Notícia: Fintech brasileira sofre ataque e perde R$ 26 milhões em desvio via Pix

Notícia: Fintech brasileira sofre ataque e perde R$ 26 milhões em desvio via Pix
calendar_month4 meses atrás list_alt

 A fintech FictorPay foi alvo de um ataque cibernético que resultou no desvio de aproximadamente R$ 26 milhões em movimentações não autorizadas via Pix. 

O que aconteceu

A ação criminosa envolveu cerca de 282 transações realizadas por meio de Pix para aproximadamente 270-280 contas “laranja”, distribuídas entre mais de 30 instituições financeiras e fintechs. 


O ataque aparentemente não foi diretamente à infraestrutura da FictorPay, mas sim a uma prestadora de serviços (empresa de software white-label) que trabalhava para a fintech. Essa vulnerabilidade permitiu o acesso aos sistemas de parceiro e facilitação das transferências.

Por que isso é relevante

  • O incidente evidencia que os riscos para o setor financeiro moderno não se limitam aos bancos tradicionais, mas se estendem às fintechs e aos provedores de tecnologia associados.
  • A utilização do Pix torna o golpe ainda mais ágil, com liquidação instantânea, o que dificulta o bloqueio a tempo das operações.
  • Reguladores como o Banco Central do Brasil (BC) já vinham estudando regras mais rígidas para transações via Pix e provedores de serviços de tecnologia, e esse caso reforça essa urgência.

Impactos para fintechs e usuários

Para as fintechs, o alerta é claro: não basta apenas proteger os seus próprios sistemas-seu ecossistema de fornecedores e parceiros precisa de controle rigoroso. Para os usuários finais, vale ficar atento a movimentações incomuns na conta, especialmente em instituições menores ou que operam via “bank as a service” (BaaS). 

O que fazer para mitigar riscos

  1. Mapear a cadeia de fornecedores — conhecer todas as empresas que têm acesso às suas credenciais e dados, e exigir auditorias regulares.
  2. Implementar autenticação forte e segmentação de acesso para sistemas críticos, inclusive para parceiros terceirizados.
  3. Monitorar transações atípicas em tempo real, com alertas para volumes e padrões fora do padrão; e bloquear imediatamente quando algo suspeito for detectado.
  1. Treinar colaboradores e parceiros para reconhecerem phishing, engenharia social e outros vetores de ataque que frequentemente precedem invasões.
  1. Comunicar e responder rápido, quando uma infração ocorrer, agir de forma transparente com clientes, regulador e mercado, o que ajuda a mitigar danos à reputação.

 O episódio da FictorPay serve como um wake-up call para o ecossistema de pagamentos no Brasil: à medida que a inovação avança e mais provedores entram no jogo, os controles de segurança precisam evoluir na mesma velocidade. A confiança do usuário e a integridade dos sistemas financeiros dependem disso.

Fonte: Techtudo

Também pode te interessar

Acesse outros conteúdos

O que gestores precisam entender sobre riscos digitais, mesmo sem serem técnicos
Cibersegurança

O que gestores precisam entender sobre riscos digitais, mesmo sem serem técnicos

A transformação digital deixou de ser responsabilidade exclusiva da área de TI. Hoje, decisões tecnológicas impactam diretamente o financeiro, a operação, o jurídico e(...)

Leia mais
IA nas empresas: como aproveitar sem comprometer a segurança
Cibersegurança

IA nas empresas: como aproveitar sem comprometer a segurança

A Inteligência Artificial (IA) já faz parte da rotina de muitas empresas. Ela ajuda a automatizar tarefas, analisar dados, melhorar o atendimento ao cliente(...)

Leia mais
Zero Trust: como aplicar o modelo de segurança que está conquistando as empresas
Cibersegurança

Zero Trust: como aplicar o modelo de segurança que está conquistando as empresas

Durante muito tempo, a segurança digital das empresas funcionou com uma lógica simples: tudo o que estava “dentro” da rede era considerado confiável. O(...)

Leia mais