Fintech FictorPay sofre ataque cibernético e tem R$ 26 milhões desviados
No último domingo (19), a fintech FictorPay foi vítima de um ataque cibernético que resultou no desvio de R$ 26 milhões de clientes. A invasão foi confirmada pela empresa e decorrente do vazamento de credenciais da Dilleta Solutions, empresa de software que presta serviços para a fintech do Grupo Fictor.
A Dilleta Solutions confirmou a invasão em seus sistemas e informou que está colaborando com as autoridades para investigar o caso e identificar os responsáveis. Fontes indicam que outros parceiros da Dilleta também podem ter sido afetados, elevando o total desviado para cerca de R$ 40 milhões.
A FictorPay esclareceu que seus sistemas internos não foram diretamente comprometidos. A Celcoin, fornecedora de infraestrutura tecnológica (bank as a service – BaaS) para a FictorPay, também afirmou que sua estrutura não foi alvo do ataque. A Celcoin alertou a fintech sobre movimentações atípicas via Pix, detectadas após notificação do Banco Central (BC), com valores acima do normal.
Related News
Fundada em 2014 na Universidade Estadual de Campinas (Unicamp), a Dilleta Solutions possui mais de 110 funcionários e é sediada no Parque Científico e Tecnológico da universidade, atuando no desenvolvimento de software e aplicativos.
Banco Central avalia limite para transações Pix após ataque
O incidente intensificou a preocupação do Banco Central em relação ao limite de valores permitidos em transações via Pix. Atualmente, existe um limite de R$ 15 mil para operações realizadas por instituições não autorizadas ou que acessam a Rede do Sistema Financeiro Nacional (RFSN) via Prestadores de Serviços de Tecnologia da Informação (PSTIs).
Após ataques recentes, o BC estuda impor limites também para todas as instituições, não apenas aquelas que utilizam PSTIs. A situação ganhou urgência após o ataque à FictorPay, segundo fontes ligadas ao tema.
Importante destacar que a FictorPay não é participante direta do Pix e depende de outras empresas para acesso ao sistema. As transações realizadas no domingo não foram feitas por meio de PSTIs, portanto não estavam sujeitas ao limite de R$ 15 mil por movimentação.
A Celcoin, que é autorizada pelo BC e participante direta do Pix, prestava à FictorPay a integração com o sistema, operando no modelo conhecido como "Pix Indireto", onde atua como titular das contas de pagamentos instantâneos vinculadas à fintech.
