Fintech FictorPay sofre ataque hacker e perde R$ 26 milhões em transações Pix
Criminosos cibernéticos invadiram o sistema da fintech FictorPay, controlada pela holding Fictor, no domingo (19 de outubro de 2025), em São Paulo. O ataque resultou no desvio de pelo menos R$ 26 milhões por meio de 280 transações via Pix para 270 contas laranjas em diversos bancos e fintechs. A brecha explorada ocorreu em aplicativos internos da empresa, permitindo acesso a uma conta de prestadora de serviços.
A FictorPay, fundada em 2007 e com cerca de 4 mil funcionários, atua em serviços financeiros e faturou R$ 3,5 bilhões em 2024. O incidente soma-se a uma série de invasões recentes no setor financeiro brasileiro, destacando vulnerabilidades em provedores de tecnologia.
Investigações preliminares indicam que o golpe não afetou diretamente os sistemas do Banco Central, mas expôs falhas em conexões terceirizadas.
- Hackers usaram credenciais de fornecedores para acessar o ambiente.
- Transferências ocorreram sem limite de valor imposto pelo BC.
- Contas de reserva de instituições foram alvos em casos semelhantes.
Detalhes do mecanismo de invasão
Os invasores identificaram uma falha em um aplicativo white label utilizado pela FictorPay para operações internas. Essa vulnerabilidade permitiu a realização de saques rápidos, contornando restrições do Pix.
A prestadora Celcoin, parceira da fintech, confirmou movimentação atípica em uma conta de cliente, mas negou qualquer comprometimento em sua infraestrutura. Especialistas em cibersegurança foram acionados imediatamente para isolar o problema.
Respostas das empresas envolvidas
A FictorPay emitiu nota informando que a atividade irregular ocorreu em ambiente de prestador de serviços compartilhado com outras companhias. Medidas de contenção foram adotadas, e a empresa colabora com autoridades para recuperação de valores.
A Celcoin bloqueou operações preventivamente e alertou o cliente afetado. Análises apontam que o incidente origina-se de uma provedora de soluções de aplicativos, impactando múltiplos players do mercado de Banking as a Service (BaaS).
Nenhuma invasão foi registrada nos sistemas da Celcoin, que permanecem em conformidade com normas do Banco Central.
Medidas regulatórias recentes do BC
Em setembro de 2025, o Banco Central estabeleceu limites de R$ 15 mil para operações via Pix e TED em instituições não autorizadas ou conectadas por prestadores de serviços de tecnologia (PSTIs). Essa norma visa mitigar riscos de desvios em massa.
Participantes que adotem controles de segurança avançados podem solicitar dispensa temporária do teto por até 90 dias. A partir de agora, novas instituições de pagamento exigem autorização prévia do BC.
Empresas em operação devem regularizar status até maio de 2026, sob pena de encerramento de atividades em 30 dias.
O BC monitora continuamente o Sistema de Pagamentos Brasileiro (SPB) para identificar padrões de fraudes.
Sequência de incidentes no setor financeiro
O ataque à FictorPay representa o quinto caso em três meses, seguindo invasões à C&M Software, Sinqia, Monbank e E2 Pay. Esses episódios ocorreram entre junho e outubro de 2025, com prejuízos totais estimados em mais de R$ 1,7 bilhão.
Leia Também
Ambiente de desenvolvimento Apple Xcode 26.6 surpreende com integração do Google Gemini e expansão da IA
Xiaomi lança correções importantes para HyperOS 3 visando câmera e superaquecimento em celulares de ponta
iOS 27 chega com melhorias significativas e recursos de inteligência artificial que transformam a experiência do iPhone
Na C&M Software, em junho, hackers desviaram R$ 1 bilhão via credenciais vendidas por funcionário interno, levando à prisão de João Nazareno Roque pela Polícia Civil de São Paulo. A BMP, provedora de BaaS, perdeu R$ 541 milhões nesse golpe.
A Sinqia sofreu rombo de R$ 710 milhões em agosto, com R$ 360 milhões bloqueados pelo BC; a exploração envolveu credenciais de fornecedores de TI.
Prejuízos acumulados e recuperação
A Monbank, fintech gaúcha, teve R$ 4,9 milhões desviados em setembro, recuperando R$ 4,7 milhões rapidamente. O caso da E2 Pay, também em setembro, não resultou em perdas financeiras diretas, mas expôs falhas no Pix sem vazamento de dados.
No geral, o BC recuperou cerca de 50% dos valores em ataques recentes, graças a bloqueios em contas laranjas. Investigações da Polícia Federal prosseguem em múltiplos fronts.
Esses eventos reforçam a necessidade de auditorias regulares em conexões ao SPB, incluindo TEDs e boletos.
Posicionamento das autoridades
O Banco Central não emitiu comunicado oficial sobre o incidente na FictorPay até o momento. No entanto, a autoridade monetária coordena ações com a Polícia Federal para rastrear fluxos de recursos desviados.
Agentes investigativos focam em redes de contas laranjas usadas para lavagem de dinheiro oriundo de golpes cibernéticos.
Parcerias com fintechs visam aprimorar protocolos de autenticação multifator.
Estratégias de mitigação em debate
Empresas do setor implementam treinamentos para funcionários sobre phishing e engenharia social, comuns em breaches iniciais. Atualizações de software ocorrem mensalmente para fechar vulnerabilidades conhecidas.
O uso de inteligência artificial para detecção de anomalias em transações ganha adesão, reduzindo tempos de resposta a fraudes.
Auditorias independentes de terceiros fortalecem a cadeia de fornecedores.
