Kadima Blog

Kadima Cloud · Blog

3 ataques ao Pix em um mês: o que o caso BTG revela sobre maturidade em cibersegurança

03/04/2026 · 5 min
3 ataques ao Pix em um mês: o que o caso BTG revela sobre maturidade em cibersegurança

Em março de 2026, o Pix — sistema que movimenta trilhões de reais por ano no Brasil — sofreu três ataques estruturais em menos de 30 dias.

O mais grave deles atingiu o BTG Pactual no domingo, dia 22. O banco identificou atividades atípicas, suspendeu todas as operações via Pix e viu aproximadamente R$ 100 milhões serem desviados de sua conta de liquidação no Banco Central. A maior parte foi recuperada, mas entre R$ 20 e R$ 40 milhões seguem desaparecidos.

O Pix não foi hackeado. O problema estava dentro da instituição.

E é exatamente aí que está a lição mais importante para qualquer empresa que opera em ambientes digitais.

O que realmente aconteceu no ataque ao BTG

O Banco Central detectou atividades atípicas nas contas do BTG por volta das 6h da manhã. Os alertas dispararam. Mesmo assim, o banco não conseguiu conter o ataque a tempo. A sangria já havia ocorrido quando as operações foram finalmente suspensas.

O incidente não foi uma falha do sistema Pix nem da infraestrutura do Banco Central. Foi classificado como um problema isolado da própria instituição financeira. Mas o impacto foi real: paralisação do serviço para clientes, rombo milionário e pressão regulatória imediata.

O que o episódio expõe é um padrão recorrente: a detecção sem resposta rápida não protege ninguém.

Sistemas de monitoramento funcionaram. O alerta existiu. A janela entre o alerta e a ação efetiva de contenção, porém, foi grande o suficiente para causar dano irreversível.

O contexto: março de 2026 foi um mês de crise no Pix

O ataque ao BTG não foi um episódio isolado. Foi o terceiro ataque estrutural ao ecossistema Pix registrado em março de 2026.

Nos meses anteriores, ataques à C&M Software e à Sinqia já tinham desviado mais de R$ 1,5 bilhão de instituições conectadas ao sistema. A lógica nesses casos é sempre a mesma: em vez de atacar o banco diretamente, os criminosos miram as empresas de tecnologia que conectam instituições financeiras ao Banco Central.

Isso tem um nome: ataque via supply chain.

E é uma das tendências mais preocupantes de 2026. Quando o fornecedor de tecnologia é comprometido, todos os clientes conectados a ele ficam expostos — mesmo que as defesas de cada instituição individualmente sejam sólidas.

O que o Banco Central fez depois

Na esteira do ataque ao BTG, o Banco Central lançou um novo pacote de medidas com foco na segurança operacional das contas de liquidação. As ações integram a segunda fase da Agenda BC, voltada para o aperfeiçoamento da gestão da Conta de Pagamentos Instantâneos (Conta PI).

O BC já tinha emitido resoluções em setembro de 2025 e janeiro de 2026 exigindo que participantes diretos identificassem movimentações atípicas em tempo real e interrompessem transações suspeitas. O caso BTG mostrou que essas exigências ainda não foram suficientes para garantir resposta ágil quando o alerta chega.

A pressão regulatória vai crescer. E com ela, a responsabilidade das empresas de qualquer porte que dependem de integrações financeiras digitais.

O que isso muda para empresas fora do setor financeiro

Se você não é um banco, pode estar pensando: “isso não é problema meu”.

É. Por três razões:

1. Você depende do Pix. Pagamentos de fornecedores, recebimento de clientes, folha de pagamento — uma interrupção no Pix impacta diretamente o caixa operacional. E interrupções acontecem quando um participante do sistema é comprometido.

2. Você pode ser o elo fraco da cadeia. Grandes instituições financeiras têm equipes dedicadas, SOC 24/7 e frameworks regulatórios pesados. PMEs e empresas de tecnologia, em geral, não. E elas se conectam ao mesmo ecossistema. Atacar uma empresa menor para chegar a uma maior é a tática preferida dos grupos criminosos modernos.

3. O regulador está de olho em toda a cadeia. As novas resoluções do BC não se aplicam apenas aos bancos. Fornecedores de tecnologia que se conectam ao SPI também entram no escopo de fiscalização. Não estar em conformidade já é risco hoje.

As perguntas que toda empresa deveria estar respondendo agora

O caso BTG deixa um conjunto de perguntas práticas que qualquer gestor de TI ou CISO deveria responder com objetividade:

1. Se um fornecedor crítico for comprometido hoje, em quanto tempo eu saberia?
2. Meu sistema de monitoramento gera alertas — mas quem responde a eles, em qual SLA?
3. Tenho visibilidade sobre quais integrações externas têm acesso privilegiado aos meus dados?
4. Meu plano de resposta a incidentes foi testado nos últimos 12 meses?
5. Meus fornecedores de tecnologia passam por avaliação de maturidade de segurança?

Se as respostas tiverem muita incerteza, o risco já existe. Ele só ainda não virou incidente.

O padrão que se repete: detectar não é suficiente

A narrativa técnica por trás dos grandes ataques de 2025 e 2026 tem um ponto em comum: os sistemas de monitoramento funcionaram. Os alertas existiram. O problema estava na velocidade de resposta e na capacidade de contenção.

Isso aponta para um gap crítico nas estratégias de segurança de muitas organizações: o investimento em detecção não foi acompanhado de investimento equivalente em resposta. Ter um SIEM cheio de alertas sem uma equipe treinada para agir sobre eles é como ter um detector de fumaça sem extintor.

Em 2026, a maturidade em cibersegurança não se mede apenas pelo que você detecta. Mede-se pelo que você consegue fazer nos primeiros minutos depois do alerta.

Precisa de ajuda?

Na Kadima Cloud, ajudamos empresas a estruturar estratégias de monitoramento, resposta a incidentes e segurança em nuvem com base em casos reais do mercado brasileiro.

Se você quer entender onde estão as lacunas de segurança da sua operação antes que um incidente mostre para você, fale com a nossa equipe.