O sistema financeiro brasileiro voltou a ser alvo de um grande ataque cibernético no último domingo (19). Desta vez, os hackers invadiram os sistemas da fintech FictorPay, de propriedade da holding Fictor, e desviaram cerca de R$ 26 milhões por meio de transferências não autorizadas.
A empresa, criada em 2007 e com cerca de 4 mil funcionários, integra um grupo que atua nos setores de alimentos, serviços financeiros e infraestrutura. A informação foi divulgada inicialmente pelo portal PlatôBR.
Como ocorreu o ataque
De acordo com as investigações preliminares, o grupo criminoso explorou uma falha em aplicativos internos da FictorPay para acessar uma conta de prestadora de serviços vinculada à fintech. A partir daí, foram executadas pelo menos 280 transferências via Pix para 270 contas laranja em diversos bancos e fintechs do país.
A brecha permitiu que as movimentações escapassem do limite de valores imposto pelo Banco Central (BC), já que a FictorPay não é participante direta do sistema Pix. O acesso ao sistema é feito por meio de empresas intermediárias devidamente autorizadas, que, segundo o BC, não tiveram suas plataformas comprometidas.
Uma dessas prestadoras é a Celcoin, que emitiu nota esclarecendo que não sofreu invasão. A empresa afirmou ter identificado uma movimentação atípica em uma conta de cliente e, assim que percebeu a anomalia, bloqueou preventivamente as operações e notificou as autoridades. Segundo o comunicado, a vulnerabilidade teria origem em uma empresa provedora de aplicativos white label, utilizada por diversos players do mercado financeiro.
“Nenhuma invasão ocorreu em nosso ambiente. Seguimos colaborando com as autoridades e com o cliente afetado nas medidas de recuperação dos valores”, declarou a Celcoin.
Até o momento, o Banco Central não se manifestou sobre o episódio.
Série de ataques recentes
O caso da FictorPay é o quinto ataque hacker registrado contra o sistema financeiro nacional nos últimos três meses. Antes dela, também foram alvos as empresas C&M Software, Sinqia, Monetarie (Monbank) e E2 Pay — todas atuantes na interligação de instituições financeiras com o Sistema de Pagamentos Brasileiro (SPB), que gerencia o ambiente de liquidação do Pix e outros meios de transferência como TEDs e boletos.
O ataque mais grave até agora envolveu a C&M Software, em junho, com prejuízo estimado em mais de R$ 1 bilhão. Na ocasião, um ex-funcionário foi preso por facilitar o acesso dos criminosos. Já o caso da Sinqia, registrado em agosto, resultou em um rombo de R$ 710 milhões, dos quais R$ 360 milhões foram bloqueados pelo BC.
Medidas de segurança do Banco Central
Diante da onda de ataques, o Banco Central anunciou, em setembro, novas regras para reforçar a segurança do Sistema Financeiro Nacional (SFN). Entre elas está o teto de R$ 15 mil por operação via Pix ou TED para instituições de pagamento não autorizadas, ou que utilizam intermediários tecnológicos (PSTIs) para acessar o sistema.
Essas restrições poderão ser suspensas temporariamente após a comprovação de controles de segurança mais rígidos. O BC também determinou que todas as instituições de pagamento em operação deverão solicitar autorização até maio de 2026 — e aquelas que tiverem o pedido negado deverão encerrar as atividades em até 30 dias.
O caso FictorPay reforça a crescente vulnerabilidade do ecossistema financeiro digital brasileiro, que tem sido alvo de grupos de cibercriminosos altamente especializados em explorar brechas em integrações tecnológicas entre fintechs e bancos.
