btg-pactual-pix-attack-2026

# Ataque BTG Pactual - Fraude PIX 2026 > [!danger] R$ 100 milhões desviados do maior banco de investimentos independente da América Latina via PIX > Em 22 de marco de 2026, o BTG Pactual sofreu um ataque cibernetico que desviou R$ 100 milhões via Conta PI no Banco Central. O incidente e o terceiro ataque confirmado ao ecossistema PIX em marco de 2026, integrando uma onda sistematica contra o sistema financeiro brasileiro. Atribuicao e vetor inicial nao foram confirmados públicamente. ## Visão Geral Em 22 de março de 2026, o BTG Pactual - maior banco de investimentos independente da América Latina - sofreu um ataque cibernético que resultou no desvio de **R$ 100 milhões** de recursos institucionais mantidos pelo banco junto ao Banco Central do Brasil via **Conta PI** (Conta de Pagamentos Instantâneos). A maior parte dos valores foi recuperada; entre R$ 20-40 milhões permanecem em processo de restituição. O incidente é o **terceiro ataque ao ecossistema PIX** confirmado em março de 2026, precedido por incidentes no MP-GO e no Pefisa, integrando uma onda de ataques a instituições do sistema financeiro brasileiro documentada desde 2024. > **Status de atribuição:** Grupo e malware não identificados públicamente até 2026-03-25. ## Cronologia do Incidente | Data/Hora | Evento | |-----------|--------| | 2026-03-22 ~06h00 | Banco Central identifica irregularidades nas operações PIX do BTG | | 2026-03-22 manhã | BTG recebe alerta do BC; detecta "atividades atípicas" | | 2026-03-22 | BTG suspende preventivamente todas as operações PIX | | 2026-03-22 | Valores desviados pulverizados em contas mulas (Caixa, BB, Bradesco, Itaú, Inter, PicPay, Mercado Pago) | | 2026-03-22/23 | Parte dos recursos convertida em criptomoedas | | 2026-03-23 | BTG retoma operações PIX gradualmente | | 2026-03-24 | Banco Central anuncia reforço de segurança na Conta PI | ## Impacto ```mermaid pie title Valores R$ 100M desviados "Recuperados" : 70 "Em restituição (estimativa)" : 30 ``` - **Valor desviado:** R$ 100 milhões (confirmado - Polícia Federal investiga cifra de até R$ 230 milhões) - **Valor recuperado:** Estimativa de ~R$ 60-80M; entre R$ 20-40M em processo de restituição - **Clientes afetados:** Nenhum cliente teve contas acessadas ou dados expostos - **Origem dos fundos:** Conta PI do BTG junto ao Banco Central (reservas institucionais) - **Serviços interrompidos:** PIX suspenso por ~24 horas ## Modus Operandi O ataque explorou a **Conta PI** - conta que instituições financeiras mantêm no Banco Central para liquidação de transações PIX em tempo real. A fraude foi localizada nos sistemas do BTG; o sistema PIX central do BC não foi comprometido. ```mermaid graph TB A[Comprometimento Inicial<br/>Vetor desconhecido] --> B[Acesso à Conta PI<br/>do BTG no BC] B --> C[Movimentações não autorizadas<br/>R$ 100M] C --> D[Pulverização em contas mulas] D --> E[Caixa / BB / Bradesco / Itaú] D --> F[Inter / PicPay / Mercado Pago] E --> G[Conversão em criptomoedas] F --> G G --> H[Saída de capital<br/>R$ 20-40M não recuperados] ``` **TTPs observadas:** - [[t1078-valid-accounts|T1078 - Valid Accounts]]: Uso de credenciais/acessos legítimos comprometidos - [[t1657-financial-theft|T1657 - Financial Theft]]: Desvio direto de ativos financeiros via sistema PIX - [[t1195-002-supply-chain-compromise|T1195.002]]: Possível comprometimento via fornecedor (investigação em andamento) ## Onda de Ataques ao Ecossistema PIX 2025-2026 Este ataque integra uma série de incidentes de alta materialidade ao [[financial|setor financeiro]] brasileiro: | Data | Alvo | Valor Estimado | Observações | |------|------|---------------|-------------| | Jul/2025 | C&M Software | ~R$ 800M | Múltiplos bancos via fornecedor de TI | | Set/2025 | Sinqia | ~R$ 710M | HSBC/Artta; parte bloqueada pelo BC | | Mar/2026 | MP-GO | N/D | 1º incidente de março/2026 | | Mar/2026 | Pefisa | N/D | 2º incidente de março/2026 | | **Mar/2026** | **BTG Pactual** | **R$ 100M** | **3º incidente - este registro** | > **Hipótese de atribuição:** Indícios operacionais sugerem possível continuidade do grupo responsável pelos ataques à C&M Software e Sinqia (jul-set/2025), dado o padrão de ataque similar a fornecedores/infraestrutura PIX. Sem confirmação pública disponível. ## Resposta ### BTG Pactual - Suspensão imediata do PIX ao detectar anomalia (~06h de 22/03) - Investigação interna com suporte do Banco Central - Comúnicado oficial confirmando ausência de impacto a clientes - Retomada gradual dos serviços PIX em 23/03/2026 ### Banco Central do Brasil - Detecção ativa da anomalia às ~06h00 de 22/03 - Alerta imediato ao BTG para suspensão de operações - Confirmação que o incidente foi localizado no BTG (PIX central íntegro) - Anúncio em 24/03/2026: reforço de medidas de segurança na Conta PI para todas as instituições participantes, visando detecção rápida de fraudes ## Inteligência Pendente - [ ] Identificação do ator de ameaça e grupo responsável - [ ] Vetor de comprometimento inicial (phishing? insider? supply chain?) - [ ] Malware específico utilizado (sem confirmação até 25/03) - [ ] Destino final dos R$ 20-40M não recuperados - [ ] Resultado da investigação da Polícia Federal ## Notas de Contexto A [[gopix-campaign|GoPix Campaign]] (ativa desde 2023) demonstra TTPs de fraude PIX via trojan bancário - intercepção no clipboard, substituição de chaves PIX. **Sem relação confirmada** com o ataque ao BTG, que envolveu magnitude financeira e vetores distintos. ## Referências - [G1 Globo - BTG tem desvio de R$ 100 milhões em ataque hacker](https://g1.globo.com/economia/noticia/2026/03/22/btg-tem-desvio-de-cerca-de-r-100-milhoes-em-ataque-hacker-e-suspende-operacoes-com-pix.ghtml) - [Gazeta do Povo - BTG Pactual suspende PIX após ataque](https://www.gazetadopovo.com.br/economia/btg-pactual-suspende-pix-após-identificar-ataque-hacker-em-seus-sistemas/) - [Agência Brasil - BC reforça segurança após incidente](https://agenciabrasil.ebc.com.br/economia/noticia/2026-03/bc-reforca-segurança-em-contas-de-instituicoes-no-sistema-de-pagamento) - [Vejá - BTG sofre ataque hacker com desvio de R$ 100 milhões](https://vejá.abril.com.br/economia/btg-pactual-sofre-ataque-hacker-com-desvio-de-r100-milhoes-e-deixa-pix-fora-do-ar/) - [Contabeis - Mais um incidente de segurança com o PIX](https://www.contabeis.com.br/artigos/75746/mais-um-incidente-de-segurança-com-o-sistema-pix/)