Mercato dell’arte e cyber-crimini: quanto siamo preparati (e al sicuro)?

Le restrizioni imposte dalle normative anti COVID-19 obbligano i mercanti d’arte al trasferimento in blocco delle proprie attività, dalla promozione alla vendita, sui canali online. Ma siamo pronti? Alcuni casi illustri (ma poco pubblicizzati) di cyber-attacchi a gallerie e musei impongono un momento di riflessione.

Nel mondo della programmazione, la killer application è un software, una piattaforma o un sistema operativo che porta gli utenti a “upgradare” i propri dispositivi per poterne usufruire: tipicamente, un nuovo videogioco o un’app che, per poter funzionare, costringono ad aggiornare il sistema operativo o addirittura ad acquistare hardware di nuova generazione. Non è un’app, ma certo è killer, il COVID-19, che con le stesse premesse ha stravolto anche il mondo dell’arte: chi vuole sopravvivere, volente o nolente, deve oggi investire in nuove tecnologie e “upgradare” le proprie strategie di digital marketing. Si è visto nell’ambito museale pubblico e privato dove, con iniziative dalle alterne ‒ ma sempre lodevoli ‒ fortune, si cerca oggi di reindirizzare l’attenzione dell’audience sui contenuti online, rendendo disponibili video-recensioni e visite virtuali di mostre e collezioni, palinsesti dedicati ai più piccoli, preziosi archivi digitali fino a oggi confinati in hard disk.

UN “UPGRADE” DIGITALE OBBLIGATO PER TUTTI

Ma anche le logiche e le dinamiche del mercato dell’arte sono state stravolte: con la cancellazione dei più importanti appuntamenti fieristici internazionali e la chiusura obbligata delle gallerie, il momento più delicato e prezioso nel processo di promozione finalizzata alla vendita, cioè il contatto di persona davanti all’opera fisica è, almeno temporaneamente, da dimenticare. Così, galleristi storici e rampanti newcomer competono oggi ad armi pari, forti unicamente dei loro database di contatti e delle loro (eventuali) competenze in strategie digitali. Il divario tra chi si era già attrezzato con piattaforme per la vendita online e la gestione professionale dell’email marketing e chi invece ancora fatica a trattare i propri contatti nel rispetto delle nuove normative sulla privacy (introdotte in tutta l’UE nel 2018 con il GDPR ‒ Regolamento Generale sulla Protezione dei Dati) è impietoso: testimonianza ne sono le email che, nelle ultime settimane, hanno cominciato ad affollare le mailbox dei frequentatori di fiere e gallerie, tra proposte generiche di vendita che hanno la stessa chance di successo di un volantino distribuito all’esterno di un centro commerciale e comunicazioni (apparentemente) ad personam, prodotte grazie a invisibili sistemi di tracciamento delle attività online del destinatario che garantiscono la modulazione di un’offerta basata su interessi effettivi. Ma il trasferimento obbligato della propria attività online, al di là delle complessità tecniche, comporta per le gallerie anche dei rischi.

UN SETTORE TECNOLOGICAMENTE VULNERABILE

Il cyber-crimine è infatti alle porte e, contrariamente a quanto si potrebbe pensare, essere dei “big player” non protegge da imprevisti. Proprio quando il Governo italiano dichiarava lo stato di emergenza per il nuovo Coronavirus, la testata internazionale Bloomberg.com rendeva noto che degli hacker erano riusciti a infiltrarsi nelle fasi finali di una negoziazione via email tra la storica galleria Simon C. Dickinson di Londra e il Rijksmuseum Twenthe (Enschede, Paesi Bassi) e a far versare a quest’ultimo 2.4 milioni di sterline su un loro conto di Hong Kong. Il meccanismo della frode, conosciuta come “man-in-the-middle scheme”, è semplice. I cyber-criminali violano l’account email del venditore, ed eventualmente dell’acquirente, e monitorano la corrispondenza in entrata e in uscita. Quando il primo trasmette via email una fattura a seguito di una vendita, gli hacker la intercettano e “dirottano” la conversazione. Dallo stesso indirizzo email del venditore inviano infatti una seconda email al cliente in cui, adducendo una scusa, si chiede di ignorare la prima fattura trasmessa e i relativi dati di pagamento e di effettuare il versamento su un nuovo conto, attivato appositamente per la frode. Quando il denaro viene accreditato, gli hacker lo trasferiscono rapidamente altrove e se ne perdono le tracce. Nel caso sopra citato la transazione, frutto di mesi di negoziazione, era finalizzata all’acquisto di un dipinto a olio del paesaggista inglese John Constable che Dickinson aveva esibito al TEFAF Maastricht nel 2018 e che aveva fin da subito attirato l’attenzione del direttore del museo olandese. Il fatto è diventato di pubblico dominio in quanto il museo ha deciso di fare causa alla galleria sostenendo che la frode è conseguenza della negligenza dei suoi commerciali. In un’udienza presso il Tribunale Commerciale di Londra a fine gennaio, l’avvocato del museo ha infatti affermato che i negoziatori di Dickinson erano a conoscenza delle email tra il museo e gli hacker, ma non hanno fatto nulla per fermare la transazione. L’avvocato di Dickinson, negando qualsiasi coinvolgimento della galleria nella frode, ha a sua volta affermato che il museo avrebbe dovuto verificare la correttezza dei dati del conto bancario ricevuti via email prima di effettuare il trasferimento del denaro. Il giudice ha respinto le iniziali accuse di negligenza da parte del museo nei confronti della galleria, ma ha lasciato aperta la possibilità che lo stesso possa intentare causa modificando le accuse, e sta ora valutando a chi spetta la proprietà del dipinto. La questione sembra lontana dall’essere risolta, anche perché il museo sta trattenendo il dipinto per impedire a Dickinson di vendere l’opera a una terza parte.

UN CASO TUTT’ALTRO CHE ISOLATO

Al di là del clamore dovuto all’ammontare della frode, il caso è emblematico delle nuove insidie alle quali sono esposti sia i piccoli che i grandi operatori del mondo dell’arte, e costituisce probabilmente solo la punta dell’iceberg di un fenomeno nei confronti del quale il settore sembra mostrarsi impreparato e poco incline ad agire proattivamente. Un’indagine sul tema condotta da The Art Newspaper nel 2017 svelava vittime “illustri” quali i galleristi con sede a Londra Simon Lee, Thomas Dane, Rosenfeld Porcini e Laura Bartlett e, negli Stati Uniti, Tony Karman, il presidente di Expo Chicago; neanche il colosso Hauser & Wirth era stato risparmiato. Quando non scoperti per tempo, questi casi di cyber-frode hanno comportato perdite stimate tra 10mila e un milione di sterline ciascuno. La chiusura a settembre 2017 della galleria Laura Bartlett, per ammissione della gallerista stessa, è stata causata dalla perdita generata dal cyber-attacco perpetrato in occasione della vendita di un gruppo di lavori a un collezionista americano. In generale, infatti, le speranze di recuperare le somme sottratte sono quasi nulle, dato che le banche non possono essere ritenute responsabili in caso di trasferimenti di fondi effettuati consapevolmente dai loro clienti; e le assicurazioni, se offrono protezione per questa tipologia di sinistri, lo fanno a costi molti elevati e con coperture del danno solo parziali.

MANCANO CONSAPEVOLEZZA E STANDARD DI BEST PRACTICE

Nel marzo 2019, artnet News ha denunciato un ulteriore caso di cyber-frode ai danni della storica dell’arte e collezionista svizzera Maria Larsson e della newyorkese Team Gallery, evidenziando “i veri pericoli generati dal rifiuto delle gallerie di adottare best practice standardizzate a livello di settore, in particolare quando sempre più transazioni passano dall’intimità degli incontri di persona alla fredda distanza di email e messaggi”. Sarebbe infatti responsabilità di ogni singola realtà organizzarsi adeguatamente per proteggere la propria attività contro tali incidenti, così come proteggere i dati di terzi custoditi nei propri database; ma tale consapevolezza nel settore sembra essere ancora scarsa. Nel 2017 la Society of London Art Dealers e la Art Dealers Association of America (ADAA) si sono preoccupate di diffondere delle allerte e delle linee guida su come prevenire i crimini informatici (che, evidentemente, non sono bastate); non si ha invece traccia di iniziative simili in Italia, dove le preoccupazioni degli operatori fino all’esordio del COVID-19 sembravano concentrarsi sul tema del passaggio alla fattura elettronica, sulle conseguenze della Brexit e sull’annosa e spinosa questione della notifica, che pende come una spada di Damocle sul diritto di libera circolazione delle opere al di fuori dei confini nazionali.

DANNI ECONOMICI, MA SOPRATTUTTO D’IMMAGINE

Infine, i crimini informatici non colpiscono solo storiche realtà esteticamente refrattarie alle tecnologie o abituate a un modus operandi d’altri tempi. Un caso emblematico di cyber-attacco ha infatti interessato anche Artsy, piattaforma leader online per la vendita di opere d’arte con milioni di iscritti nel mondo. Nel febbraio 2019 il colosso informava via email i propri utenti in merito a un “data security incident” che aveva interessato i suoi server: un milione di account erano stati violati e i dati degli iscritti alla piattaforma erano stati messi in vendita nel dark web insieme a quelli di altri quindici grandi portali, per un totale di 620 milioni di account coinvolti. La notizia, pubblicata in esclusiva da The Register (storica testata online dedicata alle tecnologie), ha ricevuto scarsa attenzione internazionale e nazionale. Forse non casualmente: per un settore che, tradizionalmente, si basa sul valore della reputazione, episodi di questa natura rischiano di incrinare la fiducia concessa dal sistema agli operatori, con conseguenze anche economiche. Alla luce del nuovo scenario post-Coronavirus, una riflessione sul tema si imporrebbe. Nell’attesa, prima di effettuare il prossimo bonifico milionario in base a dati comunicatici via email, potrebbe essere saggio fare una telefonata al mittente per verificarli.

‒ Edera Karmann

Artribune è anche su Whatsapp. È sufficiente cliccare qui per iscriversi al canale ed essere sempre aggiornati

Edera Karmann

Edera Karmann

Dagli anni Settanta tra arte, design e archivi.

Scopri di più