Uma complexa ocorrência de segurança digital resultou no desvio de R$ 26 milhões de clientes da fintech FictorPay no último domingo, 19. O ataque FictorPay, conforme revelado inicialmente pelo portal PlatôBR e confirmado pelo Estadão/Broadcast, não teve origem nos sistemas internos da fintech, mas sim em uma de suas fornecedoras, a empresa de software Dilleta Solutions.
Este incidente destaca a natureza interconectada e, por vezes, vulnerável, do ecossistema financeiro digital. A Dilleta Solutions, que presta serviços tecnológicos para a FictorPay (empresa do Grupo Fictor), confirmou ter sido vítima de uma invasão que levou ao vazamento de credenciais de acesso.
Em nota oficial, a Dilleta Solutions comunicou que “está colaborando com as autoridades policiais para auxiliar na investigação do ocorrido e na identificação do seu autor”. A empresa de software não está sozinha neste prejuízo; fontes do mercado indicam que outros parceiros da Dilleta também podem ter sido afetados, elevando o montante total desviado para pelo menos R$ 40 milhões.
“A Diletta informa que, recentemente, foi vítima de um ataque cibernético. Assim que o incidente foi identificado, a empresa tomou todas as diligências necessárias para tratar da situação com a máxima seriedade e responsabilidade.”
O mecanismo da fraude: vazamento na Dilleta Solutions
A Dilleta Solutions, peça central involuntária neste evento, é uma startup de desenvolvimento de software e aplicativos fundada em 2014 por Michel Cusnir. A empresa, que hoje conta com mais de 110 funcionários, tem raízes acadêmicas, tendo sido fundada dentro da Universidade Estadual de Campinas (Unicamp), onde atualmente mantém sua sede no Parque Científico e Tecnológico da instituição.
O ataque cibernético foi possibilitado pela obtenção não autorizada de credenciais da Dilleta. Com esse acesso, os criminosos conseguiram operar contas ligadas à FictorPay, realizando transferências de alto volume.
Imediatamente após a detecção do incidente, tanto a FictorPay quanto sua provedora de infraestrutura de pagamentos, a Celcoin, buscaram esclarecer os limites do ataque. A FictorPay afirmou em comunicado que seus sistemas próprios não foram diretamente afetados ou comprometidos.
O papel do “Bank as a Service” e a detecção
A Celcoin, que fornece à FictorPay o serviço de “bank as a service” (BaaS), também se pronunciou. O BaaS é um modelo de negócio B2B onde uma empresa (neste caso, a Celcoin) fornece a infraestrutura tecnológica e regulatória completa para que outra companhia (a FictorPay) possa oferecer serviços financeiros aos seus próprios clientes, sem precisar construir toda a plataforma do zero.
A Celcoin informou que o ataque cibernético não foi direcionado à sua estrutura. Na verdade, foi a própria Celcoin que identificou a anomalia. No domingo, a empresa foi alertada pelo Banco Central (BC) sobre atividades suspeitas. Simultaneamente, seus sistemas internos detectaram uma “movimentação atípica” nas contas de clientes da FictorPay, caracterizada por saídas via Pix em volumes muito acima do habitual. A Celcoin, então, comunicou a FictorPay para contenção do dano.
A brecha no limite do pix: como o ataque burlou as regras
Este incidente expôs uma nuance crítica nas regras do sistema de pagamentos instantâneos. O Banco Central, após ataques anteriores a outras instituições, havia estabelecido em setembro um limite de R$ 15 mil para transações Pix em instituições não autorizadas ou que se conectam à Rede do Sistema Financeiro Nacional (RFSN) por meio de Prestadores de Serviços de Tecnologia da Informação (PSTIs).
A FictorPay não é uma participante direta do Pix; ela depende de outras empresas para acessar o sistema. Ela utilizava a Celcoin, que é uma empresa autorizada pelo BC e participante direta, no modelo conhecido como “Pix Indireto”. Na prática, a Celcoin atuava como titular da conta de pagamentos instantâneos para a FictorPay.
A questão central é que as transações fraudulentas realizadas no domingo não partiram de um PSTI. Como elas foram originadas através da integração direta com a Celcoin, as operações não precisaram respeitar o limite de R$ 15 mil por movimentação, permitindo o desvio milionário.
Banco Central reage e estuda novos limites universais
O ataque de domingo serviu como um catalisador para o Banco Central. A autarquia já avaliava internamente a possibilidade de impor um limite de montante para operações Pix a todas as instituições, não se restringindo apenas às que utilizam PSTIs.
Segundo fontes próximas ao tema, o ataque FictorPay deu caráter de urgência a este estudo. A limitação em transações para instituições autorizadas (como a Celcoin) visa fechar essa brecha regulatória explorada pelos criminosos. A medida, se implementada, pode alterar significativamente a dinâmica de transações de alto valor no Pix, buscando fortalecer a segurança geral do sistema que se tornou o mais popular do país, enquanto o setor e as autoridades lidam com as consequências deste sofisticado golpe financeiro.
Leia mais:
OpenAI lança navegador com IA e desafia domínio do Google
Brasil articula na Europa apoio financeiro para novo fundo florestal antes da COP30
Apagão global derruba Alexa, Facebook e Prime Video
Siga nosso perfil no Instagram, Tiktok e curta nossa página no Facebook
📲Quer receber notícias direto no celular? Entre no nosso grupo oficial no WhatsApp e receba as principais notícias em tempo real. Clique aqui.
