A fintech FictorPay foi alvo de um ataque cibernético que desviou R$ 26 milhões de clientes no último domingo, 19. O ataque foi revelado pelo site PlatôBR, e confirmado pelo Broadcast (sistema de notícias em tempo real do Grupo Estado).

O ataque ocorreu devido a um vazamento de credenciais da empresa de software Dilleta Solutions, que presta serviços para a fintech do Grupo Fictor.

A Dilleta confirma que foi vítima de uma invasão em seus sistemas. A empresa comunica em nota que está colaborando com as autoridades policiais para auxiliar na investigação do ocorrido e na identificação do seu autor. Segundo fontes, outros parceiros da Dilleta teriam sido afetados e o total desviado seria de pelo menos R$ 40 milhões.

A FictorPay afirma em nota que não teve seus sistemas afetados diretamente. A Celcoin, que presta serviço de bank as a service (BaaS) para a FictorPay, também informa que o ataque cibernético não foi direcionado à sua estrutura. Uma empresa de bank as a service fornece infraestrutura tecnológica para companhias que querem oferecer serviços financeiros.

No domingo, a Celcoin, alertada pelo próprio Banco Central (BC), comunicou à FictorPay a movimentação atípica em contas de clientes, com saídas via Pix em volumes acima do habitual.

A startup Dilleta foi fundada em 2014 por Michel Cusnir. A empresa surgiu dentro da Universidade Estadual de Campinas (Unicamp) e fica sediada atualmente no Parque Científico e Tecnológico da universidade. Tem mais de 110 funcionários e atua com o desenvolvimento de software e aplicativos.

Limite para transações via Pix

O ataque no fim de semana aumentou a preocupação do BC com o limite de valores para transações via Pix. A autarquia avalia impor limite ao montante para operações a todas as instituições, não só as que usam Prestadores de Serviços de Tecnologia da Informação (PSTIs).

Depois de ataques contra instituições financeiras, o BC estabeleceu em setembro um limite de R$ 15 mil para transações Pix para instituições não autorizadas ou que se conectam à Rede do Sistema Financeiro Nacional (RFSN) via PSTIs.

Uma limitação também nas transações para instituições autorizadas já estava em estudo na autarquia, e ganhou caráter de urgência após o ataque do último domingo, segundo pessoas que acompanham o tema de perto.

A FictorPay não é participante do Pix, e depende de outras empresas para ter acesso ao sistema. No entanto, as transações realizadas no domingo não partiram de PSTI, o que significa que não tiveram de respeitar o limite de R$ 15 mil por movimentação.

A Celcoin – uma empresa autorizada pelo BC e participante direta do Pix – ofertava à FictorPay integração ao sistema de pagamentos, no modelo conhecido como “Pix Indireto.” Na prática, ela servia como titular da conta de pagamentos instantâneos.