Fintech sofre ataque e perde R$ 26 milhões
O Banco Central monitora o caso e avalia novos limites para transações via Pix, reforçando a segurança do sistema de pagamentos instantâneos.
Foto: Freepick
Um ataque cibernético a fintech FictorPay no último domingo, 19, resultou no desvio de R$ 26 milhões de clientes. O incidente chamou atenção para a segurança digital do setor financeiro e levantou preocupações do Banco Central sobre os limites de transações via Pix. Segundo informações obtidas pelo site PlatôBR e confirmadas pelo Broadcast, a invasão ocorreu devido ao vazamento de credenciais da empresa parceira Dilleta Solutions, responsável por fornecer software e serviços tecnológicos à FictorPay.
O episódio evidencia a vulnerabilidade de algumas fintechs que dependem de parceiros terceirizados para operar suas plataformas de pagamento e reforça a necessidade de medidas regulatórias mais rígidas.
Leia também:
Como o ataque cibernético ocorreu e seu impacto
O ataque cibernético a fintech FictorPay não afetou diretamente os sistemas da própria empresa. O problema começou com a Dilleta Solutions, fundada em 2014 por Michel Cusnir na Universidade Estadual de Campinas (Unicamp) e atualmente sediada no Parque Científico e Tecnológico da universidade. A empresa confirmou que sofreu uma invasão em seus sistemas e está colaborando com autoridades policiais para investigar o incidente.
Fontes indicam que outros parceiros da Dilleta também foram afetados, e o valor total desviado pode chegar a R$ 40 milhões. A Dilleta possui mais de 110 funcionários e atua com desenvolvimento de softwares e aplicativos voltados para o setor financeiro.
Apesar de não terem sido diretamente atacadas, tanto a FictorPay quanto a Celcoin, empresa de bank as a service (BaaS) que integra a fintech ao Pix, precisaram lidar com movimentações atípicas nas contas de clientes. O Banco Central foi alertado sobre a situação e notificou a Celcoin, que detectou saídas de valores acima do habitual via Pix.
Repercussão regulatória e limites do Pix
O incidente aumentou a preocupação do Banco Central em relação aos limites de transações via Pix. Até então, instituições não autorizadas ou que se conectam à Rede do Sistema Financeiro Nacional (RFSN) através de Prestadores de Serviços de Tecnologia da Informação (PSTIs) estavam sujeitas a um limite de R$ 15 mil por operação.
Após o ataque cibernético a fintech, a autarquia estuda ampliar esses limites para todas as instituições, incluindo aquelas que operam diretamente no Pix, com o objetivo de reduzir riscos de fraudes e proteger clientes. Especialistas do setor financeiro afirmam que essa medida se tornou urgente para evitar que vulnerabilidades de parceiros terceirizados comprometam toda a rede de pagamentos instantâneos.
Funcionamento do Pix Indireto e vulnerabilidades
A FictorPay não é participante direta do Pix e depende de empresas como a Celcoin para realizar operações via sistema de pagamentos instantâneos. No modelo chamado de Pix Indireto, a Celcoin atua como titular das contas, oferecendo infraestrutura tecnológica para que fintechs menores possam operar pagamentos sem ter acesso direto à rede do BC.
O ataque revela que, mesmo sem acessar diretamente os sistemas da FictorPay, criminosos conseguiram movimentar valores significativos, mostrando a necessidade de auditorias e monitoramento mais rigoroso das integrações com terceiros.
Gostou deste conteúdo? Siga o Melhor Investimento nas redes sociais:
