Um novo ataque hacker atingiu o Pix, resultando no roubo de aproximadamente R$ 40 milhões. O golpe explorou vulnerabilidades em sistemas intermediários de tecnologia que operam com o Pix, revelando uma nova frente de fragilidade dentro do ecossistema financeiro digital.
A invasão teve como alvo a Diletta Solutions, empresa de tecnologia sediada no polo de inovação da Unicamp, em Campinas (SP). Segundo nota divulgada nesta terça-feira (21), a companhia confirmou o incidente e informou que adotou medidas emergenciais, notificando tanto o Banco Central quanto as autoridades policiais.
A Diletta desenvolve sistemas e aplicativos voltados a instituições financeiras e fintechs, sendo uma das principais fornecedoras de infraestrutura do setor.
Incidente envolvendo Pix
Entre os clientes afetados está a FictorPay, braço do conglomerado Fictor, que oferece serviços de pagamento em formato white label. Nesse modelo, as empresas utilizam a infraestrutura de instituições licenciadas, mantendo apenas a interface com o cliente final. No caso da FictorPay, a Celcoin processa as transações via Pix, gerencia a camada operacional e cria as contas vinculadas dos usuários.
De acordo com informações preliminares, os hackers conseguiram invadir o ambiente da Diletta, explorando falhas na comunicação entre seus servidores e os sistemas da Celcoin. Com esse acesso, enviaram ordens falsas de transferência, que foram executadas automaticamente. O esquema resultou no desvio de cerca de R$ 26 milhões de contas da FictorPay e mais R$ 14 milhões de outras empresas conectadas à mesma infraestrutura.
Confira nossas sugestões de Pre-Sales para investir agora
A Celcoin e a FictorPay garantem que mantêm seus sistemas principais íntegros e atribuem o ataque ao elo intermediário da Diletta, responsável por integrar os aplicativos das fintechs à camada bancária. As companhias comunicaram o Banco Central e afirmam que a estrutura oficial do Pix segue intacta. Mesmo assim, a Celcoin suspendeu temporariamente as operações das empresas ligadas à Diletta até restabelecer completamente a segurança.
Ataque hacker ao PIX mostra fragilidade do sistema
Em comunicado, a Diletta declarou que coopera com as investigações e tenta rastrear o destino dos valores desviados. A empresa negou qualquer vazamento de dados pessoais, mas reconheceu o impacto financeiro do ataque e afirmou estar em diálogo com clientes e autoridades para viabilizar o ressarcimento dos prejuízos.
Especialistas em segurança digital alertam que ataques como esse reforçam a necessidade de auditorias regulares e de uma maior integração entre fintechs e órgãos reguladores.
“O caso mostra que o ponto fraco não está no Pix, mas nas empresas que operam entre o usuário e o sistema financeiro. O mercado financeiro precisa tratar a segurança de forma compartilhada”, afirmou o analista Rafael Figueira, da consultoria CyberTrust.
Outras plataformas que utilizam sistemas semelhantes, como a corretora Sim;paul, controlada pela Binance, registraram breves instabilidades, mas não sofreram perdas financeiras. Além disso, a empresa reforçou seus protocolos de proteção e informou que nenhum dado sensível foi comprometido.
Até o momento, nenhuma das companhias envolvidas detalhou como fará a devolução dos valores roubados. O caso está sob investigação, e o Banco Central acompanha o processo de apuração em conjunto com as autoridades de segurança de São Paulo, que ainda não registraram boletim de ocorrência oficial.