a marzo.
Da quel mese in poi, la biblioteca ha ricevuto lamentele dai cittadini che non riuscivano a connettersi al sito web. La polizia della prefettura di Aichi, dopo aver consultato, ha deciso che l’uomo aveva inviato intenzionalmente richieste che superavano la capacità di elaborazione e lo ha arrestato con l’accusa di ostruzione delle operazioni. L’ufficio del procuratore distrettuale di Okazaki a Nagoya ha deciso a giugno di sospendere l’accusa, affermando che “non c’era un forte intento di ostruzione delle operazioni”.

Edizione mattutina del Asahi Shimbun Nagoya (21 agosto 2010)

L’uomo arrestato in questo caso era un utente della Biblioteca Centrale di Okazaki e aveva agito con l’intento di raccogliere informazioni sui nuovi libri dal sito web della biblioteca, senza alcuna intenzione di ostacolare le operazioni della biblioteca. La frequenza di accesso era anche bassa, circa una volta al secondo, che normalmente non sarebbe considerata un attacco DoS, ma a causa di un problema con il server della biblioteca, si è verificato un guasto del sistema a questo livello.

Anche se non c’era malizia, si può riconoscere che l’uomo ha causato il blocco del server della biblioteca e ha ostacolato le sue operazioni attraverso azioni che potrebbero essere considerate un attacco DoS. Quindi, guardiamo ai requisiti oggettivi. E per quanto riguarda l’intenzione, come ho detto prima, l’intenzione può essere riconosciuta anche se non c’è malizia. La polizia della prefettura ha deciso che l’uomo, essendo un tecnico esperto di computer, avrebbe potuto riconoscere che inviando un gran numero di richieste, avrebbe potuto avere un impatto sul server della biblioteca, e quindi ha deciso che c’era intenzione, e che il crimine poteva essere commesso.

Problemi e critiche del caso

Il metodo di acquisizione meccanica dei dati dai siti web pubblici, come quello utilizzato dall’uomo, è ampiamente e comunemente praticato, e non c’è nulla di illegale nella programmazione stessa. L’uomo ha spiegato le circostanze e le intenzioni del caso sul suo sito web, e non c’è nulla nelle sue spiegazioni che meriti la condanna morale di un “crimine”, che ha scosso molti tecnici che utilizzano queste tecniche e ha sollevato molte critiche e preoccupazioni.

Ad esempio, in primo luogo, il fatto che il server di un sito web pubblico di una biblioteca pubblica, che è utilizzato da un gran numero di persone, abbia un problema che lo fa andare in down con un accesso al secondo è estremamente debole e vulnerabile, e se avesse avuto il server robusto che dovrebbe normalmente avere, l’uomo non sarebbe stato arrestato. Inoltre, non c’erano elementi chiaramente criminali come “vendetta” o “molestie” da parte dell’uomo, o l’invio di una grande quantità di dati che differiscono chiaramente dall’uso normale, eppure c’è un problema legislativo in cui un crimine può essere commesso con tali disposizioni. Inoltre, c’è la questione della discrepanza tra l’applicazione della legge e l’uso reale di Internet. Ad esempio, l’impressione di 10.000 accessi è diversa per una persona esperta di tecnologia dell’informazione e dell’Internet e per una persona comune, compresa la polizia e la procura, e c’è un problema se questa discrepanza di percezione viene applicata senza essere corretta. Inoltre, c’è la preoccupazione e l’ansia che, come questo uomo, chiunque potrebbe essere arrestato, e che questo potrebbe inibire l’uso e lo sviluppo liberi di Internet e l’industria.

L’uomo è stato infine sospeso dall’accusa perché “non c’era un forte intento di ostruzione delle operazioni”, ma è stato interrogato per 20 giorni durante l’arresto e la detenzione, e ha subito restrizioni fisiche. Inoltre, al momento dell’arresto, il suo vero nome è stato reso pubblico. Inoltre, la sospensione dell’accusa è diversa da “insufficiente sospetto” in un caso di non accusa, e significa “c’è stato un crimine, ma la malizia è bassa, o c’è un profondo pentimento, quindi stiamo sospendendo l’accusa questa volta”, cioè, è come se avesse commesso un crimine. Anche se non è stato accusato, il fatto che abbia subito un grave svantaggio sociale è un problema.

Riassunto

Come abbiamo visto, un attacco DoS può costituire un reato di danneggiamento di computer elettronici e interferenza con le operazioni commerciali secondo la legge giapponese. Tuttavia, ci sono alcuni problemi con l’applicazione di questa legge, e c’è il rischio che possa essere applicata anche in casi che difficilmente possono essere definiti maliziosi, come gli incidenti che abbiamo discusso. A differenza del momento in cui la legge è stata promulgata, oggi molte persone possiedono dispositivi Internet come smartphone e computer, e la società Internet si sta sviluppando rapidamente. Per superare questi problemi e proteggere la libertà su Internet, potrebbe essere necessario rivedere l’applicazione della legge e considerare nuove misure legislative.

Se il server della tua azienda subisce danni a causa di un attacco cibernetico come un attacco DoS, dovrai chiedere alla polizia di indagare. Tuttavia, molti casi comportano problemi altamente tecnici, e come nel caso dell’incidente della biblioteca menzionato sopra, potrebbe essere necessario avere una conoscenza e un know-how sia in IT che in legge per gestire adeguatamente la situazione.

Come soluzione civile, se l’autore del reato può essere identificato, è possibile richiedere un risarcimento per i danni a tale persona. Pertanto, consultare un avvocato esperto in Internet e diritto commerciale può essere un’opzione.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

A cosa bisogna prestare attenzione quando si utilizzano opere con indicazione di Creative Commons?

A cosa bisogna prestare attenzione quando si utilizzano opere con indicazione di Creative Common.

IT

Cosa sono i vantaggi e svantaggi legali di ogni modello di sviluppo di sistemi?

Cosa sono i vantaggi e svantaggi legali di ogni modello di sviluppo di sistemi?

IT

Cosa bisogna considerare nel contratto SES? Spiegazione del contratto tra il fornitore e l'ingegnere

Cosa bisogna considerare nel contratto SES? Spiegazione del contratto tra il fornitore e l'ingeg.

IT

Cosa è il rapporto tra il 'possesso' di Art NFT e i diritti d'autore?

Cosa è il rapporto tra il 'possesso' di Art NFT e i diritti d'autore?

IT

Spiegazione semplice del meccanismo di mining delle cripto-attività: Quali sono gli effetti e i punti di attenzione della 'Legge Giapponese sul Deposito Modificata'?

Spiegazione semplice del meccanismo di mining delle cripto-attività: Quali sono gli effetti e i .

IT

Punti da considerare nella creazione dei termini di servizio per i servizi web (Prima parte)

Punti da considerare nella creazione dei termini di servizio per i servizi web (Prima parte)

IT

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

IT

Casi di violazione del diritto d'autore del software e conoscenze legali utili

Casi di violazione del diritto d'autore del software e conoscenze legali utili

IT

Quali sono i rischi nell'utilizzo di ChatGPT per scopi aziendali? Spiegazione anche dei problemi legali

Quali sono i rischi nell'utilizzo di ChatGPT per scopi aziendali? Spiegazione anche dei problemi.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su