Assalto Digital Milionário no Brasil: Pix e a Vulnerabilidade do Sistema Financeiro
Um fim de semana que poderia ter sido marcado por um assalto convencional deu lugar a um golpe digital de grande magnitude no Brasil. A invasão ao sistema da Diletta, uma prestadora de serviços financeiros brasileira, resultou no desvio de mais de R$ 40 milhões de diferentes fintechs, bancos e empresas de serviços financeiros. O ataque, sem armas ou máscaras, expôs a vulnerabilidade do sistema financeiro nacional, especialmente com a popularização do Pix.
O golpe, que se desenrolou na tarde de domingo (19), envolveu a drenagem de recursos através de centenas de transações via Pix para outros bancos e fintechs. A complexidade do ataque ressaltou a necessidade de uma análise aprofundada sobre a segurança das infraestruturas que sustentam o sistema de pagamentos brasileiro, que se tornou cada vez mais interligado e, consequentemente, mais suscetível a ataques cibernéticos.
A situação se agrava com o envolvimento de outras empresas, como a FictorPay, que sofreu um prejuízo de mais de R$ 6 milhões. A invasão ocorreu através de uma “porta lateral”, explorada por criminosos que utilizaram a Celcoin e a Diletta, provedoras de tecnologia white label, para realizar as transações. O Banco Central (BC) percebeu a anomalia e iniciou uma investigação, mas o dinheiro já havia sido pulverizado, evidenciando a velocidade e a sofisticação dos ataques.
A série de ataques a empresas como C&M Software, Sinqia, Monbank e E2 Pay, que ocorreram desde junho, reforça o padrão de criminosos que buscam explorar vulnerabilidades em empresas que operam longe dos holofotes, mas que são essenciais para o funcionamento do Sistema de Pagamentos Brasileiro (SPB). Essas prestadoras de serviços de tecnologia são responsáveis por conectar bancos e fintechs ao ambiente de liquidação do Pix, gerido pelo Banco Central, e, portanto, representam um elo estratégico para os invasores.
A Escalada dos Ataques e as Reações do BC
O aumento dos ataques hacker a fintechs acendeu um sinal vermelho no Banco Central (BC). Em resposta à escalada de fraudes, a autarquia anunciou novas regras de segurança para fintechs e instituições de pagamento conectadas ao sistema financeiro nacional. Entre as medidas, foi imposto um teto de R$ 15 mil para transferências via TED e Pix realizadas por instituições de pagamento não autorizadas diretamente pela autarquia.
Além disso, nenhuma fintech poderá operar sem autorização formal do BC a partir de maio de >
2026. As regras buscam conter a recente escalada de fraudes, considerando que o avanço do Pix e o crescimento de serviços de banking as a service tornaram as engrenagens do sistema financeiro cada vez mais interligadas — e, consequentemente, mais vulneráveis.