Como criminosos conseguiram fugir com mais de R$ 40 milhões sem que ninguém percebesse

O último fim de semana poderia muito bem ter saído de um roteiro policial, daqueles em que o crime perfeito acontece em silêncio e por trás das cortinas. Enquanto ladrões em Paris roubavam joias preciosas de dentro do Museu do Louvre, um assalto digital milionário se desenrolava no Brasil — sem armas, sem máscaras e sem que ninguém percebesse.

Na tarde do domingo (19), hackers invadiram o sistema da Diletta, uma prestadora de serviços brasileira, e drenaram mais de R$ 40 milhões de diferentes fintechs, bancos e empresas de serviços financeiros, segundo estimativas não oficiais reveladas ao Seu Dinheiro. 

De acordo com fontes, depois de adentrarem nos sistemas da Diletta, os hackers realizaram centenas de transações via Pix para outros bancos e fintechs.

• LEIA TAMBÉM: Quer saber onde investir com mais segurança? Confira as recomendações exclusivas do BTG Pactual liberadas como cortesia do Seu Dinheiro

Quando o Banco Central (BC) percebeu que tinha algo de errado, o dinheiro já havia sumido, pulverizado por entre contas-laranja em bancos, fintechs e carteiras digitais.

Entre as vítimas está a FictorPay, subsidiária da holding Fictor, que atua nos setores de alimentos, infraestrutura e finanças. Segundo fontes ouvidas pelo Seu Dinheiro, o prejuízo da fintech passa de R$ 6 milhões. 

Em nota, a FictorPay afirmou que foi comunicada sobre uma “atividade irregular em ambiente tecnológico de um prestador de serviços que atende diversas companhias”.

A companhia usava os serviços da Celcoin, uma provedora de infraestrutura que fazia a ponte entre a instituição financeira e o sistema do Pix, e da Diletta, uma provedora de tecnologia white label que fazia a interface para os aplicativos. Foi justamente por essa porta lateral que os criminosos entraram.

Segundo fontes do mercado, no domingo, o Banco Central percebeu que as transações de Pix não pareciam seguir um fluxo normal de operações e entrou em contato com as instituições afetadas.

A FictorPay informou que a investigação está sendo conduzida pela própria Diletta, com apoio de especialistas em segurança cibernética, e que não há indícios de invasão aos seus sistemas internos.

Já a Celcoin afirma que "não houve qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional".

"Foi identificada uma movimentação atípica na conta de um cliente, prontamente detectada por nossos sistemas de monitoramento. Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente", disse a empresa, em nota.

A empresa acrescenta que, como a origem do incidente está na empresa provedora de soluções de aplicativo white label, o ataque impactou diversos players de Banking as a Service (BaaS) e Core Banking, sem qualquer relação com a Celcoin.

Procurada pelo Seu Dinheiro, a Diletta não respondeu até a publicação desta reportagem. O Banco Central também não se manifestou sobre o caso.

Mais um assalto “invisível”

O ataque à Diletta é mais um capítulo de uma série de crimes que vêm abalando o sistema financeiro nacional e reforça um padrão: criminosos têm preferido atacar os bastidores do sistema, não as instituições principais.

Desde junho, nomes como C&M Software, Sinqia, Monbank e E2 Pay foram vítimas de esquemas semelhantes — todos explorando vulnerabilidades em empresas que operam longe dos holofotes, mas essenciais para o funcionamento do Sistema de Pagamentos Brasileiro (SPB).

Essas prestadoras de serviços de tecnologia são responsáveis por conectar bancos e fintechs ao ambiente de liquidação do Pix, gerido pelo Banco Central. E é justamente nesse elo que os criminosos vêm encontrando brechas.

O ataque mais grave aconteceu em junho, contra a C&M, e gerou o maior prejuízo já registrado no setor: mais de R$ 1 bilhão desviados. As investigações apontaram o envolvimento de um funcionário interno, acusado de vender credenciais de acesso aos invasores. Ele acabou preso.

Dois meses depois, foi a vez da Sinqia, com R$ 670 milhões roubados. O BC conseguiu bloquear parte do valor, mas o episódio reforçou um alerta: os ataques estão se sofisticando, e as brechas, mudando de lugar.

O "modus operandi" do ataque hacker

No caso da Diletta, o "modus operandi" foi parecido. O golpe explorou uma vulnerabilidade própria da empresa, e não o roubo de chaves Pix ou acessos conectados ao BC, como ocorreu nas invasões anteriores, segundo uma fonte. 

Outra fonte próxima à investigação afirmou que o ataque hacker ocorreu somente na Diletta, que possui credenciais de acesso às contas, e que, "com a ajuda de alguém de dentro da empresa que foi coagido, o hacker teria conseguido realizar as transferências por Pix".

"O tipo de ataque é aquele que já está sendo falado no mercado há um tempo. Os hackers fazem a coação de funcionários de uma empresa de tecnologia, conseguem acessar os sistemas internos e fazer a operacionalização do golpe. Neste caso, foi somente nas contas digitais dos clientes da Diletta que eles conseguiram fazer os cash-outs em Pix", disse uma fonte.

Na avaliação de Marco Zanini, CEO da Dinamo Networks e especialista em cibersegurança, o que aconteceu foi uma invasão de um aplicativo vendido no modelo de white label — que permite que o banco que adquira a tecnologia possa usá-lo com a própria marca — que se comunicava com um core central que fazia as transações.

"Parece que o aplicativo foi invadido e começou a simular transações Pix, passando isso para o backoffice bancário e distribuindo esses valores em um volume grande, em mais de 250 contas", avaliou Zanini.

Para o especialista, o ataque hacker destaca dois erros básicos:

1. O aplicativo não tinha um sistema de blindagem/proteção que impedisse que ele fosse invadido e que se simulassem transações.
2. Do outro lado, no core bancário, provavelmente não existiam múltiplos fatores de autenticação desse aplicativo, o que permitiu que uma invasão conseguisse se autenticar no core bancário e realizasse as transações.

Outra fonte que acompanha o caso afirma que se tratou de um ataque direto à FictorPay, embora a empresa negue.

A reação do BC à sequência de ataques hacker

O aumento dos ataques hacker a fintechs acendeu um sinal vermelho no BC. No início de setembro, a autarquia anunciou novas regras de segurança para fintechs e instituições de pagamento conectadas ao sistema financeiro nacional.

Entre as medidas, o BC impôs um teto de R$ 15 mil para transferências via TED e Pix realizadas por instituições de pagamento não autorizadas diretamente pela autarquia e que dependem de intermediários tecnológicos.

• Leia também: Uso de fintechs pelo crime organizado leva Receita a endurecer regras e exigir mesmo tratamento que o de grandes bancos; veja o que muda

Além disso, nenhuma fintech poderá operar sem autorização formal do BC a partir de maio de 2026.

As regras buscam conter a recente escalada de fraudes. Afinal, com o avanço do Pix e o crescimento de serviços de banking as a service, as engrenagens do sistema financeiro estão cada vez mais interligadas — e, consequentemente, mais vulneráveis.