{"id":58806,"date":"2023-10-06T11:44:44","date_gmt":"2023-10-06T02:44:44","guid":{"rendered":"https:\/\/monolith.law\/it\/?p=58806"},"modified":"2023-10-28T22:29:48","modified_gmt":"2023-10-28T13:29:48","slug":"vendor-compensation","status":"publish","type":"post","link":"https:\/\/monolith.law\/it\/it\/vendor-compensation","title":{"rendered":"Danni da attacchi cibernetici. Qual \u00e8 la responsabilit\u00e0 di risarcimento danni del fornitore di sistemi? Spiegazione di un esempio di clausola contrattuale"},"content":{"rendered":"\n<p>Negli ultimi anni, gli attacchi cibernetici contro le aziende sono in costante aumento.<\/p>\n\n\n\n<p>Secondo un&#8217;indagine condotta dalla Japanese Network Security Association (JNSA), un&#8217;organizzazione no-profit giapponese, la percentuale di incidenti di fuga di informazioni personali dovuti ad accessi non autorizzati era del 4,7% nel 2013, ma \u00e8 aumentata fino al 20,3% nel 2018 (<a href=\"https:\/\/www.jnsa.org\/result\/incident\/2018.html\" target=\"_blank\" rel=\"noreferrer noopener\">Rapporto di indagine sugli incidenti di sicurezza delle informazioni 2018[ja]<\/a>).<\/p>\n\n\n\n<p>In questo articolo, spiegheremo l&#8217;ambito di responsabilit\u00e0 che i fornitori di sistemi devono assumere quando subiscono un attacco cibernetico, basandoci su precedenti casi giudiziari. Inoltre, spiegheremo anche i ruoli e le responsabilit\u00e0 che dovrebbero essere stabiliti nel contratto per permettere ai fornitori e agli utenti di collaborare nella lotta contro gli attacchi cibernetici, basandoci su un modello di contratto.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Il_fornitore_di_sistemi_e_responsabile_per_i_danni_da_attacco_cibernetico\" title=\"Il fornitore di sistemi \u00e8 responsabile per i danni da attacco cibernetico?\">Il fornitore di sistemi \u00e8 responsabile per i danni da attacco cibernetico?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Responsabilita_per_danni_del_fornitore_di_sistemi_e_esempi_di_contratti\" title=\"Responsabilit\u00e0 per danni del fornitore di sistemi e esempi di contratti\">Responsabilit\u00e0 per danni del fornitore di sistemi e esempi di contratti<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Contratto_di_Sviluppo_Software\" title=\"Contratto di Sviluppo Software\">Contratto di Sviluppo Software<\/a><ul class='ez-toc-list-level-4'><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Contratto_d%E2%80%99appalto\" title=\"Contratto d&#8217;appalto\">Contratto d&#8217;appalto<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Contratto_di_subappalto\" title=\"Contratto di subappalto\">Contratto di subappalto<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Contratto_di_Manutenzione_e_Gestione_del_Sistema\" title=\"Contratto di Manutenzione e Gestione del Sistema\">Contratto di Manutenzione e Gestione del Sistema<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Contratto_di_Utilizzo_del_Servizio_Cloud\" title=\"Contratto di Utilizzo del Servizio Cloud\">Contratto di Utilizzo del Servizio Cloud<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Criteri_per_determinare_l%E2%80%99ambito_di_responsabilita_per_il_risarcimento_dei_danni_da_parte_del_fornitore_di_sistemi\" title=\"Criteri per determinare l&#8217;ambito di responsabilit\u00e0 per il risarcimento dei danni da parte del fornitore di sistemi\">Criteri per determinare l&#8217;ambito di responsabilit\u00e0 per il risarcimento dei danni da parte del fornitore di sistemi<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Il_fornitore_ha_implementato_misure_in_linea_con_il_livello_tecnologico_al_momento_dello_sviluppo\" title=\"Il fornitore ha implementato misure in linea con il livello tecnologico al momento dello sviluppo?\">Il fornitore ha implementato misure in linea con il livello tecnologico al momento dello sviluppo?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#C%E2%80%99e_una_colpa_da_parte_dell%E2%80%99azienda_utente\" title=\"C&#8217;\u00e8 una colpa da parte dell&#8217;azienda utente?\">C&#8217;\u00e8 una colpa da parte dell&#8217;azienda utente?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Tre_punti_chiave_per_lo_sviluppo_di_un_sistema_sicuro\" title=\"Tre punti chiave per lo sviluppo di un sistema sicuro\">Tre punti chiave per lo sviluppo di un sistema sicuro<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Comprendere_i_rischi_cibernetici_segnalati_da_agenzie_governative_e_simili\" title=\"Comprendere i rischi cibernetici segnalati da agenzie governative e simili\">Comprendere i rischi cibernetici segnalati da agenzie governative e simili<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Entrambe_le_parti_coinvolte_comprendono_la_necessita_della_sicurezza\" title=\"Entrambe le parti coinvolte comprendono la necessit\u00e0 della sicurezza\">Entrambe le parti coinvolte comprendono la necessit\u00e0 della sicurezza<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Entrambe_le_parti_lavorano_insieme_per_affrontare_gli_attacchi_cibernetici\" title=\"Entrambe le parti lavorano insieme per affrontare gli attacchi cibernetici\">Entrambe le parti lavorano insieme per affrontare gli attacchi cibernetici<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Riassunto_Consulta_un_avvocato_per_la_redazione_del_contratto_di_sviluppo_del_sistema\" title=\"Riassunto: Consulta un avvocato per la redazione del contratto di sviluppo del sistema\">Riassunto: Consulta un avvocato per la redazione del contratto di sviluppo del sistema<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/it\/it\/vendor-compensation\/#Presentazione_delle_misure_adottate_dal_nostro_studio_legale\" title=\"Presentazione delle misure adottate dal nostro studio legale\">Presentazione delle misure adottate dal nostro studio legale<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_fornitore_di_sistemi_e_responsabile_per_i_danni_da_attacco_cibernetico\"><\/span>Il fornitore di sistemi \u00e8 responsabile per i danni da attacco cibernetico?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_134919143.jpg\" alt=\"Il fornitore di sistemi \u00e8 responsabile per i danni da attacco cibernetico?\" class=\"wp-image-58926\" \/><\/figure>\n\n\n\n<p>Se un&#8217;azienda utente subisce un attacco cibernetico e ne deriva un danno, il primo a essere ritenuto responsabile dovrebbe essere l&#8217;autore dell&#8217;attacco cibernetico. Tuttavia, se c&#8217;\u00e8 la possibilit\u00e0 che l&#8217;attacco sia stato facilitato da una negligenza nello sviluppo o nell&#8217;operazione del sistema, potrebbe essere riconosciuta una richiesta di risarcimento danni da parte dell&#8217;utente al fornitore del sistema.<\/p>\n\n\n\n<p>Le basi per una richiesta di risarcimento danni contro il fornitore del sistema includono:<\/p>\n\n\n\n<ul>\n<li>Responsabilit\u00e0 per inadempimento contrattuale<\/li>\n\n\n\n<li>Violazione del dovere di diligenza<\/li>\n<\/ul>\n\n\n\n<p>Tuttavia, potrebbe anche accadere che il danno si amplifichi a causa di una negligenza da parte dell&#8217;utente. In tal caso, la responsabilit\u00e0 dell&#8217;utente pu\u00f2 essere riconosciuta. In alcuni casi, nei processi legali effettivi, questo \u00e8 stato preso in considerazione come compensazione per la negligenza, limitando il risarcimento danni contro il fornitore del sistema.<\/p>\n\n\n\n<p>Articolo correlato: <a href=\"https:\/\/monolith.law\/corporate\/categories-of-cyber-crime\" target=\"_blank\" rel=\"noreferrer noopener\">Quali sono le 3 categorie di crimini informatici? Un avvocato spiega le misure di prevenzione per ogni scenario[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Responsabilita_per_danni_del_fornitore_di_sistemi_e_esempi_di_contratti\"><\/span>Responsabilit\u00e0 per danni del fornitore di sistemi e esempi di contratti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Ci sono tre esempi rappresentativi di contratti di sistema IT tra il fornitore di sistemi e l&#8217;azienda utente:<\/p>\n\n\n\n<ol>\n<li>Contratto di sviluppo software<\/li>\n\n\n\n<li>Contratto di manutenzione e gestione del sistema<\/li>\n\n\n\n<li>Contratto di utilizzo del servizio cloud<\/li>\n<\/ol>\n\n\n\n<p>La responsabilit\u00e0 per i danni \u00e8 determinata dal contratto iniziale, quindi spiegheremo per ogni tipo di contratto di seguito.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contratto_di_Sviluppo_Software\"><\/span>Contratto di Sviluppo Software<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Un contratto di sviluppo software \u00e8 un accordo stipulato quando un&#8217;azienda, lato utente, affida lo sviluppo del proprio sistema a un fornitore di software.<\/p>\n\n\n\n<p>Se l&#8217;azienda utente subisce un attacco cibernetico e la vulnerabilit\u00e0 del software diventa la causa dell&#8217;ampliamento del danno, \u00e8 possibile che la responsabilit\u00e0 venga richiesta dal fornitore.<\/p>\n\n\n\n<p>Le responsabilit\u00e0 che il fornitore del sistema deve assumere variano a seconda del tipo di contratto di sviluppo software, e sono le seguenti due:<\/p>\n\n\n\n<ul>\n<li>Contratto d&#8217;appalto: Responsabilit\u00e0 per inadempimento contrattuale<\/li>\n\n\n\n<li>Contratto di subappalto: Violazione del dovere di diligenza<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contratto_d%E2%80%99appalto\"><\/span>Contratto d&#8217;appalto<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Un contratto d&#8217;appalto \u00e8 un accordo in cui si promette il completamento del sistema e si paga un compenso per il prodotto finale.<\/p>\n\n\n\n<p>Se il prodotto consegnato &#8220;non \u00e8 conforme all&#8217;obiettivo del contratto&#8221;, entro un certo periodo di tempo dalla consegna, l&#8217;appaltatore sar\u00e0 responsabile per l&#8217;inadempimento contrattuale (<a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Articoli 559 e 562 del Codice Civile Giapponese[ja]<\/a>).<\/p>\n\n\n\n<p>In altre parole, c&#8217;\u00e8 il rischio che un prodotto che pu\u00f2 facilmente causare un guasto del sistema a causa di un attacco cibernetico sia considerato &#8220;non conforme all&#8217;obiettivo del contratto&#8221;, e che l&#8217;utente possa richiedere un risarcimento per danni dovuti all&#8217;inadempimento contrattuale.<\/p>\n\n\n\n<p>Se questa richiesta sar\u00e0 accettata o meno dipende dal livello di sicurezza del software che le parti hanno concordato in anticipo.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Esempio di responsabilit\u00e0 per inadempimento contrattuale\u3011<\/p>\n\n\n\n<p>Articolo \u3007 Dopo l&#8217;accettazione menzionata nell&#8217;articolo precedente, se viene scoperta una discrepanza (inclusi i bug, qui di seguito denominata &#8220;inadempimento contrattuale&#8221;) tra il prodotto consegnato e le specifiche del sistema, la parte A pu\u00f2 richiedere alla parte B di completare l&#8217;esecuzione (qui di seguito denominata &#8220;completamento&#8221;) per correggere tale inadempimento contrattuale, e la parte B dovr\u00e0 eseguire tale completamento. Tuttavia, a meno che ci\u00f2 non comporti un onere eccessivo per la parte A, la parte B pu\u00f2 eseguire il completamento in un modo diverso da quello richiesto dalla parte A.<\/p>\n\n\n\n<p>2. Nonostante il paragrafo precedente, se l&#8217;obiettivo del contratto individuale pu\u00f2 essere raggiunto nonostante l&#8217;inadempimento contrattuale, e il completamento richiederebbe un costo eccessivo, la parte B non sar\u00e0 obbligata a eseguire il completamento come previsto nel paragrafo precedente.<\/p>\n\n\n\n<p>3. Se la parte A subisce danni a causa dell&#8217;inadempimento contrattuale (limitatamente a quelli causati da cause imputabili alla parte B), la parte A pu\u00f2 richiedere un risarcimento dei danni alla parte B.<\/p>\n\n\n\n<p>Citazione: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Modello di contratto di transazione del sistema informativo (seconda edizione)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contratto_di_subappalto\"><\/span>Contratto di subappalto<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Un contratto di subappalto non prevede l&#8217;applicazione della responsabilit\u00e0 per inadempimento contrattuale, in quanto non si assume l&#8217;obbligo di completare il prodotto. Invece, si assume il &#8220;dovere di gestire l&#8217;incarico con la diligenza di un buon amministratore&#8221; (dovere di diligenza).<\/p>\n\n\n\n<p>Se un attacco cibernetico causa un guasto del sistema, anche se non si \u00e8 stabilito un livello di sicurezza al momento del contratto, il fatto di aver sviluppato un sistema di tale livello pu\u00f2 essere considerato una &#8220;violazione del dovere di diligenza&#8221; (<a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Articoli 656 e 644 del Codice Civile Giapponese[ja]<\/a>), e si potrebbe essere soggetti a una richiesta di risarcimento dei danni.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Esempio di dovere di diligenza\u3011<\/p>\n\n\n\n<p>Articolo \u3007 La parte B, dopo aver stipulato il contratto individuale specificato nell&#8217;articolo \u3007, fornir\u00e0 un servizio (di seguito denominato &#8220;servizio di supporto alla creazione di specifiche dei requisiti&#8221;) per supportare la creazione di specifiche dei requisiti da parte della parte A, basandosi sul documento di concetto del sistema informativo, sul piano di sistematizzazione, ecc., creato dalla parte A come parte di questo lavoro.<\/p>\n\n\n\n<p>2. La parte B, sulla base della sua conoscenza ed esperienza specializzata in tecnologia dell&#8217;informazione, svolger\u00e0 attivit\u00e0 di supporto come ricerca, analisi, organizzazione, proposta e consulenza con la diligenza di un buon amministratore, al fine di garantire che il lavoro della parte A sia svolto in modo fluido e appropriato.<\/p>\n\n\n\n<p>Citazione: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Modello di contratto di transazione del sistema informativo (seconda edizione)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contratto_di_Manutenzione_e_Gestione_del_Sistema\"><\/span>Contratto di Manutenzione e Gestione del Sistema<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Il contratto di manutenzione e gestione del sistema \u00e8 un accordo in cui un&#8217;azienda affida a un fornitore di software il compito di mantenere e gestire il software esistente. Quando si stipula un contratto di manutenzione e gestione, \u00e8 comune includere nel contratto il livello di sicurezza che deve essere raggiunto, specificandolo in documenti come le specifiche tecniche.<\/p>\n\n\n\n<p>Se si verificano danni a causa di un attacco informatico e il livello di sicurezza del sistema \u00e8 inferiore a quello concordato al momento della stipula del contratto, la responsabilit\u00e0 per l&#8217;inadempimento del contratto pu\u00f2 essere perseguita sulla base della clausola di non conformit\u00e0 del contratto.<\/p>\n\n\n\n<p>Tuttavia, se non \u00e8 stato definito in anticipo un livello di sicurezza, il mantenimento e la gestione di un sistema vulnerabile agli attacchi informatici potrebbe essere considerato in violazione del dovere di diligenza e responsabilit\u00e0, e potrebbe essere perseguito.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contratto_di_Utilizzo_del_Servizio_Cloud\"><\/span>Contratto di Utilizzo del Servizio Cloud<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Il contratto di utilizzo del servizio cloud \u00e8 un accordo stipulato quando si utilizza un servizio fornito da un fornitore su un cloud. Poich\u00e9 si prevede che il fornitore offrir\u00e0 lo stesso servizio a molti utenti, \u00e8 probabile che si stipuler\u00e0 un contratto in conformit\u00e0 con i termini di utilizzo stabiliti dal fornitore.<\/p>\n\n\n\n<p>Generalmente, in questo contratto, \u00e8 predefinita la responsabilit\u00e0 nel caso in cui il servizio non possa essere fornito a causa di un attacco informatico.<\/p>\n\n\n\n<p>Nel contratto di utilizzo del servizio cloud, di solito si stabiliscono le seguenti condizioni al momento della stipula del contratto:<\/p>\n\n\n\n<ul>\n<li>SLA (Service Level Agreement): garanzie sulla qualit\u00e0 e regole operative<\/li>\n\n\n\n<li>Clausola di limitazione di responsabilit\u00e0: ambito di responsabilit\u00e0 del fornitore in caso di inadempimento in caso di danni<\/li>\n<\/ul>\n\n\n\n<p>L&#8217;SLA \u00e8 un documento che esplicita il livello di servizio richiesto dall&#8217;utente e le regole operative del fornitore. Se non si riceve il servizio stipulato qui, \u00e8 possibile richiedere un risarcimento per inadempimento parziale. Inoltre, nel contratto, il fornitore pu\u00f2 predefinire le condizioni per ricevere una richiesta di inadempimento e limitare l&#8217;importo del risarcimento, anche se la responsabilit\u00e0 \u00e8 riconosciuta, attraverso una &#8220;clausola di limitazione di responsabilit\u00e0&#8221;.<\/p>\n\n\n\n<p>Tuttavia, poich\u00e9 le clausole di limitazione di responsabilit\u00e0 sono spesso favorevoli al fornitore, potrebbero essere soggette a certe restrizioni secondo la giurisprudenza giapponese in caso di controversie.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Esempio di clausola di limitazione di responsabilit\u00e0\u3011<\/p>\n\n\n\n<p>Articolo \u25cb: Se A e B subiscono danni a causa di una causa attribuibile all&#8217;altra parte in relazione all&#8217;esecuzione di questo contratto e del contratto individuale, possono richiedere un risarcimento danni all&#8217;altra parte (limitato ai danni di \u25cb\u25cb\u25cb). Tuttavia, questa richiesta non pu\u00f2 essere fatta dopo che sono trascorsi \u25cb mesi dalla data di completamento dell&#8217;accettazione del prodotto stabilito nel contratto individuale in questione o dalla data di conferma del completamento del lavoro.<\/p>\n\n\n\n<p>2. L&#8217;importo totale cumulativo del risarcimento danni in relazione all&#8217;esecuzione di questo contratto e del contratto individuale, indipendentemente dalla causa della richiesta, inclusi inadempimento (inclusa la responsabilit\u00e0 per non conformit\u00e0 del contratto), arricchimento senza causa, atto illecito o altro, \u00e8 limitato all&#8217;importo di \u25cb\u25cb\u25cb stabilito nel contratto individuale che ha causato la causa di responsabilit\u00e0.<\/p>\n\n\n\n<p>3. Il precedente paragrafo non si applica in caso di dolo o grave negligenza da parte del debitore del risarcimento danni.<\/p>\n\n\n\n<p>Citazione: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Modello di contratto di transazione del sistema informativo (seconda edizione)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Criteri_per_determinare_l%E2%80%99ambito_di_responsabilita_per_il_risarcimento_dei_danni_da_parte_del_fornitore_di_sistemi\"><\/span>Criteri per determinare l&#8217;ambito di responsabilit\u00e0 per il risarcimento dei danni da parte del fornitore di sistemi<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_646598212.jpg\" alt=\"Criteri per determinare l'ambito di responsabilit\u00e0 per il risarcimento dei danni da parte del fornitore di sistemi\" class=\"wp-image-58928\" \/><\/figure>\n\n\n\n<p>Quando un&#8217;azienda utente subisce danni a causa di un attacco cibernetico, in quali circostanze specifiche potrebbe essere messa in discussione la responsabilit\u00e0 del fornitore che ha sviluppato il sistema?<\/p>\n\n\n\n<p>Di seguito, spiegheremo sulla base di casi reali in cui \u00e8 stata messa in discussione la responsabilit\u00e0 del fornitore di sistemi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_fornitore_ha_implementato_misure_in_linea_con_il_livello_tecnologico_al_momento_dello_sviluppo\"><\/span>Il fornitore ha implementato misure in linea con il livello tecnologico al momento dello sviluppo?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Nei casi reali in cui la responsabilit\u00e0 \u00e8 stata contestata in tribunale, \u00e8 stato dato grande peso al fatto che il fornitore di sistemi avesse implementato misure di sicurezza al livello prescritto da avvisi e manuali di enti governativi e associazioni industriali al momento dello sviluppo.<\/p>\n\n\n\n<p>Ci sono stati casi in cui il fornitore di sistemi \u00e8 stato condannato a risarcire i danni causati da attacchi cibernetici, come nel seguente esempio.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Caso di giudizio\u3011Sentenza del Tribunale di Tokyo del 23 gennaio 2014 (Heisei 26)<br>Utente: X Co., Ltd., un rivenditore di materiali per interni che conduce vendite per corrispondenza<br>Fornitore: Y Co., Ltd., che aveva accettato l&#8217;incarico di progettare e mantenere un sistema di ordini online<\/p>\n\n\n\n<p>Un incidente in cui le informazioni delle carte di credito di 7.000 clienti sono state divulgate a causa di un attacco cibernetico<\/p>\n\n\n\n<p>\u25a0Verdetto<br>Ordine di risarcimento dei danni di circa 20 milioni di yen al fornitore di sistemi<br>\u00c8 stato riconosciuto un importo superiore ai circa 2 milioni di yen del prezzo di sviluppo<br>\u00c8 stato riconosciuto un errore anche da parte di X Co., Ltd., e si \u00e8 applicata una compensazione per negligenza del 30%<\/p>\n\n\n\n<p>\u25a0Motivo<br>\u30fbIl fornitore di sistemi ha trascurato di implementare misure di sicurezza in linea con il livello tecnologico del momento.<br>\u30fbNonostante avesse ricevuto una spiegazione del rischio dal fornitore di sistemi, l&#8217;azienda utente che aveva trascurato di prendere misure \u00e8 stata ritenuta colpevole, e si \u00e8 applicata una compensazione per negligenza del 30%.<\/p>\n<\/div><\/div>\n\n\n\n<p>Nel 2014, l'&#8221;attacco di iniezione SQL&#8221; era il principale metodo di attacco cibernetico, e il Ministero dell&#8217;Economia, del Commercio e dell&#8217;Industria aveva pubblicato un documento intitolato &#8220;<a href=\"https:\/\/www.meti.go.jp\/policy\/it_policy\/privacy\/kanki.html\" target=\"_blank\" rel=\"noreferrer noopener\">Avviso sulla rigorosa implementazione delle misure di gestione della sicurezza dei dati personali in base alla legge sulla protezione dei dati personali[ja]<\/a>&#8220;, in cui metteva in evidenza il rischio cibernetico e chiedeva il rafforzamento dei sistemi.<\/p>\n\n\n\n<p>La sentenza ha riconosciuto la responsabilit\u00e0 del fornitore di sistemi che non aveva preso misure e ha ordinato il risarcimento dei danni, ma ha anche riconosciuto un errore da parte dell&#8217;azienda utente e ha concesso una compensazione per negligenza del 30%.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"C%E2%80%99e_una_colpa_da_parte_dell%E2%80%99azienda_utente\"><\/span>C&#8217;\u00e8 una colpa da parte dell&#8217;azienda utente?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Anche l&#8217;azienda utente che ordina lo sviluppo del sistema ha obblighi da rispettare, e se c&#8217;\u00e8 una colpa, potrebbe essere tenuta a rispondere di tutta la responsabilit\u00e0.<\/p>\n\n\n\n<p>Sebbene il seguente non sia un caso di attacco cibernetico, ci sono stati casi in cui \u00e8 stata riconosciuta pienamente la responsabilit\u00e0 dell&#8217;azienda utente e ordinato il risarcimento dei danni.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Caso di giudizio\u3011Sentenza del Tribunale di Asahikawa del 31 agosto 2017 (Heisei 29)<\/p>\n\n\n\n<p>Utente: Ospedale universitario<br>Fornitore: Azienda di sistemi che aveva ricevuto l&#8217;incarico di sviluppare un sistema di cartelle cliniche elettroniche dall&#8217;ospedale universitario<\/p>\n\n\n\n<p>Subito dopo l&#8217;inizio del progetto, ci sono state continue richieste di aggiunte da parte dei medici sul campo.<br>Le richieste non si sono fermate e lo sviluppo \u00e8 stato ritardato, e l&#8217;ospedale universitario ha notificato la risoluzione del contratto a causa del ritardo.<\/p>\n\n\n\n<p>\u25a0Verdetto (appello)<br>Ordine di risarcimento dei danni di circa 1,4 miliardi di yen all&#8217;ospedale universitario<br>La sentenza di primo grado, che ordinava il risarcimento a entrambe le parti, \u00e8 stata annullata<\/p>\n\n\n\n<p>\u25a0Motivo<br>\u30fbIl problema era che l&#8217;ospedale non aveva ascoltato l&#8217;avvertimento del fornitore che se avesse risposto alle richieste aggiuntive, non avrebbe potuto rispettare la scadenza.<\/p>\n<\/div><\/div>\n\n\n\n<p>Questo processo \u00e8 stato avviato quando l&#8217;azienda utente ha notificato la risoluzione del contratto a causa del ritardo nello sviluppo del sistema, e sia l&#8217;azienda utente che il fornitore di sistemi hanno intentato una causa per richiedere il risarcimento dei danni l&#8217;uno all&#8217;altro.<\/p>\n\n\n\n<p>La sentenza ha riconosciuto che la causa del ritardo nello sviluppo era che l&#8217;azienda utente non aveva ascoltato l&#8217;avvertimento del fornitore di sistemi, ha riconosciuto il 100% della responsabilit\u00e0 all&#8217;azienda utente, e ha respinto la richiesta dell&#8217;azienda utente. Il fornitore di sistemi ha l&#8217;obbligo di &#8220;gestire il progetto&#8221; in modo da rispettare la scadenza. D&#8217;altra parte, l&#8217;azienda utente ha anche un &#8220;obbligo di cooperazione&#8221;, e se trascura questo obbligo, pu\u00f2 essere ritenuta interamente responsabile, e in un processo reale, la responsabilit\u00e0 di risarcimento \u00e8 determinata in base a questa percentuale.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tre_punti_chiave_per_lo_sviluppo_di_un_sistema_sicuro\"><\/span>Tre punti chiave per lo sviluppo di un sistema sicuro<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_2004030665.jpg\" alt=\"Tre punti chiave per lo sviluppo di un sistema sicuro\" class=\"wp-image-58929\" \/><\/figure>\n\n\n\n<p>Per prepararsi ai rischi cibernetici, \u00e8 importante che sia gli utenti che i fornitori collaborino insieme per implementare misure di sicurezza.<\/p>\n\n\n\n<p>Di seguito, spiegheremo le misure che i fornitori e gli utenti possono adottare rispettivamente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Comprendere_i_rischi_cibernetici_segnalati_da_agenzie_governative_e_simili\"><\/span>Comprendere i rischi cibernetici segnalati da agenzie governative e simili<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I fornitori di sistemi dovrebbero verificare le linee guida rilasciate da organizzazioni specializzate come il Ministero dell&#8217;Economia, del Commercio e dell&#8217;Industria giapponese (Japanese Ministry of Economy, Trade and Industry) e l&#8217;Organizzazione per la Promozione del Trattamento delle Informazioni (Japanese Information-technology Promotion Agency, IPA), comprendere i rischi cibernetici attuali e i metodi per affrontarli, e quindi procedere con lo sviluppo e la gestione.<\/p>\n\n\n\n<p>Inoltre, non solo i fornitori, ma anche le aziende utenti dovrebbero avere una certa comprensione del contenuto e richiedere lo sviluppo e la gestione in conformit\u00e0 con le linee guida, inserendo una clausola sul livello di sicurezza nel contratto.<\/p>\n\n\n\n<p>Riferimento: <a href=\"https:\/\/www.meti.go.jp\/policy\/netsecurity\/downloadfiles\/guide2.0.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Ministero dell&#8217;Economia, del Commercio e dell&#8217;Industria giapponese | Linee guida per la gestione della sicurezza cibernetica Ver 2.0[ja]<\/a><\/p>\n\n\n\n<p>Riferimento: <a href=\"https:\/\/www.ipa.go.jp\/security\/vuln\/websecurity.html\" target=\"_blank\" rel=\"noreferrer noopener\">Organizzazione per la Promozione del Trattamento delle Informazioni | Come creare un sito web sicuro[ja]<\/a><\/p>\n\n\n\n<p>In particolare, in settori come quello finanziario, potrebbe essere richiesta una sicurezza avanzata da leggi e linee guida. Per le misure di sicurezza relative agli asset crittografici, si veda la spiegazione dettagliata di seguito.<\/p>\n\n\n\n<p>Articolo correlato: <a href=\"https:\/\/monolith.law\/corporate\/cryptoassets-security\" target=\"_blank\" rel=\"noreferrer noopener\">Che cosa sono le misure di sicurezza per gli asset crittografici (valute virtuali)? Spiegazione con tre casi di perdite[ja]<\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Entrambe_le_parti_coinvolte_comprendono_la_necessita_della_sicurezza\"><\/span>Entrambe le parti coinvolte comprendono la necessit\u00e0 della sicurezza<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Le &#8220;Linee guida per la gestione della sicurezza cibernetica Ver2.0&#8221; del Ministero dell&#8217;Economia, del Commercio e dell&#8217;Industria giapponese affermano chiaramente che &#8220;le misure di sicurezza cibernetica sono un problema di gestione&#8221;.<\/p>\n\n\n\n<p>Non si dovrebbe semplicemente delegare la sicurezza al fornitore perch\u00e9 non si capisce, ma l&#8217;azienda dovrebbe considerare la gestione del rischio come parte della gestione e assumersi la responsabilit\u00e0 di implementare le misure.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Entrambe_le_parti_lavorano_insieme_per_affrontare_gli_attacchi_cibernetici\"><\/span>Entrambe le parti lavorano insieme per affrontare gli attacchi cibernetici<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Quando si subisce un attacco cibernetico, sia il committente che il fornitore dovrebbero lavorare insieme per minimizzare i danni, invece di incolparsi a vicenda.<\/p>\n\n\n\n<p>Tuttavia, nel caso dello sviluppo di sistemi, la posizione del committente tende ad essere forte, e lo sviluppo del sistema tende ad essere guidato dal costo e dal tempo di consegna. Potrebbe anche accadere che il fornitore non riceva abbastanza denaro o tempo e che le sue proposte di sicurezza non vengano accettate.<\/p>\n\n\n\n<p>Tuttavia, le linee guida indicano che le aziende utenti dovrebbero considerare l&#8217;implementazione delle misure di sicurezza non come un &#8220;costo&#8221;, ma come un elemento essenziale per le future attivit\u00e0 commerciali e la crescita, e quindi come un &#8220;investimento&#8221;.<\/p>\n\n\n\n<p>Nello sviluppo di sistemi, \u00e8 importante che il fornitore e l&#8217;utente lavorino insieme su un piano di parit\u00e0 per affrontare gli attacchi cibernetici.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Riassunto_Consulta_un_avvocato_per_la_redazione_del_contratto_di_sviluppo_del_sistema\"><\/span>Riassunto: Consulta un avvocato per la redazione del contratto di sviluppo del sistema<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Se si verificano danni a seguito di un attacco cibernetico, il fornitore coinvolto nello sviluppo del sistema pu\u00f2 essere ritenuto responsabile per aver trascurato le misure di gestione del rischio cibernetico da parte dell&#8217;azienda utente.<\/p>\n\n\n\n<p>Tuttavia, anche l&#8217;azienda utente che ha trascurato il suo dovere di cooperazione con il fornitore ha una responsabilit\u00e0.<\/p>\n\n\n\n<p>Per minimizzare i danni da un attacco cibernetico, \u00e8 necessario stabilire nel contratto il livello del sistema e l&#8217;ambito di responsabilit\u00e0 di ciascuna parte.<\/p>\n\n\n\n<p>Per la redazione di contratti di sviluppo di sistemi, consulta un avvocato con una profonda conoscenza specialistica che comprenda il contenuto delle linee guida e i rischi cibernetici attuali.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Presentazione_delle_misure_adottate_dal_nostro_studio_legale\"><\/span>Presentazione delle misure adottate dal nostro studio legale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Lo studio legale Monolith \u00e8 un&#8217;agenzia legale altamente specializzata in IT, in particolare nell&#8217;intersezione tra Internet e legge. Quando si stipula un contratto di sviluppo di sistema, \u00e8 necessario redigere un contratto. Nel nostro studio, creiamo e rivediamo contratti per una variet\u00e0 di casi, dalle aziende quotate alla Borsa di Tokyo alle startup. Se avete problemi con i contratti, si prega di fare riferimento all&#8217;articolo sottostante.<\/p>\n\n\n\n<p>Aree di competenza dello studio legale Monolith: <a href=\"https:\/\/monolith.law\/systemdevelopment\" target=\"_blank\" rel=\"noreferrer noopener\">Affari legali correlati allo sviluppo di sistemi[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Negli ultimi anni, gli attacchi cibernetici contro le aziende sono in costante aumento. Secondo un&#8217;indagine condotta dalla Japanese Network Security Association (JNSA), un&#8217;organizzazione n [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":59067,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[35,19],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/58806"}],"collection":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/comments?post=58806"}],"version-history":[{"count":1,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/58806\/revisions"}],"predecessor-version":[{"id":59068,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/58806\/revisions\/59068"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/media\/59067"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/media?parent=58806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/categories?post=58806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/tags?post=58806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}