Ci sono nuovi sviluppi nella vicenda che ha coinvolto Christie’s il 9 maggio scorso, poco prima dell’apertura delle aste della settimana dell’arte newyorkese. La casa d’aste ha infatti subito un attacco informatico (definendolo inizialmente come una “technology security issue”) che ha completamente bloccato l’utilizzo del sito web – impedendo di fatto i bidding online – per diversi giorni. Christie’s ha chiuso comunque la New York art week con un risultato di 640.2 milioni di dollari, nonostante le voci di un “data leak” si facessero sempre più insistenti (e preoccupassero, non poco, i clienti).
Attacco hacker Christie’s e la rivendicazione di RansomHub
La faccenda si è ulteriormente complicata con la rivendicazione del cyberattacco da parte di RansomHub, un gruppo di hacker (ed estorsori) che è riuscita a entrare nei sistemi informatici della casa d’aste. Con un post pubblicato nel dark web il 27 maggio, RansomHub ha dichiarato di aver hackerato i dati personali (con particolare riferimento ai loro documenti privati) di oltre 500.000 clienti di Christie’s in tutto il mondo. Nel post il gruppo ha anche spiegato di aver richiesto una ragionevole risoluzione del contenzioso alla casa d’aste, ma quest’ultima avrebbe (giustamente) interrotto le comunicazioni con RansomHub. A seguito della mancata risposta di Christie’s (e facendo manleva sulle possibili sanzioni in cui quest’ultima potrebbe incorrere ai sensi del GDPR), il gruppo hacker ha offerto di vendere all’asta sul web i dati privati dei clienti della casa d’aste, ricevendo poco riscontro. Del resto non è chiaro se gli hacker abbiano ottenuto anche dati inerenti transazioni finanziarie.
I dati hackerati e la class action di un cliente di Christie’s
Nel frattempo, Christie’s ha informato il Federal Bureau of Investigation, la polizia inglese e agenzie governative dell’accaduto, oltre ad aver spiegato (tramite un proprio rappresentante) che un’investigazione interna ha determinato che c’è effettivamente stato un accesso non autorizzato ad alcuni dati personali dei clienti della casa d’aste, ma non c’è alcuna evidenza di un hackeraggio rispetto a transazioni finanziarie. A fine maggio, il Ceo di Christie’s Guillaume Cerutti ha poi spiegato che la casa d’aste ha inviato una comunicazione strettamente personale a ogni cliente i cui dati sono stati hackerati. Ha inoltre confermato che nessuna foto, firma o transazione finanziaria è stata compromessa dall’attacco di RamsomHub. La situazione si è ulteriormente evoluta la scorsa settimana, quando un cliente di Christie’s (identificato successivamente in Efstathios Maroulis) ha presentato una class action presso il Southern District di New York, chiedendo alla casa d’aste un risarcimento danni con importo ancora da determinare tramite il processo legale.
Più cybersecurity per il mondo dell’arte?
L’attacco hacker nei confronti di Christie’s non è comunque il primo caso nel mondo dell’arte. Nel 2021, alcune gallerie che partecipavano ad Art Basel hanno ricevuto una mail che spiegava come una “patent company” della fiera svizzera avesse subito un attacco informatico e come i dati personali degli espositori potessero essere stati hackerati. Anche lo scorso dicembre, Gallery Systems (una compagnia di software per musei) ha subito un cyberattacco. Gli esperti del settore hanno più volte spiegato che il mondo dell’arte è particolarmente interessante per gli hacker per ovvie ragioni: la possibilità di conoscere i dati personali (e bancari) di alcune degli HNWI più importanti del pianeta. Sarà forse giunta l’ora, anche per il settore del fine art, di investire di più in cybersecurity?