Rassegna Stampa
29/06/2020
Il Sole 24 Ore

Mercato dell’arte a rischio di attacchi sul web

di Marilena Pirrelli

Riaperture contingentate delle attività e potenziamento del rapporto con il pubblico e i clienti via web. Tutti dai musei alle mostre, dalle gallerie alle case d’asta si sono attrezzati per tornare in contatto.

Ma la rete è un luogo sicuro per gli affari e per inserire i propri dati personali? «Quegli spazi sino a ieri considerati di nicchia, ben distanti dall’economia reale, si stanno trasformando in spazi di sviluppo» spiega Alessandra Donati, docente di Diritto comparato delle Obbligazioni e dei Contratti dell’Università Milano-Bicocca e coordinatore dell’ArTeam dello studio legale Nctm, affiancata per gli aspetti privacy dell’arte dall’avvocato Paolo Gallarati. «Se da un lato, il commercio (anche d’arte) online già possiede una propria disciplina che deve essere necessariamente implementata per garantire legalità e certezza agli affari, dall’altro l’utilizzo della rete richiede inderogabili accorgimenti per la sicurezza dei sistemi informatici e dei dati contenuti».

Negli scorsi anni i volumi di scambio online sono cresciuti rapidamente per poi stabilizzarsi: le vendite nel 2019 hanno rappresentato il 9% del mercato dell’arte, cioè 5,9 miliardi di dollari, in mano a un numero ristretto di player internazionali. Come Artsy, ad esempio, che registra una spesa media di 20mila dollari l’anno per collezionista, con un prezzo medio per transazione di 8.025 dollari,fino a 10mila per il 18% degli scambi. Il lockdown ha fatto fare un balzo in avanti agli scambi digitali e in tanti ci si sono buttati con un incremento delle truffe online. «L’espansione delle attività commerciali ha specularmente aumentato il rischio di attacchi informatici» prosegue Donati. Il Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica ) 2020 sulla sicurezza Ict stima che nel 2019 solo in Italia siano avvenuti oltre 1.670 attacchi online “gravi”, che hanno comportato ingenti perdite di denaro per la vittima. «Un trend in costante aumento: dal 2014 sono cresciuti del 91,2%. I principali attacchi, rilevano gli esperti del Clusit, avvengono per mezzo di malware, phishing e frodi via email, attirando quasi sempre gli utenti in tranelli mirati a ottenere importanti informazioni – username, password, dati personali o bancari – con le quali penetrare le aree personali dei sistemi informatici» spiega Gabriele Faggioli, presidente Clusit. Com’è accaduto alla collezionista svizzera, Maria Larsson, nel febbraio 2019 che invece di versare 18.500 dollari per l’acquisto di una fotografia di Ryan McGinley alla Team Gallery, a seguito della violazione della postazione della responsabile alla vendita della galleria da un indirizzo IP in Nigeria, ha pagato la somma su un conto di una banca di Houston, che nulla aveva a che fare con la galleria. Infatti tra gli obiettivi dei malintenzionati vi sono proprio corrispondenze email, dati bancari, segreti commerciali e dati personali. Simile il colpo denunciato lo scorso gennaio, prima della pandemia, dal Rijksmuseum Twenthe che a seguito di un’intrusione nella corrispondenza email con la galleria Simon C. Dickinson durante la trattativa per l’acquisto dell’opera di John Constable da 3,1 milioni di dollari, versò la somma su un conto corrente di Hong Kong che non corrispondeva a quello della galleria londinese. Da lì il contenzioso fra museo e galleria anche sulla proprietà dell’opera. «È evidente che il mercato dell’arte è tutt’altro che esente dai cyberischi» avverte Donati. Già nel 2017, The Art Newspaper denunciava l’insolito aumento di attacchi informatici a gallerie, collezionisti e operatori dell’arte, causando danni (economici e reputazionali) enormi ai malcapitati: da Hauser & Wirth a Thomas Dane, da Simon Lee a Rosenfeld Porcini e Laura Bartlett.

Ma come si muovono i cybercriminali? La modalità prediletta è uno schema efficace, che si alimenta proprio da quel rapporto di fiducia che regola questo mercato. «Il man-in-the-middle scheme (“MITM”) consente ai malviventi d’interferire nella corrispondenza tra i vari operatori, bucando la casella postale di uno degli interlocutori (in genere quello del venditore) – prosegue Donati -; gli hacker monitorano la corrispondenza in entrata e in uscita fino a quando non intercettano la fattura del venditore per poi inviare, dallo stesso indirizzo email del venditore (o da un indirizzo pressoché identico) una seconda email all’acquirente in cui, con una scusa, si chiede di ignorare la fattura trasmessa in prima battuta e i relativi dati di pagamento e di effettuare il versamento su un nuovo conto che il più delle volte fa capo ad uno stato diverso da quello di provenienza delle parti. All’accredito, gli hacker trasferiscono i fondi riducendo le possibilità di rintracciare i trasferimenti, talvolta utilizzando conti bancari di terzi soggetti (più o meno ignari) che nulla hanno a che fare con il venditore e l’acquirente. «La manipolazione della corrispondenza tra le varie parti consente di concludere una transazione con il versamento di denaro da parte del malcapitato in uno dei conti correnti connessi ai malviventi – spiega la docente -. E i danni non si limitano al solo furto di denaro, poiché i sistemi informatici delle vittime saranno considerati irrimediabilmente compromessi, comportando spese per il ripristino e la messa in sicurezza. Gli hacker sono in grado di violare i sistemi di sicurezza e sottrarre migliaia di dati personali per rivenderli al miglior offerente sul dark web». È successo alla piattaforma Artsy di vedersi sottratti 184 megabyte di dati personali degli utenti, cioè nomi, indirizzi email, indirizzi IP e password di oltre un milione di utenti. Come difendersi? «Nel 2016 l’Unione europea ha adottato due importanti provvedimenti: la Direttiva (Ue) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi (cd. “Direttiva Nis”), e il Regolamento (Ue) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, noto con l’acronimo “Gdpr” (“General Data Protection Regulation). Aver posto in essere tutte le misure di sicurezza necessarie al fine di garantire la tutela dei dati personali dei propri clienti o utenti potrà evitare brutte sorprese. Organizzare la compliance è necessario per evitare che, oltre al danno, non si rischi la sanzione» conclude Donati.

 

Tratto da Il Sole 24 Ore

Ricevi i nostri aggiornamenti