Ciberataque desviou R$ 26 milhões de Fintech brasileira no último domingo

11/11/2025

FictorPay, fintech brasileira do grupo Fictor, foi atacada por hackers no último domingo (19), o que levou ao roubo de R$ 26 milhões de clientes da plataforma. O incidente foi noticiado pelo site PlatôBR e confirmado posteriormente pelo sistema de notícias Broadcast.

Segundo a reportagem, os cibercriminosos conseguiram acesso ao sistema graças a um vazamento de credenciais da empresa de software Dilleta Solutions, que confirmou a invasão. A companhia ainda afirmou que está colaborando com as autoridades policiais para investigar e solucionar o caso. Foram 282 transferências no Pix feitas para 271 contas laranjas.

Outros parceiros da Dilleta também teriam sofrido com a brecha, que levou a um desvio de até R$ 40 milhões no total. A FictorPay explicou que não teve os sistemas diretamente afetados e a Celcoin, que presta bank-as-a-service (BaaS, fornecimento de infraestrutura tecnológica para empresas que querem oferecer serviços financeiros) à companhia, também negou invasões diretas ao seu sistema.

Segundo relatos, a Celcoin teria sido alertada pelo próprio Banco Central (BC) acerca de movimentações atípicas nas contas de clientes, com valores anormalmente altos sendo enviados via Pix.

O incidente gerou preocupações do BC quanto ao limite de transações pela ferramenta, especialmente agora, quando há discussões para a imposição de limites ao valor de transferências entre qualquer instituição, não apenas as que usam Prestadores de Serviços de Tecnologia da Informação (PSTI).

Em setembro deste ano, o BC limitou transações Pix a R$ 15 mil para instituições não autorizadas ou conectadas à Rede do Sistema Financeiro Nacional (RFSN) via PSTI. Agora, também é estudada também a limitação para transferências entre instituições autorizadas, com a análise ganhando urgência desde o incidente.

FictorPay, vale lembrar, não está inclusa no sistema Pix, dependendo de outras empresas para acessar essa modalidade de pagamentos. As transações desviadas no último domingo (19) não partiram do PSTI, o que quer dizer que não tiveram de respeitar o limite de R$ 15 mil por transferência.

Celcoin era a responsável pela integração da FictorPay ao sistema, no modelo chamado “Pix Indireto”, onde a primeira empresa funciona, na prática, como titular da conta.

Fonte: CanalTech
Para ver a notícia na íntegra, clique aqui

Categorias: LGPD,Notícias,

Voltar [shared_counts]