Ataque hacker à FictorPay expõe vulnerabilidades na cadeia de fornecedores das fintechs

O ataque hacker à FictorPay, fintech brasileira de pagamentos digitais, tornou-se um dos incidentes cibernéticos mais relevantes de 2025. Em poucas horas, criminosos desviaram cerca de R$26 milhões por meio de transações fraudulentas via Pix, expondo vulnerabilidades que vão além dos limites da empresa e alcançam toda a estrutura do seu sistema financeiro.

No conteúdo de hoje, você vai entender como o ataque hacker à FictorPay aconteceu, o que ele mostra sobre a segurança digital em ambientes corporativos e o que é possível fazer para evitar situações parecidas com a sua empresa.

Como o ataque à FictorPay aconteceu?

De acordo com a própria empresa, o ataque não começou em seus sistemas internos, mas sim em uma empresa terceirizada, a Dilleta Software, que é responsável por desenvolver e sustentar os principais sistemas utilizados pela fintech.

Os criminosos invadiram a rede da fornecedora e conseguiram acesso a credenciais de integração utilizadas para autenticar comunicações entre sistemas. Com essas autorizações, realizaram 280 transferências via Pix para 270 contas laranjas, abertas em diferentes instituições financeiras.

A ação foi rápida e coordenada: em poucas horas, cerca de R$26 milhões foram desviados, antes que os sistemas de prevenção a fraudes conseguissem bloquear as transações.

Em comunicado oficial, a FictorPay afirmou que nenhuma conta de cliente foi invadida diretamente, mas reconheceu o impacto financeiro e o risco operacional causado pela falha na cadeia de fornecedores. O Banco Central acompanha o caso e analisa novas medidas de segurança voltadas a instituições que operam com parceiros terceirizados em ambientes digitais.

O que o caso revela sobre segurança corporativa?

O incidente da FictorPay mostrou com clareza que a segurança digital não termina nos limites da própria empresa. Quando uma organização depende de fornecedores terceirizados para operar sistemas, processar dados ou integrar soluções, a vulnerabilidade de um parceiro se torna também a sua. A proteção precisa ser compartilhada por toda a cadeia tecnológica, com auditorias, monitoramento contínuo e critérios rigorosos de segurança contratual.

O caso também revelou outro ponto crítico: os clientes continuam sendo o principal alvo dos criminosos, mesmo quando não são diretamente atacados. Em situações como essa, o risco vai muito além do financeiro. A simples exposição de informações ou o atraso em transações pode gerar perda de confiança, danos à reputação e até ações judiciais e indenizações.

leia também: vazamento de dados por funcionários: como sua empresa pode prevenir

Como você pode evitar ataques hacker na sua empresa?

Mesmo que nenhum sistema seja totalmente imune a ataques cibernéticos, empresas que adotam práticas sólidas de segurança reduzem os riscos de invasões, e de como consequência, de golpes digitais que exploram brechas técnicas e humanas.

Veja algumas medidas que fortalecem não apenas a estrutura tecnológica, mas também a cultura de segurança entre colaboradores e parceiros:

• Revise a segurança dos seus parceiros de tecnologia: verifique como seus parceiros protegem os dados da empresa, se fazem atualizações e como tratam falhas de segurança. Uma brecha em um fornecedor pode comprometer toda a operação.
• Use verificação em duas etapas (2FA) e controle os acessos: a 2FA adiciona uma camada extra de segurança, pedindo uma segunda confirmação além da senha, como um código no celular. Já o controle de acessos limita quem pode entrar em cada sistema da empresa. Juntas, essas medidas reduzem os impactos de invasões e impedem o uso indevido de credenciais roubadas.
• Acompanhe movimentações em tempo real: mantenha alertas ativos para detectar comportamentos fora do habitual e bloqueie todos os acessos e movimentações suspeitas. Dessa forma você previne que invasores tenham acesso aos sistemas da empresa durante muito tempo, o que pode diminuir os prejuízos.
• Faça checagens de segurança com frequência: simule ataques e revise sistemas para encontrar falhas de segurança antes que hackers encontrem elas. Essas medidas também ajudam a evitar golpes que envolvem vírus maliciosos, como o golpe do Water Saci, atinjam a empresa de maneira significativa.
• Tenha um plano claro para lidar com incidentes: defina quem deve agir, como comunicar e quais passos seguir em casos de ataques. Uma resposta rápida e organizada reduz os danos e mostra comprometimento com a proteção dos dados.

Essas ações não apenas diminuem o risco de ataques, mas fortalecem a confiança, a resiliência e a reputação digital, elementos fundamentais para empresas que atuam com dados sensíveis.

Além disso, com o Davi, sua empresa pode se informar sobre e educar colaboradores e clientes sobre o mundo da segurança digital e sobre golpes e fraudes financeiras. Mais do que uma ferramenta, o Davi é um aliado na construção de uma cultura de segurança e conscientização digital.

Perguntas frequentes