Sistema financeiro sofre quarto ataque hacker em três meses mesmo após aperto do BC
Fintechs voltam a ser alvo e levantamento revela padrão de vulnerabilidades
O Sistema Financeiro Nacional (SFN) registrou, neste domingo (19), o quarto ataque cibernético em três meses, sinalizando que as medidas anunciadas pelo Banco Central (BC) ainda não foram suficientes para estancar uma sequência de invasões que já resultou em prejuízos bilionários. Desta vez, a vítima foi a fintech FictorPay, da qual, segundo fontes ouvidas por veículos de imprensa, teriam sido desviados pelo menos R$ 26 milhões. A empresa atua oferecendo serviços financeiros a empresas, incluindo contas, antecipação de recursos e meios de pagamento.
Sequência de ataques e modalidades exploradas
O episódio da FictorPay ocorre após outros casos de grande repercussão: em setembro, a Monbank (nome fantasia da Monetarie) sofreu um ataque que desviou R$ 4,9 milhões; antes disso, a Sinqia anunciou invasões que, segundo a empresa, chegaram a movimentar cerca de R$ 710 milhões — parte desses recursos já recuperada; e, no ataque inicial, criminosos exploraram vulnerabilidades em fornecedores de tecnologia que se conectam ao Pix, resultando no maior desvio já registrado no país nesta modalidade, estimado em mais de R$ 1 bilhão.
Autoridades e fontes do setor afirmam que, embora nenhum sistema central administrado pelo Banco Central tenha sido comprometido, os vetores de ataque frequentemente passam por prestadores de serviços e credenciais legítimas, expondo a fragilidade da cadeia de terceiros que sustenta grande parte das operações digitais do SFN.
Medidas do Banco Central e limitações práticas
Em reação aos incidentes, o Banco Central editou uma série de normas para reforçar a segurança das fintechs, sobretudo daquelas que não dispõem de infraestrutura própria e dependem de prestadores de serviços de tecnologia da informação (PSTI). Entre as medidas anunciadas estão a limitação de transferências TED e Pix para não clientes em R$ 15 mil e a exigência de autorização prévia para instituições de pagamento começarem a operar.
O BC também antecipou o prazo para que instituições de pagamento não autorizadas solicitem regulamentação: de dezembro de 2029 para maio de 2026. Apesar do endurecimento regulatório, especialistas apontam que normas e limites de transação não substituem controles técnicos robustos, auditorias contínuas e práticas de segurança por parte de fornecedores terceirizados.
Risco sistêmico e recomendações do mercado
Fontes que acompanham as investigações ressaltam que os atacantes têm explorado tanto falhas técnicas quanto o uso indevido de credenciais legítimas — o que dificulta a detecção preventiva. Para especialistas em segurança digital, isso exige ações coordenadas entre regulador, instituições financeiras e provedores de TI, incluindo segmentação de redes, autenticação multifator, monitoramento em tempo real e programas de resposta a incidentes bem testados.
Além das medidas técnicas, há consenso sobre a necessidade de fortalecer a governança de riscos em cadeias de fornecedores e de criar mecanismos mais ágeis de alinhamento entre o setor privado e o Banco Central, para troca imediata de informações sobre novos vetores de ataque.
Transparência e confiança dos clientes
Os episódios sucessivos abalam a confiança dos clientes e acendem um sinal de alerta para o risco sistêmico: mesmo que os serviços centrais do BC não sejam comprometidos, a dependência de prestadores de serviços e a interconexão entre plataformas financeiras ampliam o potencial de contágio. Empresas afetadas afirmam que cooperam com investigações e que parte dos valores pode ser recuperada, mas a percepção pública sobre segurança e resiliência permanece fragilizada.
Enquanto o setor corre para reforçar defesas e adotar práticas recomendadas internacionalmente, consumidores e empresas seguem vulneráveis a novos episódios, o que mantém a agenda de segurança cibernética entre as prioridades imediatas do regulador e do mercado financeiro.
Da redação, Movimento PB.
[QXZ-OLM-21102025-1805-3A7B9C2-V016]