O sistema financeiro brasileiro voltou a ser alvo de cibercriminosos. No domingo (19), um novo ataque hacker resultou no desvio de pelo menos R$ 26 milhões da fintech FictorPay, especializada em serviços para empresas, como contas, empréstimos, antecipação de recebíveis e ferramentas de pagamento. Este é o quarto incidente cibernético registrado desde julho deste ano, quando ocorreu o maior roubo desse tipo na história do país, com prejuízo estimado em mais de R$ 1 bilhão.
De acordo com fontes do setor, nenhum sistema diretamente administrado pelo Banco Central foi comprometido neste novo caso. A autoridade monetária foi procurada, mas não comentou o episódio. O ataque surge cerca de seis semanas após o BC anunciar um conjunto de medidas voltadas ao reforço da segurança do Sistema Financeiro Nacional (SFN), com foco em fintechs que utilizam intermediários para se conectar à infraestrutura da instituição.
Os ataques recentes revelam um padrão preocupante. Em setembro, a fintech Monbank — nome fantasia da Monetarie — sofreu invasão em sua conta de reserva, com prejuízo de R$ 4,9 milhões. Na ocasião, os criminosos tentaram explorar o sistema via ambiente Pix, mas foram bloqueados. Em seguida, realizaram transferências via TED para contas de não clientes, utilizando brechas dentro do Sistema de Pagamentos Brasileiro (SPB).
Poucos dias antes do caso da Monbank, a Sinqia havia sido alvo de outro ataque cibernético — o segundo desde julho —, no qual hackers usaram credenciais legítimas para acessar o sistema. O montante desviado chegou a aproximadamente R$ 710 milhões, embora parte dos recursos tenha sido recuperada. Já o primeiro e mais grave incidente envolveu a empresa C&M Software, cuja vulnerabilidade foi explorada por criminosos para invadir a rede conectada ao Pix e realizar o roubo bilionário que marcou o início da onda de ataques.
Diante da escalada, o Banco Central reforçou a regulação do setor. As novas regras impuseram um limite de R$ 15 mil para operações via TED e Pix realizadas por instituições de pagamento não autorizadas ou conectadas ao SFN por meio de prestadores de serviços tecnológicos. O BC também determinou que nenhuma instituição de pagamento poderá operar sem autorização prévia e antecipou de dezembro de 2029 para maio de 2026 o prazo para que empresas solicitem aprovação formal para funcionamento.
