--- title: "Roubo via PIX aumenta para R$40 milhões: Ataque a fintechs explora falha em startup de tecnologia financeira" author: "Gabriela P. Torres" date: "2025-10-23 17:41:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/23/roubo-via-pix-aumenta-para-r40-milhoes-ataque-a-fintechs-explora-falha-em-startup-de-tecnologia-financeira/md" --- # Ataque a startup financeira resulta em desvio de R$ 40 milhões via PIX No último domingo, 19 de outubro de 2025, uma falha de segurança resultou em uma das operações cibercriminosas mais diretas do ano no sistema financeiro brasileiro. Pelo menos R$ 40 milhões foram desviados de diversas instituições financeiras através de comandos PIX fraudulentos. O epicentro da falha, segundo as informações divulgadas, foi a Diletta Solutions, uma empresa de tecnologia sediada na agência de fomento da Unicamp, em Campinas (SP). O incidente já foi comunicado ao Banco Central e à Polícia Civil de São Paulo, expondo uma vulnerabilidade crítica na cadeia de serviços que conecta fintechs a seus clientes. ## A Lógica da Falha: O Elo Mais Fraco Para entender o ataque, é preciso analisar a estrutura operacional. Se uma fintech, como a FictorPay, oferece serviços de pagamento, *então* ela precisa de uma infraestrutura tecnológica para processar as transações. Nesse caso, a FictorPay utilizava os sistemas da Diletta Solutions para intermediar a comunicação com a Celcoin, a instituição responsável por liquidar as operações PIX. A vulnerabilidade, portanto, não estava no sistema PIX do Banco Central, nem diretamente nos cofres da FictorPay ou da Celcoin, mas no mensageiro: a Diletta. De acordo com fontes do setor financeiro, os criminosos exploraram esse elo. Ao acessarem o ambiente tecnológico da Diletta, eles conseguiram enviar ordens de transferência falsas diretamente para a Celcoin. O resultado foi uma sangria financeira: R$ 26 milhões foram retirados de contas ligadas à FictorPay e outros R$ 14 milhões de outras empresas que utilizavam a mesma infraestrutura. A operação funcionou como um desvio lógico: os comandos pareciam legítimos, mas sua origem era fraudulenta, direcionando os fundos para contas de laranjas. ## O Jogo de Empurra Corporativo Após a detecção do rombo, a troca de responsabilidades começou. Em uma sequência previsível de comunicados, tanto a FictorPay quanto a Celcoin afirmaram que seus sistemas principais permaneceram íntegros. A conclusão lógica, apresentada por ambas, é que a falha é de responsabilidade exclusiva da Diletta Solutions. A Celcoin agiu rapidamente, suspendendo a FictorPay e outras instituições conectadas à Diletta de sua rede para estancar o prejuízo, conforme informou em nota. A Diletta Solutions, por sua vez, confirmou o incidente em um comunicado divulgado na terça-feira (21), declarando que está cooperando com as autoridades e dialogando com as empresas afetadas para “viabilizar o ressarcimento dos prejuízos”. A startup também ressaltou que, até o momento, não identificou vazamento de dados pessoais dos clientes. A declaração, embora necessária, deixa a questão central em aberto: quem, de fato, pagará a conta de R$ 40 milhões? ## Impacto, Consequências e o Silêncio das Autoridades O caso levanta um alerta severo para o ecossistema de fintechs no Brasil, que frequentemente opera sob o modelo *white label*, terceirizando a complexa infraestrutura bancária. Empresas como a corretora Sim;paul, controlada pela Binance, relataram instabilidades, mas negaram perdas financeiras, afirmando terem reforçado seus protocolos de segurança. Enquanto o Banco Central foi notificado, um fato curioso foi apontado pela fonte: a Secretaria de Segurança Pública do Estado de São Paulo informou não ter localizado um boletim de ocorrência registrado sobre o ataque. Essa aparente desconexão burocrática adiciona uma camada de incerteza ao processo de investigação. A Associação Brasileira de Fintechs, por sua vez, optou por não se manifestar sobre o ocorrido. O desfecho deste caso será um precedente importante. Enquanto os milhões desviados são rastreados em um labirinto de contas de passagem, a pergunta fundamental permanece sem uma resposta clara. A confiança no crescente mercado de fintechs depende diretamente da capacidade das empresas de provar que a segurança de seus clientes é uma premissa verdadeira, e não apenas uma variável em uma equação de terceirização de serviços.