Ataque hacker à fintech FictorPay desvia R$ 26 milhões; falha foi explorada em aplicativo interno da empresa.
Sistema financeiro volta a ser alvo de criminosos digitais
O sistema financeiro nacional voltou a ser alvo de criminosos cibernéticos. No último domingo (19/10), a fintech FictorPay, controlada pela holding Fictor, sofreu um ataque hacker que resultou em um rombo de R$ 26 milhões.
A informação foi divulgada inicialmente pelo portal PlatôBR.
Entre para o grupo do Blog do Olavo Sampaio no WhatsApp
Segundo a investigação preliminar, os hackers se aproveitaram de uma vulnerabilidade em aplicativos internos da companhia e realizaram pelo menos 280 transações via Pix para 270 contas-laranja abertas em diferentes bancos e fintechs.
Como o ataque foi realizado
O golpe começou com a invasão à conta de uma prestadora de serviços da FictorPay, o que permitiu aos criminosos efetuar transferências não sujeitas ao limite de valores imposto pelo Banco Central (BC).
A fintech, por não ser participante direta do Pix, opera por meio de intermediárias, que são prestadoras de serviços de tecnologia financeira (PSTI) autorizadas pelo BC.
Veja também: Instabilidade do Pix em grandes cidades coincide com falha na Amazon
Uma dessas intermediárias é a Celcoin, que confirmou ter detectado uma “movimentação atípica” em uma conta de cliente.
Em nota, a empresa informou:
“Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente. As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo ‘white label’, utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin.”
A Celcoin acrescentou que nenhum dado foi comprometido e que todas as operações permanecem estáveis e seguras, em conformidade com as normas do Banco Central.
FictorPay e Fictor Holding
A FictorPay é uma fintech pertencente à Fictor Holding, grupo fundado em 2007, com atuação nos setores financeiro, alimentício e de infraestrutura. A empresa possui cerca de 4 mil funcionários e vinha expandindo suas operações no mercado de pagamentos digitais e banking as a service (BaaS).
O ataque representa um duro golpe na credibilidade do setor, que enfrenta uma onda crescente de ciberataques complexos desde o início de 2024.
Quinto ataque em três meses
O caso da FictorPay é o quinto ataque hacker registrado em apenas três meses contra instituições que se conectam ao Sistema de Pagamentos Brasileiro (SPB), ambiente que abriga o Pix, as TEDs e a liquidação interbancária.
Antes da FictorPay, os alvos foram:
- C&M Software, com prejuízo superior a R$ 1 bilhão;
- Sinqia, com rombo estimado em R$ 710 milhões;
- Monetaire (Monbank), atacada em setembro, com R$ 4,9 milhões desviados;
- e E2 Pay, também vítima de invasão recente.
Essas empresas atuam como pontes tecnológicas entre bancos e o Banco Central, fornecendo infraestrutura digital para liquidação de pagamentos e serviços financeiros.
Nos casos da C&M e da Sinqia, os hackers chegaram a acessar contas de reserva de instituições financeiras mantidas pelo BC, comprometendo temporariamente o sistema de liquidação do Pix.
Banco Central ainda não se pronunciou
Até o momento, o Banco Central do Brasil não se manifestou oficialmente sobre o ataque à FictorPay.
Fontes ouvidas por portais especializados indicam que a autoridade monetária acompanha o caso de perto e pode determinar bloqueios preventivos de valores assim que a investigação avançar.
Nos episódios anteriores, o BC conseguiu recuperar cerca de R$ 360 milhões dos valores desviados no caso da Sinqia.
Novas regras de segurança do BC
Diante da escalada de ataques cibernéticos, o Banco Central anunciou em setembro novas normas para reforçar a segurança do Sistema Financeiro Nacional (SFN).
Entre as medidas, está o teto de R$ 15 mil por operação via TED e Pix para instituições de pagamento não autorizadas diretamente pelo BC e que operam por meio de prestadores terceirizados.
A restrição será temporária, podendo ser revogada após a comprovação de protocolos robustos de segurança da informação.
Além disso, o BC determinou que toda instituição de pagamento deverá obter autorização prévia para operar até maio de 2026. Caso o pedido seja negado, a empresa deverá encerrar as atividades em até 30 dias.
Essas medidas visam conter a atuação de grupos criminosos especializados em explorar brechas no ecossistema do Pix, um sistema que movimenta bilhões de reais por dia e é hoje a principal forma de pagamento digital do país.
Histórico de prejuízos milionários
O ataque à C&M Software, ocorrido em junho de 2024, segue sendo considerado o maior ciberataque da história do sistema financeiro brasileiro.
Na ocasião, um funcionário da empresa, João Nazareno Roque, foi preso acusado de facilitar o acesso dos hackers em troca de pagamento.
Os criminosos desviaram valores de diversas instituições, incluindo a provedora BMP, que perdeu R$ 541 milhões sozinha.
Já o caso da Sinqia, registrado em agosto, expôs a vulnerabilidade de grandes empresas de tecnologia financeira.
A companhia identificou que as transações indevidas ocorreram por meio de credenciais legítimas de fornecedores de TI, exploradas por criminosos.
Impacto e alerta para o setor
O ataque à FictorPay reacende o alerta de segurança digital no mercado de fintechs e instituições de pagamento.
Especialistas destacam que, apesar dos avanços em criptografia e autenticação, brechas em sistemas terceirizados e integrações com APIs continuam sendo o elo mais fraco da cadeia de segurança financeira.
Analistas apontam que o caso deve acelerar a implementação das novas normas do Banco Central e pressionar empresas menores a investirem em monitoramento em tempo real e auditorias independentes de segurança.
