SÃO PAULO, SP (FOLHAPRESS) – Criminosos desviaram ao menos R$ 40 milhões de instituições financeiras no último domingo (19), após invadirem os sistemas da Diletta Solutions, uma startup que oferece serviços de tecnologia, como desenvolvimento de sistemas e aplicativos.

A empresa, que está sediada na agência de fomento da Unicamp, em Campinas, no interior de São Paulo, confirmou o ataque, em nota enviada nesta terça-feira (21). “Assim que o incidente foi identificado, a empresa tomou todas as diligências necessárias para tratar da situação com a máxima seriedade e responsabilidade.”

A instituição mais afetada foi a FictorPay, uma fintech do conglomerado Fictor que usa tecnologia da Diletta em seu app. No sistema de pagamentos instantâneos, a FictorPay opera com intermediação da instituição de pagamentos Celcoin -uma empresa que faz serviços bancários em nome de outras empresas.

No jargão, se diz que a FictorPay trabalha no modelo white label: a empresa cria uma marca e cuida da relação com os clientes, mas, como não está autorizada a atuar no Pix, todo o serviço oferecido é terceirizado.

A quadrilha levou R$ 26 milhões de contas de clientes da FictorPay e, usando o Pix, distribuiu as quantias em centenas de contas laranja. Outros clientes da Celcoin que também usam o serviço da Diletta relatam registros na casa de R$ 14 milhões, segundo pessoas do setor financeiro que acompanham o caso.

ENTENDA COMO ACONTECEU O FURTO

A FictorPay mantém o dinheiro do cliente em uma conta bolsão A Celcoin, que é quem está autorizada a atuar no Pix, cria contas individuais para os clientes da FictorPay. É ela quem faz transações financeiras, incluindo Pix, em nome dos clientes da FictorPay A FictorPay contrata a Diletta para desenvolver seu app e o sistema de tecnologia que faz a comunicação do cliente com a Celcoin O criminoso hackeou a Diletta e, por meio dela, conseguiu acesso aos sistemas da Fictor e de outras instituições de pagamento O criminoso usou o sistema da Diletta para mandar comunicações falsas para a Celcoin, determinando a transferência de dinheiro dos clientes A Celcoin, então, enviou dinheiro dos clientes das instituições financeiras para contas laranjas dos criminosos O Banco Central e a Polícia Civil de São Paulo foram notificados do ataque à Diletta, afirmaram as empresas envolvidas.

A Celcoin, a FictorPay e o Banco Central, que mantém o Pix, dizem que seus sistemas estão íntegros e não foram violados. As duas empresas atribuem a falha de segurança ao provedor de tecnologia contratado pela FictorPay.

A Celcoin disse ter desligado do Pix a FictorPay, assim como as outras instituições financeiras afetadas pelo incidente, cujas identidades não foram reveladas.

“Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, além de manter contato direto com as autoridades competentes”, disse a companhia que atua como provedora de serviços bancários. “Reforçamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil.”

A reportagem também encontrou reclamações de clientes da corretora de valores mobiliários Sim;paul, uma empresa controlada pela Binance. A Sim;paul disse que o incidente não gerou desvio de recursos dos seus usuários.

Embora as empresas afetadas não respondam em seus pronunciamentos quem vai se responsabilizar pelo prejuízo aos clientes, pessoas envolvidas nas operações da FictorPay e da Celcoin afirmam que o caso está nas mãos da Diletta, que, agora, coopera com as autoridades na investigação do caso e na identificação do autor do crime. As instituições financeiras se posicionam também como vítimas.

“A segurança dos nossos clientes é prioridade e estamos comprometidos em resolver essa situação da melhor forma possível”, disse a empresa que não identificou exposição de dados pessoais durante o ataque.

“Agradecemos a compreensão de todos e nos comprometemos a manter a transparência durante todo o processo de investigação do ocorrido”, acrescentou.

A Secretaria de Segurança Pública do Estado de São Paulo disse que não conseguiu localizar o boletim de ocorrência. A Associação Brasileira de Fintechs não quis se pronunciar.