Ataque hacker desvia R$ 26 milhões; entenda caso contra fintech brasileira — Foto: Reprodução/Unsplash/Towfiqu barbhuiya
Ataque cibernético à FictorPay marca quarto caso em três meses e reacende debate sobre segurança digital nas fintechs brasileiras; veja detalhes e análise de especialistas sobre o impacto
Por Cecile Mendonça, da Redação 21/10/2025
O sistema financeiro nacional foi novamente alvo de um ataque hacker. Dessa vez, a vítima foi a fintech FictorPay que teve um prejuízo de pelo menos R$ 26 milhões no último domingo (19). Con-trolada pela holding Fictor, a empresa foi fundada em 2007 e trata-se de uma empresa de partici-pações e gestão que atua nos setores de indústria alimentícia, serviços financeiros e infraestrutu-ra.
O golpe explorou uma falha em um aplicativo terceirizado contratado pela empresa. Os criminosos conseguiram realizar aproximadamente 280 transações via Pix, distribuídas em cerca de 270 contas laranja espalhadas por diversos bancos e fintechs. O Banco Central do Brasil, ao identificar movimentações suspeitas nas contas vinculadas à FictorPay, acionou a Celcoin - prestadora de serviços da fintech responsável pela infraestrutura do Pix - que, em nota, afirmou que não houve invasão em sua infraestrutura tech e garantiu que as operações suspeitas foram rapidamente bloqueadas. Veja a seguir mais detalhes sobre o caso e análise de especialistas em torno do ocorrido.
FictorPay sofre ataque hacker com prejuízo de R$ 26 milhões
O sistema financeiro brasileiro foi novamente alvo de criminosos digitais neste domingo (19), quando a fintech FictorPay teve aproximadamente R$ 26 milhões desviados em um sofisticado ataque hacker. O caso marca o quarto incidente de segurança cibernética no setor em apenas três meses, mesmo após o Banco Central implementar medidas mais rígidas de proteção.
A FictorPay, que oferece serviços financeiros para empresas como contas digitais, empréstimos, antecipação de recebíveis e soluções de pagamento, confirmou a invasão digital. O ataque acontece aproximadamente 45 dias após o BC anunciar novas regras para fortalecer a segurança do Sistema Financeiro Nacional (SFN), especialmente direcionadas às fintechs que dependem de prestadores de serviço terceirizados.
FictorPay sofre ataque hacker com prejuízo de R$ 26 milhões
Como funcionam os ataques hackers contra fintechs
Os criminosos têm explorado vulnerabilidades nos sistemas de integração entre fintechs e a infraestrutura bancária. Os ataques mais recentes utilizaram:
• Credenciais legítimas roubadas ou comprometidas
• Falhas em prestadores de serviços de tecnologia (PSTI)
• Brechas no Sistema de Pagamentos Brasileiro (SPB)
• Fraudes via TED e tentativas pelo Pix
Histórico de ataques cibernéticos em fintechs brasileiras
Setembro 2024: Monbank (Monetarie)
A fintech gaúcha Monbank perdeu cerca de R$ 4,9 milhões em um ataque que explorou o SPB. Os hackers utilizaram operações de TED para desviar recursos da conta de reserva da instituição. Uma tentativa anterior via Pix foi bloqueada pelo sistema de segurança do Banco Central.
Setembro 2024: Sinqia
A Sinqia sofreu sua segunda invasão desde julho, com criminosos usando credenciais legítimas para acessar sistemas internos. O desvio inicial foi de R$ 710 milhões, parte do valor foi posteriormente recuperada por ações coordenadas com autoridades.
Julho 2024: C&M Software
O primeiro e mais devastador ataque hacker contra o sistema financeiro brasileiro ocorreu em julho, quando criminosos exploraram vulnerabilidades na C&M Software, empresa conectada diretamente à infraestrutura do Pix. O prejuízo ultrapassou R$ 1 bilhão, marcando o maior caso de fraude digital já registrado no país.
Novas regras do Banco Central
Em resposta à escalada de crimes cibernéticos, o Banco Central do Brasil anunciou um pacote abrangente de medidas de segurança:
• Limites de Transação
• Valor máximo de R$ 15 mil para transferências via TED e Pix
• Restrição aplicada a empresas conectadas ao SFN via PSTI
• Monitoramento intensificado de operações suspeitas
• Autorização Obrigatória
• Nenhuma instituição de pagamento pode iniciar operações sem aprovação prévia do BC
• Processo de compliance mais rigoroso para novas fintechs
• Verificação detalhada de parceiros tecnológicos
• Prazo para regularização de fintechs sem autorização: maio de 2026 (antes era dezembro de 2029)
• Instituições devem comprovar conformidade com normas de segurança digital
• Penalidades para empresas que não se adequarem
Impacto dos ataques hackers
Desde julho de 2024, os ataques cibernéticos contra fintechs já somam R$ 1,74 bilhão em desvios identificados; 4 empresas afetadas em 3 meses; e centenas de contas corporativas impactadas. O mercado de fintechs brasileiro, um dos mais desenvolvidos do mundo, enfrenta agora o desafio de equilibrar inovação com segurança. As novas regras do BC representam um primeiro passo, mas o Dr. Daniell Roriz, advogado especialista em Direito Digital alerta que investimentos significativos em infraestrutura de cibersegurança ainda são necessários.
"O aprimoramento da cibersegurança no funcionamento das fintechs exige, além da adequação às recentes normas do Banco Central, a adoção de protocolos de segurança robustos, como a autenticação em dois fatores, o uso de operações criptografadas e o treinamento contínuo dos colaboradores", explica.
O especialista destaca que também é importante que, dentro do possível, haja uma homogeneidade entre as práticas das fintechs e aquelas adotadas pelas instituições bancárias já estabelecidas no Brasil. A ideia, segundo Roriz, seria estabelecer uma "submissão dessas empresas às mesmas diretrizes de segurança e responsabilização já vigentes no sistema financeiro tradicional".
A importância do investimento em camadas de segurança
Marcelo Grandchamp, especialista em Segurança da Informação e CEO da NOVVAX, também re-força que as normas do Banco Central, embora fundamentais para reger as operações financeiras do país, precisam ser acompanhadas de investimentos robustos em segurança. "As regras impõem que essas companhias sigam determinadas condições. No entanto, se você não fizer investimento adequado, você fica vulnerável a diversos tipos de ataques, seja uma invasão na infraestrutura, um ataque DDoS para derrubar servidores, ou falhas em aplicações que permitam, por exemplo, injeção de SQL", alerta.
O especialista enfatiza que a segurança da informação trabalha em camadas, exigindo múltiplas linhas de defesa. "É extremamente importante que você tenha um design da solução já feito com segurança desde o começo, utilizando metodologias para desenvolvimento seguro. Cada uma dessas etapas precisa ter validações e testes de vulnerabilidade", explica Grandchamp.
O desafio das soluções White Label
Sobre as aplicações White Label, que aparentemente estavam envolvidas nos casos recentes de ataques, Grandchamp esclarece: "Aplicações White Label são muito boas e facilitam o negócio das empresas. No entanto, toda vez que você faz uma customização dessas ferramentas, pode estar modificando questões que criam falhas ou brechas de segurança. Não é que elas sejam inseguras por natureza, mas se você fizer uma reconfiguração sem respeitar as condições de segurança, pode criar vulnerabilidades".
O CEO da NOVVAX destaca ainda a necessidade de investimentos em diversas frentes: nas plataformas de desenvolvimento, nas metodologias de criação de aplicações e em ferramentas que protejam essas aplicações durante seu uso operacional.
https://www.techtudo.com.br/noticias/2025/10/ataque-hacker-desvia-r-26-milhoes-entenda-caso-contra-fintech-brasileira-edsoftwares.ghtml