Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Danos devido a ataques cibernéticos. Qual é a responsabilidade de indemnização por danos do fornecedor do sistema? Exemplos de descrições de contratos explicados

Danos devido a ataques cibernéticos. Qual é a responsabilidade de indemnização por danos do fornecedor do sistema? Exemplos de descrições de contratos explicados

IT

Danos devido a ataques cibernéticos. Qual é a responsabilidade de indemnização por danos do fornecedor do sistema? Exemplos de descrições de contratos explicados

Nos últimos anos, os ataques cibernéticos contra empresas têm aumentado constantemente.

De acordo com uma pesquisa da Associação Japonesa de Segurança de Rede (JNSA), a proporção de incidentes de vazamento de informações pessoais devido a acessos não autorizados era de 4,7% em 2013, mas aumentou para 20,3% em 2018 (Relatório de Investigação sobre Incidentes de Segurança da Informação em 2018[ja]).

Neste artigo, explicaremos o âmbito da responsabilidade que os fornecedores de sistemas devem assumir quando são alvo de um ataque cibernético, com base em precedentes judiciais. Além disso, também explicaremos os papéis e responsabilidades que devem ser estabelecidos em contratos para que fornecedores e usuários possam trabalhar juntos para combater ataques cibernéticos, com base em contratos modelo.

O fornecedor do sistema é responsável pela indemnização dos danos de um ataque cibernético?

O fornecedor do sistema é responsável pela indemnização dos danos de um ataque cibernético?

Quando uma empresa do lado do utilizador sofre um ataque cibernético e ocorrem danos, o primeiro a ser responsabilizado deve ser o autor do ataque cibernético. No entanto, se houver a possibilidade de o ataque ter sido facilitado por negligência no desenvolvimento ou operação do sistema, pode ser admitido um pedido de indemnização por danos do lado do utilizador para o lado do fornecedor do sistema.

As bases para um pedido de indemnização por danos que o fornecedor do sistema pode enfrentar incluem:

  • Responsabilidade por não conformidade contratual
  • Violação do dever de cuidado e diligência

No entanto, pode haver casos em que os danos se ampliam devido à negligência do lado do utilizador. Nesse caso, a responsabilidade do lado do utilizador também é reconhecida. Em julgamentos reais, houve casos em que isso foi considerado como compensação por negligência e a indemnização por danos ao fornecedor do sistema foi limitada.

Artigo relacionado: Quais são as 3 categorias de crimes cibernéticos? Um advogado explica as medidas de prevenção para cada padrão[ja]

Responsabilidade por danos do fornecedor do sistema e exemplos de descrição no contrato

Como exemplos representativos de contratos de sistemas de TI entre o fornecedor do sistema e a empresa utilizadora, existem os seguintes três:

  1. Contrato de desenvolvimento de software
  2. Contrato de manutenção e operação do sistema
  3. Contrato de utilização de serviços na nuvem

A responsabilidade por danos é determinada pelo contrato inicial, por isso, a seguir, explicaremos para cada tipo de contrato.

Contrato de Desenvolvimento de Software

Um contrato de desenvolvimento de software é um acordo celebrado quando uma empresa, do lado do utilizador, subcontrata o desenvolvimento do seu sistema a um fornecedor de software.

Se a vulnerabilidade do software for a causa da expansão do dano quando a empresa do lado do utilizador é atacada ciberneticamente, a responsabilidade do fornecedor pode ser questionada pelo utilizador.

O fornecedor do sistema tem duas responsabilidades, dependendo do tipo de contrato de desenvolvimento de software:

  • Contrato de empreitada: Responsabilidade por não conformidade do contrato
  • Contrato de subcontratação: Violação do dever de cuidado diligente

Contrato de Empreitada

Um contrato de empreitada é um acordo que promete a conclusão do sistema e paga uma remuneração pelo produto final.

Se o produto entregue “não estiver em conformidade com o objetivo do contrato”, a responsabilidade por não conformidade do contrato (Artigos 559 e 562 do Código Civil Japonês[ja]) será aplicada ao empreiteiro por um certo período de tempo após a entrega.

Em outras palavras, existe o risco de ser solicitada uma indenização por danos devido à responsabilidade por não conformidade do contrato do lado do utilizador, se o produto for de tal natureza que facilmente cause uma falha no sistema devido a um ataque cibernético.

Se esta reivindicação é aceite ou não depende do nível de segurança do software que foi acordado entre as partes antecipadamente.

【Exemplo de Responsabilidade por Não Conformidade do Contrato】

Artigo X – Após a conclusão da inspeção mencionada no artigo anterior, se for descoberta uma discrepância (incluindo bugs, referidos neste artigo como “não conformidade do contrato”) entre as especificações do sistema e o produto entregue, a Parte A pode solicitar à Parte B que complete a execução (referida neste artigo como “complementação”) da correção da referida não conformidade do contrato, e a Parte B deve realizar a referida complementação. No entanto, a Parte B pode realizar a complementação por um método diferente do solicitado pela Parte A, desde que não imponha um fardo injusto à Parte A.

2. Não obstante o parágrafo anterior, se for possível atingir o objetivo do contrato individual mesmo com a referida não conformidade do contrato e se a complementação exigir um custo excessivo, a Parte B não será obrigada a cumprir o dever de complementação estipulado no parágrafo anterior.

3. Se a Parte A sofrer danos devido à referida não conformidade do contrato (limitado aos casos causados por razões atribuíveis à Parte B), a Parte A pode solicitar à Parte B uma indenização por danos.

Citação: Modelo de Contrato de Transação do Sistema de Informação (2ª Edição)[ja]

Contrato de Subcontratação

No contrato de subcontratação, a responsabilidade por não conformidade do contrato não se aplica porque não há obrigação de completar o produto. Em vez disso, tem a obrigação de “gerir os negócios da delegação com o cuidado de um bom gerente” (dever de cuidado diligente).

Se uma falha no sistema ocorrer devido a um ataque cibernético, mesmo que o nível de segurança não tenha sido definido no momento do contrato, o desenvolvimento de um sistema desse nível pode ser considerado uma “violação do dever de cuidado diligente” (Artigos 656 e 644 do Código Civil Japonês[ja]), e pode haver a possibilidade de ser solicitada uma indenização por danos.

【Exemplo de Dever de Cuidado Diligente】

Artigo X – A Parte B, após a celebração do contrato individual estipulado no Artigo X, prestará serviços (doravante referidos como “serviços de apoio à criação de requisitos”) para apoiar a Parte A na criação de um documento de definição de requisitos, com base no plano de sistema de informação, plano de sistematização, etc., criado pela Parte A como parte deste trabalho.

2. A Parte B, com base no seu conhecimento e experiência especializados em tecnologia da informação, realizará trabalhos de apoio, tais como pesquisa, análise, organização, proposta e aconselhamento, com o cuidado de um bom gerente, para que o trabalho da Parte A seja realizado de forma suave e adequada.

Citação: Modelo de Contrato de Transação do Sistema de Informação (2ª Edição)[ja]

Contrato de Manutenção e Operação de Sistemas

O contrato de manutenção e operação de sistemas é um acordo em que uma empresa delega a um fornecedor de software a tarefa de manter e operar o software existente. Quando se celebra um contrato de manutenção e operação, é comum incluir no contrato, em documentos como a especificação de trabalho, o nível de segurança que deve ser atingido.

Se ocorrerem danos devido a um ataque cibernético e o nível de segurança do sistema for inferior ao acordado no momento do contrato, a responsabilidade por incumprimento do contrato pode ser invocada com base na cláusula de não conformidade do contrato.

No entanto, se o nível de segurança não tiver sido definido previamente, a manutenção e operação de um sistema vulnerável a ataques cibernéticos pode ser considerada uma violação do dever de diligência, e a responsabilidade pode ser questionada.

Contrato de Utilização de Serviços na Nuvem

O contrato de utilização de serviços na nuvem é um acordo estabelecido quando se utiliza um serviço fornecido por um fornecedor na nuvem. Como é esperado que o fornecedor ofereça o mesmo serviço a vários utilizadores, é comum que o contrato seja estabelecido de acordo com os termos de utilização definidos pelo fornecedor.

Em geral, este contrato especifica antecipadamente a responsabilidade no caso de o serviço não poder ser fornecido devido a um ataque cibernético.

No contrato de utilização de serviços na nuvem, normalmente são estabelecidos os seguintes pontos no momento do contrato:

  • SLA (Service Level Agreement): Garantia de qualidade e regras de operação
  • Cláusula de limitação de responsabilidade: Âmbito da responsabilidade por incumprimento do fornecedor em caso de danos

O SLA é um documento que explicita o nível de exigência do utilizador e as regras de operação do fornecedor. Se o serviço estipulado aqui não for fornecido, pode-se solicitar uma indemnização por incumprimento parcial. Além disso, o contrato pode incluir uma “cláusula de limitação de responsabilidade” que limita antecipadamente os requisitos para o fornecedor ser sujeito a uma reivindicação por incumprimento, e limita o montante da indemnização mesmo quando a responsabilidade é reconhecida.

No entanto, como as cláusulas de limitação de responsabilidade são muitas vezes favoráveis ao fornecedor, podem estar sujeitas a algumas restrições de acordo com a jurisprudência japonesa em caso de disputa.

【Exemplo de cláusula de limitação de responsabilidade】

Artigo X – A e B podem solicitar uma indemnização por danos à outra parte se sofrerem danos devido a uma causa atribuível à outra parte na execução deste contrato e do contrato individual. No entanto, esta reivindicação não pode ser feita após o prazo de X meses a partir da data de conclusão da inspeção do produto estipulado no contrato individual que causou a reivindicação de indemnização ou da data de confirmação do término do trabalho.

2. O montante total acumulado de indemnização por danos relacionados com a execução deste contrato e do contrato individual, independentemente da causa da reivindicação, incluindo incumprimento (incluindo responsabilidade por não conformidade do contrato), enriquecimento injusto, ato ilícito, etc., é limitado ao montante X estipulado no contrato individual que causou a causa da responsabilidade.

3. O parágrafo anterior não se aplica se a obrigação de indemnização se basear em dolo ou negligência grave do devedor da indemnização.

Citação: Modelo de Contrato de Transação do Sistema de Informação (Segunda Edição)[ja]

Critérios para determinar a responsabilidade de indemnização do fornecedor do sistema

Critérios para determinar a responsabilidade de indemnização do fornecedor do sistema

Quando um ataque cibernético causa danos a uma empresa utilizadora, em que circunstâncias específicas pode a responsabilidade ser atribuída ao fornecedor que desenvolveu o sistema?

Abordaremos este assunto com base em casos reais em que a responsabilidade do fornecedor do sistema foi questionada.

As medidas tomadas estão de acordo com o nível tecnológico no momento do desenvolvimento?

Em casos reais que vão a tribunal, é importante se o fornecedor do sistema implementou medidas de segurança de acordo com os padrões estabelecidos por agências governamentais e associações industriais no momento do desenvolvimento.

Existem casos em que o fornecedor do sistema foi ordenado a pagar indemnizações por danos causados por ataques cibernéticos, como o seguinte:

【Exemplo de caso】Decisão do Tribunal Distrital de Tóquio, 23 de janeiro de 2014 (Heisei 26)
Utilizador: Empresa X, que vende materiais de decoração de interiores a retalho e por correspondência
Fornecedor: Empresa Y, que foi contratada para projetar e manter um sistema de pedidos online

Um incidente em que as informações de cartão de crédito de 7.000 clientes foram vazadas devido a um ataque cibernético

■Decisão
Ordem de indemnização de cerca de 20 milhões de ienes para o fornecedor do sistema
Um montante superior ao preço de desenvolvimento de cerca de 2 milhões de ienes foi reconhecido
A empresa X também foi considerada negligente, resultando numa compensação de 30% por negligência

■Razão
・O fornecedor do sistema negligenciou a obrigação de implementar medidas de segurança de acordo com o nível tecnológico da época.
・A empresa utilizadora, que tinha recebido uma explicação sobre o risco do fornecedor do sistema, mas negligenciou as medidas, também foi considerada negligente, resultando numa compensação de 30% por negligência.

Em 2014, os “ataques de injeção SQL” eram a principal forma de ataque cibernético, e o Ministério da Economia, Comércio e Indústria do Japão publicou um documento chamado “Alerta para a implementação rigorosa de medidas de segurança de dados pessoais com base na Lei de Proteção de Dados Pessoais[ja]“, apontando para o risco cibernético e apelando ao reforço do sistema.

A decisão reconheceu a responsabilidade do fornecedor do sistema que não tinha tomado medidas e ordenou a indemnização, mas também reconheceu que a empresa utilizadora tinha sido negligente e permitiu uma compensação de 30% por negligência.

A empresa utilizadora tem alguma falha?

A empresa utilizadora que encomenda o desenvolvimento do sistema também tem obrigações a cumprir, e se houver alguma falha, pode ser responsabilizada por toda a responsabilidade.

Embora o seguinte não seja um exemplo de ataque cibernético, há também um precedente em que a responsabilidade total da empresa utilizadora foi reconhecida e foi ordenada a pagar indemnização.

【Exemplo de caso】Decisão do Tribunal Distrital de Asahikawa, 31 de agosto de 2017 (Heisei 29)

Utilizador: Hospital Universitário
Fornecedor: Empresa de sistemas que foi contratada para desenvolver um sistema de prontuários eletrónicos pelo hospital universitário

Logo após o início do projeto, houve uma série de pedidos adicionais por parte dos médicos no local.
Os pedidos não pararam e o desenvolvimento foi atrasado, e o hospital universitário cancelou o contrato por causa do atraso.

■Decisão (apelada)
Ordem de indemnização de cerca de 1,4 bilhões de ienes para o hospital universitário
A decisão do primeiro julgamento que ordenou a indemnização a ambas as partes foi anulada

■Razão
・O problema foi que o hospital não prestou atenção ao aviso do fornecedor de que se atendesse aos pedidos adicionais, não conseguiria cumprir o prazo.

Este julgamento é um caso em que a empresa utilizadora e o fornecedor do sistema processaram um ao outro para reivindicar indemnização, porque a empresa utilizadora notificou o cancelamento do contrato devido ao atraso no desenvolvimento do sistema.

A decisão reconheceu que a causa do atraso no desenvolvimento foi o facto de a empresa utilizadora não ter prestado atenção ao aviso do fornecedor do sistema, reconheceu 100% da responsabilidade da empresa utilizadora, e rejeitou a reivindicação da empresa utilizadora. O fornecedor do sistema tem a “obrigação de gestão do projeto” de gerir o progresso do projeto para que possa ser concluído a tempo. Por outro lado, a empresa utilizadora também tem a “obrigação de cooperação”, e se falhar nisso, pode ser responsabilizada por toda a responsabilidade, e na realidade, a responsabilidade de indemnização é determinada com base na proporção em tribunal.

Três pontos para o desenvolvimento seguro de sistemas

Três pontos para o desenvolvimento seguro de sistemas

Para se preparar para riscos cibernéticos, é importante que ambos os lados, usuários e fornecedores, trabalhem juntos em medidas preventivas.

A seguir, explicaremos as medidas que fornecedores e usuários podem tomar a partir de suas respectivas posições.

Compreender os riscos cibernéticos apontados por agências governamentais e similares

Os fornecedores de sistemas devem verificar as diretrizes emitidas por organizações especializadas, como o Ministério da Economia, Comércio e Indústria do Japão e a Agência de Promoção de Processamento de Informação Independente (IPA), entender os riscos cibernéticos atuais e seus métodos de prevenção, e aplicar esses conhecimentos no desenvolvimento e operação dos sistemas.

Além disso, não apenas os fornecedores, mas também as empresas do lado do usuário devem ter um certo grau de compreensão do conteúdo e solicitar o desenvolvimento e operação de acordo com as diretrizes, incluindo cláusulas de nível de segurança nos contratos.

Referência: Ministério da Economia, Comércio e Indústria do Japão | Diretrizes de Gestão de Segurança Cibernética Ver 2.0[ja]

Referência: Agência de Promoção de Processamento de Informação | Como criar um site seguro[ja]

Em particular, em áreas como o setor financeiro, pode haver requisitos de alta segurança em leis e diretrizes. As medidas de segurança para ativos criptográficos são explicadas em detalhes abaixo.

Artigo relacionado: Quais são as medidas de segurança para ativos criptográficos (moedas virtuais)? Explicação com três casos de vazamento[ja]

Ambas as partes envolvidas entendem a necessidade de segurança

As “Diretrizes de Gestão de Segurança Cibernética Ver 2.0” do Ministério da Economia, Comércio e Indústria do Japão claramente afirmam que “as medidas de segurança cibernética são uma questão de gestão”.

Em vez de deixar tudo para o fornecedor por não entender sobre segurança, a empresa também deve considerar a gestão de riscos como parte da gestão e assumir a responsabilidade pelas medidas preventivas.

Ambas as partes lidam juntas com ataques cibernéticos

Quando um ataque cibernético ocorre, o cliente e o fornecedor devem trabalhar juntos para minimizar os danos, em vez de empurrar a responsabilidade um para o outro.

No entanto, a posição do cliente tende a ser mais forte entre o cliente e o fornecedor no desenvolvimento de sistemas, e o desenvolvimento de sistemas tende a ser conduzido com foco no custo e no prazo de entrega. O fornecedor pode não ter dinheiro ou tempo suficiente e pode não ser capaz de aceitar propostas de segurança.

Contudo, as diretrizes indicam que as empresas do lado do usuário devem considerar a implementação de medidas de segurança não como um “custo”, mas como um investimento essencial para as futuras atividades e crescimento dos negócios.

No desenvolvimento de sistemas, é importante que fornecedores e usuários trabalhem juntos em pé de igualdade para lidar com ataques cibernéticos.

Resumo: Consulte um advogado para a criação de um contrato de desenvolvimento de sistemas

Em caso de danos causados por um ataque cibernético, o fornecedor envolvido no desenvolvimento do sistema pode ser responsabilizado pela empresa utilizadora por negligenciar as medidas de gestão de risco cibernético.

No entanto, a empresa utilizadora que negligencia o seu dever de cooperação com o fornecedor também tem responsabilidades.

Para minimizar os danos de um ataque cibernético, é necessário definir o nível do sistema e o âmbito de responsabilidade de cada parte no contrato.

Para a criação de contratos de desenvolvimento de sistemas, consulte um advogado com conhecimento especializado avançado que compreenda o conteúdo das diretrizes e os riscos cibernéticos atuais.

Apresentação das medidas tomadas pelo nosso escritório

O escritório de advocacia Monolith é especializado em IT, particularmente na intersecção entre a Internet e a lei. Na celebração de um contrato de desenvolvimento de sistema, é necessário elaborar um contrato. No nosso escritório, criamos e revisamos contratos para uma variedade de casos, desde empresas listadas na Bolsa de Valores de Tóquio até startups. Se tiver problemas com o contrato, consulte o artigo abaixo.

Áreas de atuação do escritório de advocacia Monolith: Assuntos legais relacionados ao desenvolvimento de sistemas[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

O que são as regulamentações sobre ativos criptográficos? Explicando a relação com a 'Lei Japonesa de Liquidação de Fundos' e a 'Lei Japonesa de Transações de Instrumentos Financeiros

O que são as regulamentações sobre ativos criptográficos? Explicando a relação com a 'Lei Japone.

IT

O que é a gestão de mudanças no desenvolvimento de sistemas do ponto de vista jurídico?

O que é a gestão de mudanças no desenvolvimento de sistemas do ponto de vista jurídico?

IT

Quais são as obrigações de suporte que o fornecedor assume após o término do desenvolvimento do sistema?

Quais são as obrigações de suporte que o fornecedor assume após o término do desenvolvimento do .

IT

Quais são os três desafios legais do DeFi? Explicação da regulamentação legal sobre a emissão de tokens DEX

Quais são os três desafios legais do DeFi? Explicação da regulamentação legal sobre a emissão de.

IT

O que é o empréstimo de ativos criptográficos? Explicação sobre dois pontos legais

O que é o empréstimo de ativos criptográficos? Explicação sobre dois pontos legais

IT

Diferenças e vantagens/desvantagens entre o contratante principal e o subcontratante no desenvolvimento de sistemas

Diferenças e vantagens/desvantagens entre o contratante principal e o subcontratante no desenvol.

IT

Quais são os casos em que a responsabilidade por atos ilícitos se tornou um problema no desenvolvimento de sistemas?

Quais são os casos em que a responsabilidade por atos ilícitos se tornou um problema no desenvol.

IT

O que são as diretrizes para contratos de uso de IA? Explicação detalhada das cláusulas para prevenir problemas antecipadamente

O que são as diretrizes para contratos de uso de IA? Explicação detalhada das cláusulas para pre.

IT

Que leis se aplicam ao Web3? Explicação dos pontos essenciais para empresas que entram no setor

Que leis se aplicam ao Web3? Explicação dos pontos essenciais para empresas que entram no setor

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo