A fintech FictorPay foi vítima de um ataque cibernético que resultou no desvio de R$ 26 milhões de contas de clientes no último domingo, 19. A informação, inicialmente divulgada pelo site PlatôBR, foi confirmada pela reportagem. O incidente ocorreu devido a um vazamento de credenciais na Dilleta Solutions, empresa de software que presta serviços para a fintech, parte do Grupo Fictor.
Vazamento de Credenciais e Impacto em Outras Empresas
A Dilleta Solutions confirmou ter sido alvo de uma invasão em seus sistemas e informou que está colaborando com as autoridades policiais para investigar o ocorrido e identificar os responsáveis. Fontes indicam que outros parceiros da Dilleta também foram afetados, elevando o montante total desviado para pelo menos R$ 40 milhões. Em nota, a FictorPay assegurou que seus sistemas não foram diretamente comprometidos. Da mesma forma, a Celcoin, que atua como provedora de bank as a service (BaaS) para a FictorPay, declarou que o ataque não atingiu sua estrutura.
O BaaS é um modelo onde uma empresa oferece infraestrutura tecnológica para outras companhias que desejam disponibilizar serviços financeiros aos seus clientes.
Alerta do Banco Central e Movimentação Atípica
No domingo do ataque, a Celcoin, ao ser alertada pelo Banco Central (BC) sobre movimentações atípicas, comunicou a FictorPay sobre saídas em contas de clientes via Pix em volumes incomuns. A startup Dilleta, fundada em 2014 na Universidade Estadual de Campinas (Unicamp), é especializada no desenvolvimento de software e aplicativos, com mais de 110 funcionários.
Debate sobre Limites para Transações via Pix
Este incidente reacendeu a preocupação do Banco Central em relação aos limites de valor para transações via Pix. O BC estuda a possibilidade de impor limites ao montante de operações para todas as instituições financeiras, e não apenas para aquelas que utilizam Prestadores de Serviços de Tecnologia da Informação (PSTIs). Anteriormente, em setembro, o BC já havia estabelecido um limite de R$ 15 mil para transações Pix realizadas por instituições não autorizadas ou que se conectam à Rede do Sistema Financeiro Nacional (RFSN) através de PSTIs.
A limitação para instituições autorizadas, que já estava em discussão, ganhou urgência após o ataque de domingo, de acordo com fontes que acompanham o tema. É importante notar que a FictorPay, embora não seja uma participante direta do Pix, acessa o sistema através de outras empresas. As transações ocorridas no domingo, no entanto, não partiram de PSTIs, o que as isentou do limite de R$ 15 mil por movimentação.
A Celcoin, uma empresa autorizada e participante direta do Pix, oferecia à FictorPay a integração ao sistema de pagamentos por meio do modelo conhecido como “Pix Indireto”, atuando como titular da conta para pagamentos instantâneos.
Fonte: Estadão
