Criminosos roubaram ao menos R$ 40 milhões de instituições financeiras no último domingo (19), após invadirem os sistemas da Diletta Solutions, uma startup de tecnologia que oferece serviços como desenvolvimento de sistemas e aplicativos. A empresa confirmou o ataque, localizado em Campinas, interior de São Paulo.
![](<figure><img src="https://f.i.uol.com.br/fotografia/2019/06/11/15602892675d001ff35f2fd_1560289267_3x2_md.jpg" alt=""><figcaption></figcaption></figure>)
A FictorPay, do conglomerado Fictor, foi a instituição mais atingida. Utilizando a tecnologia da Diletta em seu aplicativo, a FictorPay opera com intermediação da Celcoin, que presta serviços bancários em nome de outras empresas. A FictorPay atua no modelo white label, criando sua própria marca e cuidando da relação com os clientes, mas terceiriza as operações de Pix por não possuir autorização direta.
A quadrilha subtraiu R$ 26 milhões de contas de clientes da FictorPay, distribuindo os valores em centenas de contas laranja via Pix. Outros clientes da Celcoin que utilizam os serviços da Diletta reportaram perdas de cerca de R$ 14 milhões, segundo fontes do setor financeiro.
Como Ocorreu o Furto Via Pix
O ataque explorou a estrutura de serviços terceirizados. A FictorPay mantém o dinheiro do cliente em uma conta bolsão. A Celcoin, autorizada a operar no Pix, cria contas individuais para os clientes da FictorPay e realiza as transações financeiras. A Diletta era responsável pelo desenvolvimento do aplicativo da FictorPay e do sistema que conecta o cliente à Celcoin. Ao hackear a Diletta, os criminosos ganharam acesso aos sistemas da Fictor e de outras instituições de pagamento. Por meio do sistema da Diletta, enviaram comunicações falsas à Celcoin, ordenando a transferência de fundos dos clientes para contas laranja controladas pelos criminosos.
O Banco Central e a Polícia Civil de São Paulo foram notificados do incidente. As empresas envolvidas e o Banco Central afirmam que seus sistemas permaneceram íntegros e não foram violados, atribuindo a falha de segurança ao provedor de tecnologia contratado pela FictorPay.
A Celcoin informou ter desconectado a FictorPay e outras instituições afetadas do Pix. A empresa de serviços bancários assegurou que suas operações e ambientes permanecem estáveis e seguros, em conformidade com as normas do Banco Central do Brasil, e que está apoiando o cliente nas investigações e na recuperação dos valores.
Reclamações de clientes da corretora de valores Sim;paul, controlada pela Binance, também foram encontradas. No entanto, a Sim;paul declarou que o incidente não resultou no desvio de recursos de seus usuários. Embora as empresas afetadas não detalhem a responsabilidade pelo prejuízo, fontes indicam que o caso recai sobre a Diletta, que coopera com as autoridades na investigação e identificação dos autores. As instituições financeiras se consideram vítimas do ataque.
A Diletta reafirmou o compromisso com a segurança dos clientes e a resolução da situação, sem identificar exposição de dados pessoais durante o ataque. A empresa prometeu transparência no processo investigativo.
A Secretaria de Segurança Pública do Estado de São Paulo informou não ter localizado o boletim de ocorrência. A Associação Brasileira de Fintechs não comentou o caso.
Fonte: Folha de S.Paulo
