No último domingo, um cliente da FictorPay teve sua conta alvo de um ataque cibernético que resultou no desvio de cerca de R$ 25 milhões.
Diferentemente de incidentes anteriores, que atingiam as contas das fintechs no Banco Central, desta vez o alvo foi a conta do cliente, evidenciando uma mudança no perfil dos ataques contra o setor financeiro.
Fontes próximas ao caso indicam que os criminosos acessaram os sistemas da Diletta Solution, empresa que conecta usuários da FictorPay aos sistemas da Celcoin, responsável pelo processamento das operações financeiras.
A invasão não comprometeu diretamente a infraestrutura da Celcoin, mas permitiu movimentações atípicas detectadas pelos sistemas de monitoramento.
Reação da fintech
A Celcoin afirmou que não houve invasão direta em seus sistemas, e que a movimentação suspeita foi identificada e bloqueada rapidamente. O cliente foi alertado e as operações foram suspensas preventivamente, enquanto a empresa acompanha a investigação e mantém contato com as autoridades.
Até o momento, a FictorPay e a Diletta Solution não se posicionaram publicamente sobre o incidente.
O episódio ocorre em meio a um aperto regulatório promovido pelo Banco Central, motivado pelo aumento de fraudes e ataques ao sistema financeiro brasileiro. Entre as medidas recentes estão:
- Trava de R$ 15 mil em transações de fintechs sem licença ou que utilizem provedoras de tecnologia.
- Obrigatoriedade de autorização junto ao BC até maio de 2026 para instituições que ainda não possuem licença.
- Botão de contestação no Pix para operações suspeitas e bloqueio de chaves Pix envolvidas em fraudes.
O impacto para o setor
Especialistas destacam que o ataque evidencia a vulnerabilidade das fintechs que terceirizam seus serviços e aumenta a pressão por segurança digital.
Além disso, pode gerar maior escrutínio regulatório e reforçar a necessidade de monitoramento em tempo real das operações financeiras, principalmente em modelos de banking as a service.
As investigações seguem, com apoio do cliente e das autoridades competentes. O caso também coloca em pauta a responsabilidade das fintechs e das provedoras de tecnologia, mostrando que mesmo sistemas modernos precisam de camadas adicionais de segurança para proteger grandes movimentações financeiras.
