SharkBot, TeaBot, Revive, SpyNote, Copybara.
Per alcuni potrebbero sembrare nomi casuali, mentre altri li riconosceranno subito.
Si tratta di malware bancari che il team di Threat Intelligence di Cleafy ha individuato negli ultimi anni. Il loro lavoro ha aiutato alcune tra le principali banche europee a difendersi da queste minacce e a proteggere rapidamente i propri clienti.
Come un gruppo di Avengers, gli esperti di Threat Intelligence di Cleafy sono sempre pronti a combattere il crimine informatico e a difendere il denaro di milioni di persone in tutto il mondo.
In questo articolo abbiamo intervistato Federico Valentini, Head of Cyber Threat Intelligence & Response, per spiegare più in profondità che cos’è la Threat Intelligence e perché rappresenta un elemento fondamentale nella lotta contro le frodi bancarie online.
Che cos’è la Cyber Threat Intelligence?
Secondo le definizioni più comuni, la Cyber Threat Intelligence è l’insieme di informazioni che le organizzazioni utilizzano per prepararsi, prevenire e individuare minacce informatiche, passate o potenziali, che potrebbero colpirle.
La Threat Intelligence nasce da dati raccolti da diverse fonti e analizzati per generare insight utili e attuabili. Queste informazioni consentono alle organizzazioni di prendere decisioni consapevoli sulle proprie strategie e misure di sicurezza informatica.
Esistono vari tipi di Threat Intelligence, ciascuno con uno scopo specifico:
Preferisco considerare la Threat Intelligence come la pratica di collegare i punti tra gli incidenti dei clienti, i modelli di attacco e le scoperte di malware specifici. I risultati permettono ai clienti di identificare proattivamente ciò che accadrà e di prepararsi ad affrontarlo, rafforzando la propria postura di sicurezza nel tempo.— Federico Valentini
Qual è il vantaggio competitivo della Threat Intelligence?
Ciò che distingue una Threat Intelligence eccellente da una nella media è la qualità e la quantità dei dati analizzati, fattori che dipendono, a loro volta, dal numero di banche e utenti monitorati.
Quando il team analizza un incidente segnalato da un cliente, valuta se possa seguire schemi già osservati in passato e individua il modo più efficace per reagire.
È importante ricordare che la Threat Intelligence non serve solo a individuare un singolo malware, ma a costruire un identikit completo dell’attacco. Il malware, da solo, è solo un mezzo: ciò che conta davvero è come viene impiegato, da chi e in quale contesto operativo.
Creare un profilo degli attori malevoli consente di capire chi si sta muovendo, come lo fa, quali tecniche usa e quando agisce. Questo è cruciale, perché per un criminale informatico cambiare tattiche una volta individuato è costoso e complesso.
Quali sono le principali sfide della Threat Intelligence oggi?
Una delle sfide più rilevanti è la crescita esponenziale delle minacce legate ai mobile malware.
Un tempo le frodi bancarie avvenivano principalmente su workstation. Con la diffusione dei dispositivi mobili e delle app di mobile banking, i truffatori hanno spostato il loro focus proprio lì dove si trovano gli utenti. Oggi quasi nessuno accede più ai conti bancari da PC.
I pochi gruppi ancora attivi nel mondo delle workstation si sono specializzati nelle frodi aziendali, dove i PC restano in uso. Si tratta di una sorta di “selezione naturale” del cybercrimine: sono rimasti solo i più sofisticati, mentre la maggior parte si è spostata sul mobile, dove è più facile colpire.
Nel mobile tutto avviene più rapidamente: i truffatori possono causare danni ingenti in pochissimo tempo. È quindi essenziale identificare, classificare e comunicare le minacce in tempo reale. Basta un errore, come l’invio di una firma errata, per bloccare per sbaglio l’app della banca e impedirne l’uso ai clienti.
I falsi positivi rappresentano, infatti, uno dei problemi principali nell’analisi dei malware.
In uno dei nostri ultimi webinar, “Navigating the surge of mobile malware threats: Unveiling tactics and countermeasures”, abbiamo approfondito proprio questo tema e l’evoluzione delle minacce nel mobile banking.
Qual è il fattore chiave per migliorare la Threat Intelligence?
È fondamentale adottare un approccio integrato cyber-fraud, in cui le aree di sicurezza informatica e di prevenzione frodi collaborano strettamente anziché operare come compartimenti separati.
Il team fraud si concentra sulle transazioni, ma spesso non dispone del contesto necessario per comprendere il quadro generale. Il team cyber, invece, può perdere di vista i dettagli operativi di come avviene concretamente la frode. Questo porta a una protezione frammentata e, talvolta, a identificazioni errate.
Per ottenere una visione olistica e tempestiva delle minacce, i due ambiti devono lavorare fianco a fianco. È un cambio di mentalità cruciale: per anni le frodi sono state affrontate a posteriori, analizzandole dopo che erano avvenute.
Oggi, invece, l’approccio cyber-fraud — adottato da realtà innovative come Cleafy — è essenziale per prevenire i danni economici e reputazionali su larga scala.
Come si integra la Threat Intelligence con il team di sicurezza informatica di una banca?
Avere un team di Threat Intelligence che collabora con i reparti interni anti-frode e cyber è estremamente utile per accrescere la consapevolezza e formare il personale su cosa osservare e come reagire.
Il principale vantaggio di questa integrazione risiede nell’esperienza accumulata e nelle competenze verticali, che possono rafforzare le capacità dei team interni.
Il nostro team è preciso ma anche molto pratico: ci assicuriamo ogni giorno che l’applicazione dei dati sia concreta e utile. Non si tratta solo di gestire dati grezzi, ma di analizzarli nel contesto, per renderli davvero significativi. — Federico Valentini
Grazie all’analisi di un ampio numero di clienti, Cleafy è in grado di fornire indicazioni personalizzate che portano a decisioni più mirate e informate.
Cosa serve per intraprendere una carriera nella Threat Intelligence?
Un’esperienza pregressa in diversi ambiti della sicurezza informatica — come penetration testing e vulnerability assessment — è un ottimo punto di partenza. Queste competenze
costituiscono la base per affrontare aree più complesse come la Threat Intelligence e la risposta agli incidenti.
Molti professionisti entrano nel settore partecipando a CTF (Capture The Flag), competizioni pratiche che simulano scenari reali come violare un’applicazione web o hackerare un satellite. Queste esperienze sviluppano capacità di problem solving e competenza tecnica.
La curiosità è una qualità indispensabile: la cybersecurity è un campo in continua evoluzione, dove minacce e tecnologie cambiano rapidamente. Restare curiosi significa imparare costantemente e sapersi adattare.
Cosa rende la Threat Intelligence di Cleafy un punto di svolta nella prevenzione delle frodi?
Grazie a molti anni di esperienza nella rilevazione delle frodi online nel settore bancario e finanziario, Cleafy ha maturato una conoscenza approfondita di un’ampia gamma di minacce, sviluppando strategie di prevenzione su misura per l’architettura e le esigenze specifiche di ogni istituto.
È ciò che chiamiamo Threat Intelligence personalizzata.
I vantaggi di questo approccio sono molteplici: permette di individuare in anticipo le minacce più complesse che potrebbero colpire i tuoi servizi o utenti. Cleafy collega ciò che osserva all’esterno, tendenze, attività anti-frode, impatti reali, unendo il mondo della ricerca con quello dell’incident response, e lavorando fianco a fianco con i team anti-frode per costruire una conoscenza condivisa e solida.
Tutte le informazioni raccolte dal team di Threat Intelligence sono accessibili sulla piattaforma Cleafy: varianti di malware, capacità, reputazione di conti bancari (es. mule), e reputazione di dispositivi e utenti. In questo modo le banche possono restare sempre aggiornate su ciò che accade nei propri sistemi.
Grazie a queste informazioni, è possibile definire una postura di sicurezza ottimale, configurare risposte automatiche e ridurre al minimo il rischio, beneficiando degli insight derivanti dall’intera rete di clienti Cleafy.
Presenti a Cyber Security Day Lugano - 29 ottobre 2025