Que certaines infractions relevant de la cybercriminalité soient identifiées comme une forme de criminalité organisée ou comme étant liées à la criminalité organisée dépend des définitions pratiques de la « criminalité organisée » utilisées (ONUDC, 2013, pp. 44-45). La Convention des Nations Unies contre la criminalité transnationale organisée ne fournit pas de définition de la criminalité organisée. Ceci n’est pas seulement le résultat d’un défaut d’accord entre les États, mais plutôt un choix conscient fait par les négociateurs de la Convention. Toute définition inclurait probablement une liste des activités illicites menées par les groupes criminels organisés qui changent et s’adaptent constamment en fonction de l’évolution de notre monde dynamique. Par conséquent, une telle définition deviendrait rapidement obsolète. La Convention contre la criminalité organisée définit l’acteur impliqué dans la commission d’une infraction plutôt que l’infraction elle-même : un « groupe criminel organisé » (voir le Module 1 sur les définitions de la criminalité organisée de la série de modules sur la criminalité organisée). Plus précisément, en vertu de l’article 2(a) de la Convention, un « groupe criminel organisé » est défini comme « un groupe structuré de trois personnes ou plus existant depuis un certain temps et agissant de concert dans le but de commettre une ou plusieurs infractions graves ou infractions établies conformément à la présente Convention, pour en tirer, directement ou indirectement, un avantage financier ou un autre avantage matériel ». Dans ce contexte, un groupe structuré « n’a pas besoin d’une hiérarchie formelle ou d’une continuité dans sa composition ». De ce fait, la définition est large et inclut des groupes peu affiliés sans rôle formellement défini pour ses membres ni structure développée (voir le Module 1 sur la criminalité organisée).
Bien qu’il n’existe pas de définition universellement reconnue de la criminalité organisée (voir le Module 1 sur la criminalité organisée), celle-ci peut être comprise comme « une entreprise criminelle continue qui agit rationnellement pour tirer profit d’activités illicites qui font souvent l’objet d’une forte demande de la part du public. Sa survie est assurée par la corruption d’agents publics et par le recours à l’intimidation, aux menaces ou à la force pour mener à bien les opérations y afférentes » (définition utilisée dans la série de modules sur la criminalité organisée, voir le Module 1 sur la criminalité organisée). Par extension, « la cybercriminalité organisée » est un terme utilisé pour décrire les activités relevant de la criminalité organisée dans le cyberespace. Comme pour la criminalité organisée, il n’y a pas de consensus sur la définition de la cybercriminalité ou de la cybercriminalité organisée (ONUDC, 2013 ; Broadhurst et al., 2014 ; Maras, 2016).
Des études sur la cybercriminalité organisée ont souligné que certaines des caractéristiques traditionnelles de la criminalité organisée peuvent ne pas se refléter correctement dans le cyberespace. Un exemple d’une telle caractéristique est le « contrôle du territoire » (ONUDC, 2013, p. 45). Varese a soutenu qu’un groupe criminel organisé « tente de réglementer et de contrôler la production et la distribution d’un produit ou d’un service fourni de manière illicite » (2010, p. 14). Cette réglementation est présente dans les marchés noirs (par exemple, les défunts DarkMarket et CardersMarket) où les administrateurs et les modérateurs surveillent le site et le contenu et veillent à l’application des règles des plateformes. Si les règles ne sont pas respectées, les personnes qui ne s’y conforment pas sont exclues du site. Si « la production et la distribution d’un bien ou d’un service donné » pourraient être contrôlées au sein de ces sites, ce contrôle ne s’étend pas aux autres forums en ligne (ce qui limite le pouvoir et l’autorité des réseaux). Par conséquent, contrairement à la criminalité organisée traditionnelle, leur « contrôle de la production et de certains produits [ou services] dans le monde souterrain » est limité (Leukfeldt, Lavorgna, et Kleemans, 2017, p. 296).
Dans le cas des marchés noirs, la structure, l’organisation, la réglementation et le contrôle des biens et services illicites sont liés aux sites en ligne et non pas aux personnes qui les dirigent et/ou les modèrent. Par conséquent, lorsque ces sites de marché noir sont mis hors ligne (par exemple, à la suite d’une enquête et à la saisie d’un site par les services de détection et de répression), le réseau associé à ce site cesse souvent d’exister. Il y a cependant des exceptions, lorsque des membres ou d’autres individus connectés à un site (ceux qui ne sont pas concernés par les enquêtes des services de détection et de répression et par les poursuites judiciaires) ont créé un autre site qui reflète celui qui a été mis hors ligne. Cela a été le cas du (aujourd’hui défunt) site de darknet Silk Road 2.0 (qui imitait le site Silk Road) qui a été créé afin de maintenir la continuité des activités menées précédemment sur le site Silk Road (Maras, 2016). Même le nom de l’administrateur, Dread Pirate Roberts, est resté le même que celui utilisé par l’administrateur de Silk Road (au moins avant que l’administrateur ne soit arrêté)
Le nom Dread Pirate Roberts vient d’un personnage du film Princess Bride (1987). Dans ce film, le personnage portant le nom de Dread Pirate Robert explique la signification de son nom. Dread Pirate Roberts ne fait pas référence à une personne spécifique ; c’est un nom qui est hérité. Quiconque utilise ce nom hérite de la réputation associée à ce nom (Maras, 2016).
Deux autres caractéristiques traditionnellement associées aux réseaux criminels organisés traditionnels, la corruption et la menace ou le recours à la violence (Arsovska, 2011), sont considérées comme ne se prêtant pas bien à la cybercriminalité organisée (Leukfeldt, Lavorgna et Keemans, 2017). Cela dépend toutefois du type d’activité relevant de la cybercriminalité organisée. En ce qui concerne la première caractéristique (c.-à-d., la corruption), des recherches ont montré que la corruption politique influence les décisions de participer à des activités relevant de la criminalité organisée. Dans un pays, on a constaté que la fraude en ligne, parmi d’autres infractions financières, faisait partie intégrante du fonctionnement de l’État (Ellis, 2016 ; voir également l’analyse de Hoffmann et al., 2016). En ce qui concerne la seconde caractéristique (c.-à-d., la menace ou le recours à la violence), il existe peu d’éléments permettant de suggérer un recours à la violence ou à la menace de recours à la violence pour favoriser des activités relevant de la cybercriminalité organisée (ONUDC, 2013 ; Leukfeldt, Lavorgna et Kleemans, 2017), à l’exception de certains cas où, par exemple, des mules financières (ou « money mules ») (c.-à-d., « des individus qui obtiennent… et transfèrent… de l’argent illégalement sur demande et paiement par d’autres » ; Maras, 2016) ont participé à des activités relevant de la cybercriminalité organisée et ont informé les autorités qu’ils participaient aux activités illégales ou continuaient de participer à ces activités car elles étaient menacées par des délinquants (Leukfeldt, Lavorgna et Kleemans, 2017, p. 294). Comme alternative à la violence physique, les cybercriminels organisés lancent ou menacent de lancer des cyberattaques ou de recourir à d’autres formes de cybercriminalité afin de contraindre des individus à se conformer à leurs exigences (Maras, 2016). Les cybercriminels utilisent par exemple des cryptoransomwares (c.-à-d., « des logiciels malveillants qui infectent l’appareil numérique d’un utilisateur, chiffrent les documents de l’utilisateur et menacent de supprimer les documents et les données si la victime ne paie pas la rançon) et/ou des doxwares (c.-à-d., une forme de cryptoransomware que les auteurs utilisent contre les victimes qui divulgue les données de l’utilisateur si la rançon n’est pas payée pour décrypter les fichiers et les données) (voir le Module 2 sur les principaux types de cybercriminalité).
Des théories de criminologie ont été appliquées à la cybercriminalité organisée (Maras, 2016). Ces théories envisagent la cybercriminalité organisée comme le produit d’un choix rationnel, d’opportunités délictueuses, de conflits, de privations relatives, d’apprentissage et/ou de tensions (par exemple, Broadhurst et al., 2018 ; Maras, 2016 ; Oyenuga, 2018 ; Wall, 2017 ; Bossler et Holt, 2009 ; Yar, 2005 ; certaines de ces théories sont incluses dans le Module 1 sur l’introduction à la cybercriminalité, le Module 9 sur la cybersécurité et la prévention de la cybercriminalité : applications et mesures pratiques, le Module 11 sur la criminalité cyber-active liée à la propriété intellectuelle et le Module 12 sur la cybercriminalité interpersonnelle ; les théories de criminologie concernant la criminalité organisée en général sont examinées dans le Module 6 sur les causes et facteurs facilitateurs de la criminalité organisée de la série de modules sur la criminalité organisée). Malgré l’ampleur des théories appliquées à la cybercriminalité organisée, les résultats des études appliquant ces théories à ce type de cybercriminalité ont varié et le soutien en faveur de l’application de ces dernières est mitigé (Maras, 2016).