Cyber SegurançaTecnologia

Ataque de R$ 26 milhões a fintech expõe falha em limite do Pix e coloca BC em alerta

Editor do Portal Movimento PB

Desvio na FictorPay ocorreu via vazamento em empresa de software terceirizada; regra de limite de R$ 15 mil não se aplicava ao modelo “Pix Indireto” usado.

A fintech FictorPay foi alvo de um ataque cibernético no último domingo (19), que resultou em um desvio de R$ 26 milhões de contas de clientes. O ataque, revelado inicialmente pelo site PlatôBR e confirmado pelo Broadcast (Grupo Estado), não atingiu diretamente os sistemas da fintech, mas sim um de seus fornecedores.

A ofensiva ocorreu devido a um vazamento de credenciais da empresa de software Dilleta Solutions, que presta serviços para a FictorPay. A Dilleta, sediada no Parque Científico e Tecnológico da Unicamp, confirmou ter sido vítima de uma invasão e informou que está colaborando com as autoridades policiais.

Fontes do setor indicam que outros parceiros da Dilleta também podem ter sido afetados, e o prejuízo total pode chegar a R$ 40 milhões. A Celcoin, que fornece a infraestrutura de “bank as a service” (BaaS) para a FictorPay, também afirmou que o ataque não foi direcionado à sua estrutura.

No domingo, a Celcoin foi alertada pelo próprio Banco Central (BC) sobre uma movimentação atípica nas contas de clientes da FictorPay, especificamente saídas via Pix em volumes muito acima do habitual.

Brecha nos limites do Pix

O ataque no fim de semana aumentou a preocupação do Banco Central com os limites de valores para transações via Pix. Em setembro, após outros incidentes, o BC havia estabelecido um limite de R$ 15 mil para transações Pix em instituições não autorizadas ou que se conectam ao sistema financeiro via Prestadores de Serviços de Tecnologia da Informação (PSTIs).

Contudo, a FictorPay não se enquadrava nessa regra. A fintech não é uma participante direta do Pix, mas depende da Celcoin – uma empresa autorizada pelo BC – para ter acesso ao sistema, no modelo conhecido como “Pix Indireto”.

Na prática, como as transações não partiram de um PSTI, o limite de R$ 15 mil por movimentação não foi aplicado, o que permitiu os desvios milionários. Segundo fontes do mercado, uma limitação de transações para instituições autorizadas já estava em estudo no BC, mas ganhou caráter de urgência após o ataque de domingo.

Traduzido e adaptado de Broadcast (Grupo Estado), pela redação do Movimento PB [MNG-OOG-23102025-0812-A9D3F5C-V018]