3 horas atrás 2

Ataque hacker desvia R$ 26 milhões; entenda caso contra fintech brasileira

O sistema financeiro nacional foi novamente alvo de um ataque hacker. Dessa vez, a vítima foi a fintech FictorPay que teve um prejuízo de pelo menos R$ 26 milhões no último domingo (19). Controlada pela holding Fictor, a empresa foi fundada em 2007 e trata-se de uma empresa de participações e gestão que atua nos setores de indústria alimentícia, serviços financeiros e infraestrutura.

O golpe explorou uma falha em um aplicativo terceirizado contratado pela empresa. Os criminosos conseguiram realizar aproximadamente 280 transações via Pix, distribuídas em cerca de 270 contas laranja espalhadas por diversos bancos e fintechs. O Banco Central do Brasil, ao identificar movimentações suspeitas nas contas vinculadas à FictorPay, acionou a Celcoin - prestadora de serviços da fintech responsável pela infraestrutura do Pix - que, em nota, afirmou que não houve invasão em sua infraestrutura tech e garantiu que as operações suspeitas foram rapidamente bloqueadas. Veja a seguir mais detalhes sobre o caso.

FictorPay sofre ataque hacker com prejuízo de R$ 26 milhões

O sistema financeiro brasileiro foi novamente alvo de criminosos digitais neste domingo (19), quando a fintech FictorPay teve aproximadamente R$ 26 milhões desviados em um sofisticado ataque hacker. O caso marca o quarto incidente de segurança cibernética no setor em apenas três meses, mesmo após o Banco Central implementar medidas mais rígidas de proteção.

A FictorPay, que oferece serviços financeiros para empresas como contas digitais, empréstimos, antecipação de recebíveis e soluções de pagamento, confirmou a invasão digital. O ataque acontece aproximadamente 45 dias após o BC anunciar novas regras para fortalecer a segurança do Sistema Financeiro Nacional (SFN), especialmente direcionadas às fintechs que dependem de prestadores de serviço terceirizados.

Como funcionam os ataques hackers contra fintechs

Os criminosos têm explorado vulnerabilidades nos sistemas de integração entre fintechs e a infraestrutura bancária. Os ataques mais recentes utilizaram:

Credenciais legítimas roubadas ou comprometidas
Falhas em prestadores de serviços de tecnologia (PSTI)
Brechas no Sistema de Pagamentos Brasileiro (SPB)
Fraudes via TED e tentativas pelo Pix

Histórico de ataques cibernéticos em fintechs brasileiras

Setembro 2024: Monbank (Monetarie)

A fintech gaúcha Monbank perdeu cerca de R$ 4,9 milhões em um ataque que explorou o SPB. Os hackers utilizaram operações de TED para desviar recursos da conta de reserva da instituição. Uma tentativa anterior via Pix foi bloqueada pelo sistema de segurança do Banco Central.

A Sinqia sofreu sua segunda invasão desde julho, com criminosos usando credenciais legítimas para acessar sistemas internos. O desvio inicial foi de R$ 710 milhões, parte do valor foi posteriormente recuperada por ações coordenadas com autoridades.

O primeiro e mais devastador ataque hacker contra o sistema financeiro brasileiro ocorreu em julho, quando criminosos exploraram vulnerabilidades na C&M Software, empresa conectada diretamente à infraestrutura do Pix. O prejuízo ultrapassou R$ 1 bilhão, marcando o maior caso de fraude digital já registrado no país.

Novas regras do Banco Central

Em resposta à escalada de crimes cibernéticos, o Banco Central do Brasil anunciou um pacote abrangente de medidas de segurança:

Limites de Transação
Valor máximo de R$ 15 mil para transferências via TED e Pix
Restrição aplicada a empresas conectadas ao SFN via PSTI
Monitoramento intensificado de operações suspeitas
Autorização Obrigatória
Nenhuma instituição de pagamento pode iniciar operações sem aprovação prévia do BC
Processo de compliance mais rigoroso para novas fintechs
Verificação detalhada de parceiros tecnológicos
Prazo para regularização de fintechs sem autorização: maio de 2026 (antes era dezembro de 2029)
Instituições devem comprovar conformidade com normas de segurança digital
Penalidades para empresas que não se adequarem

Impacto dos ataques hackers

Desde julho de 2024, os ataques cibernéticos contra fintechs já somam R$ 1,74 bilhão em desvios identificados; 4 empresas afetadas em 3 meses; e centenas de contas corporativas impactadas. O mercado de fintechs brasileiro, um dos mais desenvolvidos do mundo, enfrenta agora o desafio de equilibrar inovação com segurança. As novas regras do BC representam um primeiro passo, mas o Dr. Daniell Roriz, advogado especialista em Direito Digital alerta que investimentos significativos em infraestrutura de cibersegurança ainda são necessários.

"O aprimoramento da cibersegurança no funcionamento das fintechs exige, além da adequação às recentes normas do Banco Central, a adoção de protocolos de segurança robustos, como a autenticação em dois fatores, o uso de operações criptografadas e o treinamento contínuo dos colaboradores", explica.

O especialista destaca que também é importante que, dentro do possível, haja uma homogeneidade entre as práticas das fintechs e aquelas adotadas pelas instituições bancárias já estabelecidas no Brasil. A ideia, segundo Roriz, seria estabelecer uma "submissão dessas empresas às mesmas diretrizes de segurança e responsabilização já vigentes no sistema financeiro tradicional".

Veja também: Perigo nas redes; saiba AGORA como se proteger!

Perigo nas redes; saiba AGORA como se proteger!