Ataque hacker desvia R$ 26 milhões; entenda caso contra fintech brasileira

O sistema financeiro brasileiro voltou a ser alvo de criminosos digitais. No último domingo (19), a fintech FictorPay sofreu um ataque hacker que resultou no desvio de aproximadamente R$ 26 milhões, em um dos maiores golpes cibernéticos registrados no setor neste segundo semestre.

A empresa, controlada pela holding Fictor, confirmou que o ataque explorou uma falha em um aplicativo terceirizado, permitindo que os invasores realizassem cerca de 280 transações via Pix, distribuídas em 270 contas laranja abertas em diversos bancos e fintechs.

O Banco Central do Brasil (BC) detectou movimentações suspeitas nas contas da FictorPay e acionou a Celcoin, empresa responsável pela infraestrutura do Pix utilizada pela fintech. Em nota, a Celcoin informou que não houve invasão em sua estrutura tecnológica e que as operações irregulares foram rapidamente bloqueadas.

Quarto ataque em três meses

Este é o quarto incidente cibernético envolvendo fintechs no Brasil em apenas três meses, mesmo após o Banco Central adotar regras mais rígidas para o setor.

Outros casos recentes incluem:

Monbank (setembro de 2024): prejuízo de R$ 4,9 milhões em fraudes via TED;

Sinqia (setembro de 2024): invasão com desvio inicial de R$ 710 milhões;

C&M Software (julho de 2024): maior ataque já registrado, com perdas acima de R$ 1 bilhão.

Desde julho, o total de valores desviados chega a R$ 1,74 bilhão, segundo estimativas do mercado.

Como funcionam os ataques

Especialistas explicam que os criminosos exploram vulnerabilidades nos sistemas de integração entre fintechs e bancos, com métodos que envolvem:

roubo de credenciais legítimas;

falhas em prestadores de serviço de tecnologia (PSTI);

brechas no Sistema de Pagamentos Brasileiro (SPB);

operações fraudulentas via TED e Pix.

Reação do Banco Central

Após a onda de ataques, o Banco Central anunciou um pacote de medidas de segurança que inclui:

limite de R$ 15 mil para transferências via Pix e TED em empresas conectadas por PSTIs;

autorização obrigatória para início de operações de fintechs;

processos mais rígidos de compliance e verificação de parceiros tecnológicos;

prazo até maio de 2026 para regularização das fintechs ainda não autorizadas.

Especialistas pedem mais investimento em segurança

O advogado Daniell Roriz, especialista em Direito Digital, afirma que as normas do BC são um avanço, mas insuficientes sem investimentos em infraestrutura de segurança.

“O fortalecimento da cibersegurança exige protocolos robustos, autenticação em dois fatores, operações criptografadas e treinamento constante de equipes”, explica Roriz.

Já o especialista Marcelo Grandchamp, CEO da NOVVAX, destaca a necessidade de proteger cada camada dos sistemas digitais.

“A segurança da informação precisa ser planejada desde o início, com testes de vulnerabilidade em todas as etapas. As fintechs que usam soluções White Label também precisam ter cuidado: pequenas customizações podem abrir brechas graves”, alerta.

O caso da FictorPay reforça a vulnerabilidade do ecossistema financeiro digital brasileiro, que enfrenta o desafio de equilibrar inovação e segurança em um cenário de ataques cada vez mais sofisticados.

Fonte: techtudo