Ataque cibernético expõe vulnerabilidades de fintech brasileira
No último domingo, 19, a fintech brasileira FictorPay foi alvo de um ataque cibernético que resultou no desvio de R$ 26 milhões de clientes. O incidente foi revelado pelo site PlatôBR e confirmado pelo Broadcast, sistema de notícias do Grupo Estado em tempo real.
Segundo fontes, o ataque não ocorreu diretamente nos sistemas da FictorPay, mas sim por meio de uma vulnerabilidade em uma empresa parceira, a Dilleta Solutions, que presta serviços de software para a fintech. A invasão permitiu que criminosos acessassem credenciais sensíveis e movimentassem valores via Pix de forma atípica.
Vazamento de credenciais em empresa parceira
A Dilleta Solutions, fundada em 2014 por Michel Cusnir e sediada no Parque Científico e Tecnológico da Unicamp, confirmou que sofreu uma invasão em seus sistemas. A empresa possui mais de 110 funcionários e atua no desenvolvimento de softwares e aplicativos para terceiros.
Em nota, a Dilleta afirmou que está colaborando com autoridades policiais para identificar os responsáveis e entender a extensão do ataque. Fontes indicam que outros parceiros da empresa também foram afetados, totalizando um prejuízo estimado de R$ 40 milhões.
A FictorPay, por sua vez, reforçou que seus sistemas não foram comprometidos, e a Celcoin, que fornece infraestrutura de bank as a service (BaaS) à fintech, também declarou que a invasão não atingiu sua estrutura interna.
Pix indireto e movimentações atípicas
No domingo, a Celcoin foi alertada pelo Banco Central (BC) sobre movimentações suspeitas em contas de clientes da FictorPay. Valores via Pix superavam os volumes habituais, indicando operação irregular.
A Celcoin atua como prestadora de serviços para permitir que a FictorPay acesse o Pix, modelo conhecido como Pix Indireto. Nesse arranjo, a fintech não participa diretamente do sistema de pagamentos instantâneos, mas utiliza a infraestrutura da Celcoin para processar transações.
Limites de transações Pix sob revisão
O ataque reacendeu a discussão no Banco Central sobre limites de transações via Pix. Em setembro, o BC já havia definido que instituições não autorizadas ou que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de Prestadores de Serviços de TI (PSTIs) só poderiam movimentar até R$ 15 mil por transação.
No entanto, as operações do último domingo não partiram de PSTI, portanto não se enquadraram no limite. Como resultado, o BC avalia agora impor restrições mais rigorosas, tanto para instituições diretas quanto indiretas, de forma a aumentar a segurança do sistema de pagamentos.
Impacto sobre clientes e confiança em fintechs
O episódio aumenta a atenção do mercado para a segurança das fintechs e a necessidade de protocolos robustos de proteção de dados. A utilização de terceiros para integração ao Pix, embora prática comum, expõe as empresas a riscos significativos caso ocorram vulnerabilidades em parceiros.
Especialistas destacam que, apesar da FictorPay não ter sido invadida diretamente, os clientes podem sofrer impactos financeiros e perda de confiança. Esse tipo de ataque evidencia a necessidade de auditorias contínuas, autenticação reforçada e monitoramento constante de transações atípicas.
Histórico e atuação da FictorPay
A FictorPay pertence ao Grupo Fictor e oferece serviços financeiros a clientes que dependem de terceiros para acessar o Pix. O modelo de bank as a service (BaaS) permite que fintechs menores ofereçam soluções de pagamentos e contas digitais sem manter infraestrutura própria.
A Celcoin, empresa autorizada pelo BC, atua como titular da conta de pagamentos instantâneos e fornece toda a integração tecnológica necessária para que a FictorPay opere dentro do sistema do Pix.
Investigação e medidas preventivas
As autoridades canadenses e brasileiras já iniciaram a investigação para identificar os responsáveis pelo ataque. Além disso, o Banco Central deve avaliar a implementação de limites adicionais e protocolos de segurança reforçados para evitar que situações semelhantes ocorram futuramente.
Enquanto isso, a FictorPay e a Celcoin monitoram as transações para proteger clientes e reduzir impactos. A recomendação é que usuários fiquem atentos a movimentações suspeitas e reportem imediatamente qualquer anomalia.
Conclusão
O ataque cibernético à FictorPay evidencia que mesmo fintechs com boas práticas de segurança podem ser afetadas por vulnerabilidades em empresas parceiras. A situação reforça a necessidade de protocolos de proteção rigorosos, limites para transações via Pix e monitoramento constante de todas as movimentações financeiras.
Para clientes e investidores, o episódio serve de alerta sobre a importância de verificar segurança digital e integração de sistemas ao escolher serviços financeiros digitais.
