L’espansione delle attività commerciali online nel sistema dell’arte ha aperto le porte a nuovi spazi di business ma, al contempo, ha posto gli operatori professionali dinnanzi a nuovi rischi. In questo contesto, la gestione dei dati personali diviene un aspetto estremamente importante per le gallerie d’arte, le case d’asta, mercanti, piattaforme di vendita ma anche musei, archivi d’artista e altri enti. Proprio i recenti fatti di cronaca dimostrano che il mondo dell’arte non deve essere considerato uno scenario sufficientemente improbabile da giustificare la mancanza di regolamentazione in tal senso.
Ha fatto scalpore nel 2018 un caso che ha visto protagonista il Rijksmuseum Twenthe di Enschede, nei Paesi Bassi, che intenzionato ad acquistare un dipinto di John Constable dalla galleria Samuel C. Dickinson è stato vittima di un cyber-attacco nell’account di posta elettronica a mezzo del quale si svolgeva la trattativa, noto con il nome di Man in the middle (Mitm). Il museo ha infatti versato 2,4 milioni di sterline su un conto situato ad Hong Kong, appartenente agli hacker che hanno intercettato e dirottato la conversazione.
John Constable, A View of Hampstead Heath Child’s Hill Harrow in the Distance (1824)
Truffe online nel mercato dell’arte, chi è il Mitm
Come ha affermato il Garante per la protezione dei dati personali con Provvedimento del 12 novembre 2014, n. 513, il Mitm è un tipo di attacco “nel quale il soggetto “attaccante” (colui che tenta di violare la sicurezza del sistema) è in grado di leggere, inserire o modificare a piacere messaggi scambiati tra le due parti comunicanti senza che nessuna delle due sia in grado di sapere se il collegamento che li unisce reciprocamente sia stato effettivamente compromesso. L’attaccante è così in grado di osservare, intercettare e replicare verso la destinazione prestabilita il transito dei messaggi tra le due parti comunicanti”.
La criminalità informatica si distingue dalla criminalità tradizionale per l’assenza di confini fisici e geografici ed è un fenomeno relativamente recente, caratterizzato da una continua evoluzione proporzionale alla diffusione e allo sviluppo dei sistemi informatici, dei dati in essi contenuti e della loro rilevanza economica. Come noto, il cyber-criminale è agevolato dalla disponibilità diffusa di malware sulla rete (un programma avente lo scopo di cagionare danni diffusi, quali il disturbo del malfunzionamento di una rete, la sottrazione di informazioni, l’accesso non autorizzato a reti e sistemi) e dal fatto che non sono richieste particolari capacità tecniche.
La criminalità informatica non riguarda solo furti di denaro, ma anche furti di informazioni sensibili, come è accaduto nel 2018 alla piattaforma Artsy, alla quale sono stati sottratti 184 megabyte di dati personali (nomi, indirizzi email, indirizzi IP e password) di oltre un milione di utenti per al fine di venderli al dark web.
Cyber rischi nel sistema dell’arte, cosa prevede il Gdpr
In questo contesto è necessario richiamare il Regolamento Ue 2016/679 relativo alla protezione dei dati personali delle persone fisiche, c.d. General Data Protection Regulation (Gdpr), l’intervento normativo europeo di carattere più generale e ad ampio spettro, volta a tutelare in modo uniforme per tutti i cittadini europei i diritti e le libertà fondamentali, con particolare riferimento al diritto alla protezione dei dati personali. Il Gdpr è strutturato in modo tale da assicurare una protezione dei dati personali conforme per quanto possibile allo sviluppo tecnologico. Conseguentemente, l’adeguamento imposto dal Gdpr ai professionisti che operano nel sistema dell’arte costituirebbe un onere continuativo, che evolve contemporaneamente all’evoluzione dei sistemi tecnici e normativi.
Tra le principali novità introdotte dal Gdpr si dovrebbe tener presente il principio di accountability, ovvero responsabilizzazione del titolare del trattamento con la valorizzazione della privacy by design by default, delle misure tecniche, organizzative e di sicurezza, oltre che dalla valutazione d’impatto del trattamento e dei rischi connessi.
Precisamente, il principio di accountability richiede che i titolari e i responsabili del trattamento adottino e diano prova di aver adottato misure di sicurezza tecniche (IT e cybersecurity) e organizzative (per esempio istruzioni ai destinatari interni ed esterni, politiche, procedure, nomina di un Dpo – data protection officer, valutazione dell’impatto sulla privacy, violazione dei dati, registrazione di dati, ecc.) adeguate al rischio delle operazioni di trattamento effettuate e volte a proteggere i dati contro la perdita, l’accesso illegittimo, la violazione dei dati e qualsiasi altro evento.
Ne consegue che i titolari e i responsabili del trattamento devono dar vita a un processo di compliance basato sul rischio, che si compone di una fase di assessment (finalizzata alla conoscenza di attività di trattamento effettuate ed i relativi rischi) una fase di remediation (finalizzata all’individuazione e all’adozione di misure adeguate sulla base del rischio individuato) e una fase di monitoraggio (finalizzata alla revisione ciclica del rischio e all’adeguatezza delle misure adottate).
Gli operatori commerciali, le piattaforme di vendita o gli enti operano un trattamento dei dati e, di conseguenza, sono chiamati ad adottare misure di sicurezza adeguate a garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme alla normativa. Il principio di sicurezza del trattamento dei dati personali si traduce in sicurezza delle transazioni economiche necessario per sviluppare un metodo utile in tutte quelle attività che sono svolte online. L’auspicio è che si percepisca anche in questo settore, già poco incline all’adozione di best practices, la gravità della mancanza di adeguate misure di sicurezza per investire sin da subito soprattutto nella sensibilizzazione dei professionisti, sia in ambito di cybersecurity che nella protezione dei dati.
