Articoli
29/06/2020
Corporate & Commercial

ARTE | Il mercato dell’arte ripiega nel web: l’importanza delle misure di sicurezza del GDPR a difesa da cyber-crimini

1. La “fuga” sulla rete tra emergenza Covid-19 ed evoluzione tecnologica

A due mesi dall’esplosione della pandemia di Covid-19 in Italia e nel mondo, il mercato dell’arte si trova nel limbo tra le riaperture contingentate delle proprie attività e la necessità di potenziare il più possibile il contatto con il pubblico e i clienti attraverso l’inaugurazione di nuovi canali di comunicazione via internet. Il repentino approdo online degli affari – e dunque il superamento della visione del sito web quale sola vetrina commerciale [1] per gallerie, case d’asta o dealer intenzionati ad attrarre il maggior pubblico possibile – talvolta può essere interpretato dai più come una necessità contingente anziché un vero e proprio investimento a lungo termine.

Non v’è bisogno di analizzare l’importanza di internet nei traffici commerciali del 2020; basti pensare che realtà considerate di nicchia, ben distanti dall’economia reale, si stanno trasformando in spazi di sviluppo e progettazione dell’economia del futuro. Esemplari e curiosi sono i casi delle piattaforme virtuali online come Fortnite, nata come videogioco nel 2017 – oggi vera e propria realtà parallela dove si realizzano concerti ed eventi interamente virtuali [2] – e Minecraft, in cui si costruiscono librerie dove gli utenti possono consultare testi censurati nei propri Paesi d’origine [3] e si organizzano mostre d’arte [4], entrambi forieri di una primitiva forma di quello che romanzescamente s’è definito “metaverso” [5].

Se dunque, da un lato, il commercio (anche d’arte) online già possiede una propria disciplina che deve essere necessariamente implementata per garantire legalità e certezza ai propri affari [6], dall’altro lato l’utilizzo della rete richiede inderogabili accorgimenti in materia di sicurezza dei sistemi informatici e dati in essi contenuti. I volumi di scambio, infatti, sono da anni in rapida ascesa: le vendite online, nel 2019, hanno rappresentato il 9% del mercato dell’arte totale [7]. Un numero paradossalmente considerevole, se si tiene conto della innata socialità e intimità che il mondo dell’arte ha sempre richiesto nelle proprie relazioni; e un mercato assai redditizio, pari a 5,9 miliardi di dollari, concentrato in poche transazioni gestite da un numero ristretto di player internazionali [8], che non è stato notato solo dagli operatori del settore.

2. I pericoli della rete

L’espansione delle attività commerciali online ha specularmente aumentato il rischio di attacchi informatici. Si stima che nel 2019 solo in Italia siano avvenuti oltre 1.670 attacchi online considerati “gravi”, ossia che hanno comportato ingenti perdite di denaro per la vittima [9]. Un trend in costante aumento, tenendo conto che negli ultimi cinque anni, si è registrato un vertiginoso aumento del 91.2% rispetto al 2014. Le principali modalità di attacco, rilevano gli esperti del Clusit – Associazione Italiana per la Sicurezza Informatica – avvengono per mezzo di malware, phishing [10] e frodi via email, ossia, in sostanza, attirando quasi sempre gli utenti in tranelli mirati a ottenere importanti informazioni – username, password, dati personali o bancari – con le quali penetrare le aree personali dei sistemi informatici. Tra gli obiettivi dei malintenzionati vi sono corrispondenze email, dati bancari, segreti commerciali e dati personali.

Il mercato dell’arte è tutt’altro che esente da questi rischi. Già nel 2017, The Art Newspaper denunciava l’insolito aumento di attacchi informatici a gallerie, collezionisti e altri operatori del mercato dell’arte, causando danni (economici e reputazionali) enormi ai malcapitati [11]; player internazionali come Hauser & Wirth, Thomas Dane, Simon Lee, Rosenfeld Porcini and Laura Bartlett non sono stati risparmiati dalle truffe online. La modalità prediletta con cui vengono sottratte ingenti somme di denaro in questo segmento di mercato, osserva The Art Newspaper, è uno schema tanto semplice quanto efficace, che si alimenta proprio da quel rapporto di fiducia che regola da sempre il mercato dell’arte e i rapporti tra i suoi vari protagonisti.

Il man-in-the-middle scheme (“MITM”), la più diffusa e deleteria delle truffe online nel mondo dell’arte, consente ai malviventi di interferire nella corrispondenza tra i vari operatori, bucando la casella postale di uno degli interlocutori (in genere quello del venditore); gli hacker monitorano la corrispondenza in entrata e in uscita fino a quando non intercettano la fattura del venditore per poi inviare, dallo stesso indirizzo email del venditore (o da un indirizzo email pressoché identico) una seconda email all’acquirente in cui, con una scusa, si chiede di ignorare la fattura trasmessa in prima battuta e i relativi dati di pagamento e di effettuare il versamento su un nuovo conto che il più delle volte fa capo ad uno stato diverso da quello di provenienza delle parti. All’accredito, gli hacker trasferiscono i fondi riducendo le possibilità di rintracciare i trasferimenti. Gli hackers utilizzano per questi trasferimenti intermedi anche conti bancari di (più o meno ignari) terzi soggetti che nulla hanno a che fare con il venditore e l’acquirente. Il risultato è la manipolazione della corrispondenza tra le varie parti finalizzata a concludere una transazione commerciale con il versamento di denaro da parte del malcapitato in uno dei conti correnti connessi ai malviventi stessi. I danni non si limitano alla sola sottrazione di denaro: i sistemi informatici delle vittime saranno considerati irrimediabilmente compromessi, comportando ulteriori spese per il ripristino e la messa in sicurezza.

I pericoli, tuttavia, non risiedono solo nello scambio di corrispondenza: hacker da ogni parte del mondo sono in grado di violare i sistemi di sicurezza e sottrarre migliaia di dati personali per rivenderli al miglior offerente sul dark web, l’internet non accessibile attraverso gli ordinari browser e motori di ricerca. È successo alla piattaforma Artsy [12], infatti, di vedersi sottratti 184 megabyte di dati personali degli utenti, vale a dire nomi, indirizzi email, indirizzi IP [13] e password di oltre un milione di utenti [14]. Bottini che, pertanto, non assumono solo la fisionomia di furti di denaro, ma anche di informazioni sensibili in grado di danneggiare seriamente le attività e, ancor peggio, le vite stesse delle persone.

3. Lo schema MITM in azione: il caso Larsson

Lo schema MITM è da qualche anno indiretto protagonista di numerose pagine di cronaca dei rotocalchi d’arte. In particolare, uno dei casi più recenti e ampiamente raccontati [15] coinvolge una giovane collezionista svizzera, Maria Larsson, nel febbraio 2019.

Larsson era in trattativa con la newyorchese Team Gallery per l’acquisto di una fotografia di Ryan McGinley, Kaaterskill Falls, disponibile al prezzo di $21.000,00. A seguito di una sua richiesta di sconto del 10%, riceveva dalla posta elettronica della responsabile di galleria con cui era in contatto una email di conferma dello sconto. Assieme al nuovo prezzo, l’email esponeva i vantaggi dell’acquisto di un’opera fotografica ad un prezzo decisamente di favore se paragonato ad opere simili dell’artista battute recentemente in asta. Due settimane dopo, Larsson otteneva finalmente la fattura per l’acquisto dell’opera, la quale però riportava il prezzo originario; a seguito di una semplice richiesta di spiegazioni riceveva nell’arco di un’ora la fattura corretta, la quale riportava anche le coordinate bancarie di un conto corrente riconducibile ad una banca di Houston, nel Texas. Tale richiesta – precisava la email della “galleria” – era dovuta alla decisione di inviare direttamente il denaro all’artista. Larsson, soddisfatta della trattativa e dei chiarimenti, pagava come richiesto. Tre giorni dopo, contattava telefonicamente la Team Gallery per chiedere conferma dell’avvenuto pagamento, scoprendo con amarezza che nessuno della galleria aveva mai approvato lo sconto né inviato una fattura di $18.900, precisando, in una successiva comunicazione, che l’unico conto corrente attivo della galleria era in una filiale di New York City.

A nulla servì il tentativo della banca di Larsson di ritirare il pagamento. La galleria escluse immediatamente la propria responsabilità nel disguido che era venuto in essere che, in breve tempo, si scoprì essere molto più che un semplice malinteso. L’informatico della galleria scoprì in breve tempo che la postazione della responsabile alla vendita, nei giorni della trattativa con Larsson, era stata ripetutamente violata da un indirizzo IP localizzato in Nigeria, il quale ha permesso, di fatto, a perfetti sconosciuti di accedere alle informazioni – a tutte le informazioni – contenute nel computer e, di riflesso, della galleria.

4. Regole comuni per tutti: il GDPR e le misure di sicurezza

L’aumento dei traffici online e il raffinamento delle tecniche di intrusione e manipolazione dei dati da parte dei malintenzionati di tutto il mondo ha imposto un ripensamento delle precedenti leggi a tutela della sicurezza online.

L’Unione europea, nel 2016, ha concluso un percorso di studio e analisi dei rischi della rete adottando due importanti provvedimenti: la Direttiva (UE) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (cd. “Direttiva NIS”), e il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, meglio conosciuto in Europa con l’acronimo inglese “GDPR” (“General Data Protection Regulation”; di seguito, anche, il “Regolamento”). Se la Direttiva NIS è specificamente disposta per il rafforzamento dei sistemi di sicurezza destinati a infrastrutture strategiche per l’economia dell’Unione individuate dagli Stati membri [16], il GDPR gode di una portata molto più ampia, tale da investire, all’interno dello Spazio Economico Europeo, ogni “trattamento interamente o parzialmente automatizzato di dati personali” e “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” [17], intendendosi per dati personali “qualsiasi informazione riguardante una persona fisica identificata o identificabile” [18].

Il GDPR, in sostanza, conferma, in alcuni casi, e introduce, in altri, una serie di norme cardine a tutela dei dati personali dei cittadini dell’Unione europea partendo dalla responsabilizzazione del singolo titolare del trattamento [19]; creando così un fondamentale strumento di difesa di portata sovranazionale (anche) contro gli attacchi online.

In ambito commerciale, dove il dato personale è sistematicamente utilizzato per gli scopi delle singole attività, il GDPR trova sicuramente ampia e necessaria applicazione; per quanto qui rileva, infatti, la norma specifica che si ritengono esenti solo i trattamenti di dati personali effettuati da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale [20].

In questo contesto, il legislatore europeo ha introdotto specifiche norme in materia di sicurezza dei dati personali. In particolare, il titolare del trattamento sarà tenuto a valutare autonomamente i rischi connessi alle attività di trattamento svolte, e adottare di conseguenza tutte le misure di sicurezza, tecniche e organizzative, adeguate rispetto a tali rischi, come: i) la pseudonimizzazione e la cifratura, ii) la capacità di assicurare la riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi di trattamento, iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente, iv) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate al fine di garantire la sicurezza del trattamento (art. 32 GDPR) [21]. Non solo, con il Regolamento sono stati introdotti i connessi principi sintetizzati dall’espressione “privacy by default and by design” (ovvero i principi della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) che implicano la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili per soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, tenendo sempre conto del contesto ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Nel suddetto processo di adozione delle misure tecniche e adeguate al rischio e, più in generale, nello svolgimento delle attività di trattamento, il titolare sarà guidato dai principi fondamentali sanciti dal GDPR, all’art. 5, quali: 1) liceità, correttezza e trasparenza del trattamento; 2) limitazione della finalità; 3) minimizzazione; 4) esattezza dei dati raccolti; 5) limitazione temporale della conservazione; 6) integrità e riservatezza dei dati raccolti.

5. I fondamentali: accountability e sicurezza

V’è un principio, tuttavia, che forse più distingue l’impegno che i destinatari della legge sono chiamati ad adottare: reso in inglese con il termine di accountability, è espresso all’art. 24 del Regolamento, nel quale si prescrive che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”. Da esso è possibile evincere l’impegno organizzativo che il GDPR impone ai destinatari sotto forma di auto-responsabilizzazione e rendicontazione di quanto svolto. Sono difatti sottesi diversi adempimenti che i titolari non possono ignorare nella propria attività.

Il principio di accountability esprime con chiarezza la necessità di un approccio pratico e responsabile alla privacy, che sia in grado di adattarsi all’attività svolta e all’organizzazione interna dell’ente. A questo proposito, l’introduzione di strumenti come il registro del trattamento costituisce uno degli adempimenti fondamentali in capo al titolare [22], consentendo infatti di tenere sotto controllo i flussi di gestione dei dati personali, in che modo tali dati siano trattati e da quali figure professionali; servirà inoltre a comprendere quali attori esterni sono coinvolti nel trattamento (che potranno agire, per esempio, quali responsabili del trattamento o, se del caso, come contitolari) e quali sistemi informatici sono utilizzati per il trattamento dei dati personali.

Le vicende di cronaca sopra riportate illustrano come la gestione dei dati personali sia un aspetto assai delicato ed estremamente importante per le gallerie e tutti gli art dealer: ne è prova la mole di contatti di artisti, curatori, dipendenti, collezionisti, fornitori, invitati ai vernissage e alle mostre, nonché di dati degli utenti appassionati che si iscrivono alla newsletter per ricevere le novità o che visitano quotidianamente il sito web. La gestione dei dati personali è quindi parte fondamentale del commercio di opere d’arte, nonché uno dei principali asset di sviluppo – oggi sempre più affidato, nel mondo online, all’analisi dell’affluenza e della partecipazione attraverso, ad esempio, l’installazione di cookie analitici di terzi fornitori di servizi.

Alla luce dei principi sopra evidenziati, la gestione dell’infrastruttura informatica e della rete interna dovrebbe pertanto comprendere efficaci sistemi di protezione e individuazione delle vulnerabilità insite: strumenti utili possono essere firewall, antivirus, l’adozione di codici di condotta interni e utilizzo di fornitori di servizi informatici affidabili e conformi al GDPR [23].
I dati trattati, anche se conservati in sistemi a norma di legge, dovranno essere a loro volta protetti da sguardi indiscreti: come si è visto, pseudonomizzazione [24] e crittografia possono fornire in tal senso adeguata sicurezza.
In questo contesto, inoltre, i dati dovranno essere conservati per un periodo di tempo adeguato alle finalità del trattamento; essi, infatti, non possono essere mantenuti nei database per più di quanto indicato dal GDPR, ossia “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” [25].

Ciò ci porta a considerare un altro aspetto della normativa europea, ossia la creazione di una vera e propria compliance privacy che includa, nelle procedure organizzative, le informative ai dipendenti, le nomine e le autorizzazioni interne a uno o più specifici trattamenti di dati personali nonché gli accordi con i propri fornitori di servizi atti a disciplinare vicendevolmente i ruoli nel trattamento. Si tratta di adempimenti che consentono una ripartizione dei ruoli e dei flussi (oltre che delle responsabilità) e che potrebbero rivelarsi assai utili in caso di attacchi informatici e in generale di data breach. La mappatura (dei flussi e dei rischi connessi) da realizzarsi nello specifico contesto organizzativo di riferimento può essere utile per la redazione delle informative destinate, invece, a clienti, utenti visitatori del sito web, iscritti alla newsletter o invitati agli eventi organizzati nelle più recenti viewing room.

6. Prevenire è meglio che curare (e non solo per le gallerie)

È chiaro che la compliance non è indirizzata solo a gallerie, case d’asta, dealer e altri operatori commerciali; anche musei, archivi d’artista, enti no profit e associazioni operano un trattamento dei dati ai sensi del citato art. 2 del GDPR e, di conseguenza, sono chiamati ad adottare misure adeguate.
Laddove vi sia un archivio di dati, e in particolare di dati personali, il pericolo di intrusione (e/o di perdita dei dati) non deve essere sottovalutato. Così come le vendite online di gallerie o case d’asta possono attirare malintenzionati, anche la consapevolezza dell’esistenza di un sistema informatico dedicato a enti museali o archivistici sono fonte di interessi pericolosi. I server di musei possono essere attaccati per accedere a informazioni, ad esempio, su donazioni all’ente, come messaggi email relativi a modalità e tempistiche del versamento , [26] [27]; analogamente, gli archivi ed estate d’artista possono essere minacciati da intrusioni finalizzate ad avere informazioni sui collezionisti e sulle loro opere oggetto di autentica.
Il colpo più recente è stato segnalato lo scorso gennaio, poco prima dello scoppio della pandemia, a seguito della denuncia del Rijksmuseum Twenthe, museo della cittadina olandese di Enschede, di aver subito un’intrusione nella corrispondenza email con la galleria Simon C. Dickinson di Londra durante la trattativa per l’acquisto di un quadro di John Constable del valore complessivo di $ 3.1 milioni. Tale somma “pagata” dall’ente museale era quindi stata versata su un conto corrente localizzato a Hong Kong che niente aveva a che fare con la galleria londinese [28]. Da lì è nato un contenzioso fra ente museale e galleria anche sulla proprietà dell’opera [29].

Alla luce di quanto osservato nelle disposizioni di legge, è chiaro che l’ente colpito – che si tratti di galleria, museo o altro ente –, al fine di dimostrare la sua estraneità al reato e agevolare le indagini giudiziarie, dovrà dimostrare di aver posto in essere tutte le misure di sicurezza necessarie al fine di garantire la tutela dei dati personali dei propri clienti.
Infatti, qualora si dovessero rilevare falle negli adempimenti richiesti dal GDPR, la galleria potrebbe incorrere in conseguenze estremamente serie. Le sanzioni che il legislatore ha imposto all’art. 83 GDPR sono onerose e distinte in due ordini di grandezza:
a) le violazioni di “minore gravità” [30], che comportano ad esempio violazioni relative agli obblighi del titolare o del responsabile del trattamento in materia di misure di sicurezza [31], prevedono importi fino a 10 milioni di Euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
b) le violazioni più gravi [32], connesse, ad esempio, ai principi di base del trattamento [33] – tra cui consenso –, ai diritti degli interessati al trattamento [34] e al trasferimento in Paesi terzi all’Unione europea [35], comportano somme fino a 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le sanzioni sono comminate dall’autorità di controllo nazionale (per l’Italia, il Garante per la protezione dei dati personali), il quale dispone inoltre di un altro compito: gestire e monitorare le segnalazioni di data breach pervenute dai titolari del trattamento.
Infatti, chiunque rilevi una violazione dei dati personali trattati – ovvero una violazione di sicurezza che comporta, tra l’altro, in modo accidentale o illecito la distruzione, la perdita, la divulgazione non autorizzata dei dati – è chiamato a darne tempestivamente notizia al Garante ai sensi dell’art. 33 del GDPR nonché agli interessati coinvolti, nel caso in cui la violazione presenti un rischio elevato per i loro diritti e libertà.

Le sanzioni, tuttavia, non si limitano alla sola dimensione economica: le conseguenze negative di tali violazioni impattano verosimilmente anche sulla reputazione dell’attività e la sicurezza dell’intero mercato dell’arte.

7. Consapevolezza e responsabilizzazione

Un primo tentativo di responsabilizzazione è stato attuato, tra il 2016 e il 2017, dalla Society of London Art Dealers e dall’Art Dealers Association of America (ADAA) [36], le quali hanno fornito agli associati alcune linee guida che possono costituire precauzioni base per la difesa della propria galleria online. Buone pratiche come l’utilizzo di dispositivi (computer, cellulari) destinati alle sole attività lavorative, l’ottenimento di una conferma via telefono dei dati bancari da parte di clienti, artisti e fornitori di servizi direttamente interessati prima del trasferimento di denaro, così come l’attivazione di una copertura assicurativa per gli eventuali danni che si potrebbero subire sono alcuni dei suggerimenti dati alle gallerie inglesi e americane.

L’individuazione di specifiche misure di sicurezza informatica oltre che di responsabili per la sicurezza, l’aggiornamento costante dei software utilizzati e l’attivazione di sistemi di backup, la sensibilizzazione del personale preposto al pagamento dei fenomeni di hacking, la protezione delle reti wi-fi con password efficaci, aggiornamento delle password per accedere a reti condivise e ai singoli device e, come anticipato, il diretto contatto telefonico – ai riferimenti già in proprio possesso – dei propri partner nel caso si notassero discrepanze relative alle modalità di pagamento (cambio di Iban, ad esempio)possono quindi essere buone pratiche atte a supportare i sistemi di protezione [37]. Si tratta di suggerimenti naturalmente da calare e parametrare nei singoli contesti organizzativi che, anche nell’ottica dell’accountability, possono sostenere l’espansione online delle proprie attività con la giusta attenzione e consapevolezza.

In materia di sensibilizzazione e responsabilizzazione, tuttavia, vi è ancora molto da fare. I recenti casi dimostrano che gli attacchi hacker continuano e che spesso, a causa delle insufficienti misure di sicurezza, giungono a buon fine, con l’impossibilità dei danneggiati di recuperare – in tutto o in parte – il maltolto. L’apertura di nuovi canali di contatto via internet con il pubblico a causa della pandemia – viewing room, eventi in diretta, vendite a distanza via mail o telefono, nonché la creazione di veri e propri marketplace – potrebbe costituire stimolo per i criminali a colpire con maggiore frequenza i soggetti più vulnerabili ed esposti.

Citando Harald Szeemann, quando le attitudini diventano forma, se buone, sono in grado di aiutare a garantire protezione sia online che offline. L’implementazione del GDPR, unitamente alla messa in sicurezza dei propri sistemi informatici, assume oggi i connotati di adempimento alla legge, da un lato, e di prezioso investimento, dall’altro lato, in un momento storico dove internet e le connessioni digitali si rivelano ancor più vitali per la sopravvivenza di tanti protagonisti del mercato dell’arte. È proprio il caso di (riba)dire che prevenire è meglio che curare.

Alessandra Donati e l’ArTeam

****

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto.

Per ulteriori informazioni si prega di contattare il vostro professionista di riferimento ovvero di scrivere al seguente indirizzo arteam@nctm.it o alla coordinatrice del team Alessandra Donati.

****

[1] Internet ha senz’altro contribuito allo sviluppo delle realtà meno consolidate all’interno del sistema dell’arte, favorendone lo sviluppo il nascere di attività commerciali anche all’esterno del tradizionale circuito gallerie-fiere-collezionisti. Un fenomeno che Boris Groys ha così sintetizzato: “Certamente, molti operatori nel settore culturale vivono lo spostamento su Internet come liberatorio, poiché Internet non è selettivo o perlomeno è in maniera minore rispetto a un museo o a una casa editrice tradizionale.”. Boris Groys, In the Flow, Postmedia Books, 2018, p. 153.
[2] Cfr. Fortnite non è solo un gioco, IlPost, 7 maggio 2020, https://www.ilpost.it/2020/05/07/fortnite-futuro/ (visualizzato il 7 maggio 2020).
[3] Reporters Without Borders is using Minecraft to sneak censored news to readers in restrictive countries, CNBC, 15 marzo 2020, https://www.cnbc.com/2020/03/13/reporters-without-borders-uses-minecraft-to-sneak-banned-news-into-restrictive-countries.html (visualizzato il 7 maggio 2020).
[4] Minecraft for Art? Virtual Galleries Grab Gamers’ Attention, The New York Times, 17 aprile 2020, https://www.nytimes.com/2020/04/17/arts/occupy-white-walls.html (consultato il 7 maggio 2020).
[5] “Termine coniato da Neal Stephenson nel romanzo cyberpunk Snow crash (1992) per indicare uno spazio tridimensionale all’interno del quale persone fisiche possono muoversi, condividere e interagire attraverso avatar personalizzati” (cfr. la voce “metaverso” nell’Enciclopedia Treccani http://www.treccani.it/enciclopedia/metaverso_%28Lessico-del-XXI-Secolo%29/).
[6] Si rimanda per una disamina più approfondita del processo alla nota “ARTE | During the Exhibition the Gallery Will Be Closed. La vendita a distanza richiede la forma scritta: le regole per il gallerista” del dipartimento Corporate & Commercial di Nctm Studio Legale.
[7] Cfr. The Art Basel and UBS Global Art Market Report 2020, a cura di Claire McAndrew, https://www.artbasel.com/about/initiatives/the-art-market?gclid=Cj0KCQjw9ZzzBRCKARIsANwXaeJn2A5L8na1OhsWmkq6cotSxKqm1J_7piCwDKZofuVz2McwZT0p5fkaAvrNEALw_wcB.
[8] Ad esempio la piattaforma di vendita online di opere d’arte Artsy riporta una spesa media sulla piattaforma di 20.000,00 dollari l’anno per singolo collezionista, con un prezzo medio per transazione di 8.025,00 dollari; di queste transazioni, il 18% ha comportato una spesa maggiore ai 10.000,00 dollari (cfr. The Art Basel and UBS Global Art Market Report 2020, op. cit.).
[9] Cfr. Cybersecurity, in Italia c’è un attacco grave ogni 5 ore. Più 91,2% in 5 anni, La Repubblica, 5 marzo 2020, https://www.repubblica.it/tecnologia/sicurezza/2020/03/05/news/cybersecurity_in_italia_c_e_un_attacco_grave_ogni_5_ore_piu_91_2_in_5_anni-250354565/ (consultato il 2 maggio 2020).
[10] Per malware s’intende un “software che, una volta eseguito, danneggia il funzionamento e la sicurezza del sistema operativo”; per phishing “frode informatica finalizzata all’ottenimento di dati personali sensibili (password, numero di carta di credito ecc.) e perpetrata attraverso l’invio di un messaggio di posta elettronica a nome di istituti di credito, finanziarie, agenzie assicurative, in cui si invita l’utente, generalmente al fine di derubarlo, a comunicare tali informazioni riservate” (cfr., le rispettive definizioni riportate nell’Enciclopedia Treccani http://www.treccani.it).
[11] Cfr. Galleries hit by cyber crime wave, The Art Newspaper, 31 ottobre 2017 https://www.theartnewspaper.com/news/galleries-lose-large-sums-to-cybercrime (consultato il 2 maggio 2020).
[12] Cfr. 620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts, The Register, 11 febbraio 2019, https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/ (consultato il 2 maggio 2020).
[13] “[…] indirizzo telematico, ossia sequenza di numeri o di caratteri alfabetici che permette di individuare un calcolatore connesso alla rete Internet” (cfr. la voce “IP” nell’Enciclopedia Treccani http://www.treccani.it/enciclopedia/ip/).
[14] Cfr. Chris Williams, 620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts, The Register, 11 febbraio 2019, https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/ (consultato il 4 maggio 2020).
[15] Cfr. A Swiss Collector Wanted to Buy a Ryan McGinley Artwork From Team Gallery. Then a Cyber Thief Slithered Into the Deal, Artnet, 30 maggio 2019, https://news.artnet.com/market/team-gallery-hack-1559818 (visualizzato il 2 maggio 2020).
[16] Art. 5 della Direttiva NIS.
[17] Art. 2 del GDPR.
[18] È quindi compreso nell’ambito applicativo della normativa qualsiasi dato in grado di identificare una persona specifica, come nome, indirizzo di residenza, identificativo online o elementi caratteristici relativi a identità fisica, fisiologica, genetica, psichica, economica, culturale e socialeArt. 4, n. 1, del GDPR.
[19] Ai sensi dell’art. 4, n. 7, del GDPR si definisce titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
[20] Cfr. Considerando 18 del GDPR.
[21] I medesimi obblighi trovano applicazione nei confronti del cd. responsabile del trattamento, ovvero della persona fisica o giuridica che tratta dati personali per conto del titolare.
[22] Cfr. le FAQ relative al registro del trattamento del Garante per protezione dei dati personali italiano: https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.
[23] Cfr. artt. 40-43 del GDPR, in cui si introducono codici di condotta e meccanismi di certificazione della protezione dei dati finalizzati a dimostrare la conformità dei trattamenti effettuati dai titolari del trattamento alla legge.
[24] Prevista, tra l’altro, dall’art. 4, primo comma, numero 5, del GDPR.
[25] Cfr. art. 5, comma 1, lettera e), del GDPR.
[26] Sarah Cascione, Hackers Saw the Asian Art Museum of San Francisco as Ripe for a Ransom Attack. Are Other Cultural Institutions Next?, Artnet, 22 luglio 2019, https://news.artnet.com/market/hackers-attack-asian-art-museum-san-francisco-1604188 (consultato l’8 maggio 2020).
[27] Justin Davenport, Millions of cyber attacks on Kew Gardens and museums as hackers target people’s financial data, Evening Standard, 15 marzo 2019, https://www.standard.co.uk/news/crime/millions-of-cyber-attacks-on-kew-gardens-and-museums-as-hackers-target-people-s-financial-data-a4092871.html (consultato l’8 maggio 2020).
[28] Cfr. Ellen Milligan, Fraudsters Posing as Art Dealer Got Gallery to Pay Millions, Bloomberg, 30 gennaio 2020, https://www.bloomberg.com/news/articles/2020-01-30/fraudsters-posing-as-art-dealer-got-gallery-to-transfer-millions (consultato il 4 maggio 2020); Taylor Dafoe, A Hacker Posing as a Venerable British Art Dealer Swindled a Dutch Museum Out of $3.1 Million, Artnet, 30 gennaio 2020, https://news.artnet.com/art-world/rijksmuseum-twenthe-simon-dickinson-1765983 (consultato il 4 maggio 2020).
[29] Per un maggiore approfondimento del caso si rinvia all’articolo di Edera Karmann, Mercato dell’arte e cyber-crimini: quanto siamo preparati (e al sicuro)?, in Artribune, 19 aprile 2020, https://www.artribune.com/professioni-e-professionisti/mercato/2020/04/cyber-crimini-musei-gallerie/ (consultato il 12 maggio 2020).
[30] Art. 83, comma 4 del GDPR.
[31] Artt. 8, 11, 25-39, 42 e 43 del GDPR.
[32] Art. 83, comma 5 del GDPR.
[33] Artt. 5, 6, 7 e 9 del GDPR.
[34] Artt. da 12 a 22 del GDPR.
[35] Artt. da 44 a 49 del GDPR.
[36] Cfr. Galleries hit by cyber crime wave, op. cit.
[37] Sul punto si vedano anche le raccomandazioni della polizia postale indicate nell’articolo Nuova ondata di truffe online “man in the middle”. L’allarme della polizia postale, di Repubblica, 9 febbraio 2020, https://www.repubblica.it/tecnologia/sicurezza/2020/02/09/news/nuova_ondata_di_truffe_online_man_in_the_middle_l_allarme_della_polizia_postale-248130698/.

Ricevi i nostri aggiornamenti