Bruno Peres/Agência Brasil Desta vez foi o BTG Pactual que sofreu o incidente e teve que suspender temporariamente as operações via Pix na manhã deste domingo dia 22 de março de 2.026, após identificar movimentações consideradas fora do padrão em seu sistema de pagamentos instantâneos. A medida, adotada de forma preventiva, teve como objetivo conter possíveis danos enquanto a instituição iniciava a apuração interna do ocorrido.
De acordo com informações divulgadas pela coluna Capital, do jornal O Globo, os valores inicialmente desviados podem ter chegado à casa de R$ 100 milhões. Apesar da expressividade do montante, o banco teria conseguido recuperar uma parcela significativa dos recursos ainda nas primeiras horas após a detecção da anomalia. A interrupção das transações via Pix ocorreu como medida de segurança, enquanto as equipes técnicas e de compliance aprofundavam a análise do incidente.
Detecção do problema e atuação das autoridades
O Banco Central do Brasil foi um dos primeiros a identificar indícios de irregularidade no sistema, iniciando o envio de alertas por volta das 6h da manhã. A atuação rápida da autoridade monetária teria contribuído para mitigar a propagação das transações suspeitas no ecossistema financeiro.
O Banco Central também esclareceu que seus sistemas não foram comprometidos durante o episódio, afastando a hipótese de uma falha estrutural na infraestrutura do Pix, ficando restrita ao BTG Pactual. Ainda assim, o caso reforça a necessidade de vigilância constante sobre as operações que envolvem o sistema de pagamentos instantâneos, que se tornou amplamente utilizado no país.
Em nota oficial, o BTG Pactual destacou que não houve acesso indevido às contas de clientes e que nenhum dado de correntista foi exposto durante a ocorrência. A instituição reforçou ainda que a segurança da informação permanece como prioridade estratégica, especialmente diante do aumento da sofisticação dos ataques cibernéticos no setor financeiro.
As desculpas são padrão, sempre as mesmas em caso de incidentes de segurança com dados pessoais, o que reforça ainda mais a necessidade de monitoramento constante do processo de adequação à Lei Geral de Proteção de Dados, cumprindo o artigo 50, da LGPD.
Informações adicionais indicam que parte dos valores desviados foi pulverizada em contas correntes vinculadas à Caixa Econômica Federal, o que pode ter sido uma tentativa de dificultar o rastreamento e a recuperação dos recursos. Por volta das 13h15, a página de status do BTG Empresas passou a exibir um aviso informando a indisponibilidade temporária do serviço Pix.
Cenário de recorrência de ataques no sistema financeiro
O episódio envolvendo o BTG Pactual não ocorre de forma isolada. Nos últimos meses, o sistema financeiro brasileiro tem sido alvo de uma sequência de ataques cibernéticos que evidenciam fragilidades operacionais e o aumento da atuação de grupos especializados em fraudes digitais.
Em julho de 2025, criminosos exploraram vulnerabilidades em empresas fornecedoras de soluções de BaaS (banking as a service), conseguindo desviar grandes volumes financeiros que posteriormente foram convertidos em criptomoedas. Segundo fontes, o prejuízo total teria atingido a casa dos bilhões de reais, sendo considerado, até então, o maior ataque já registrado contra o sistema financeiro nacional.
Na ocasião, a C&M Software confirmou que o incidente envolveu o uso indevido de credenciais de clientes, o que levanta discussões relevantes sobre a gestão de acessos e a responsabilidade compartilhada entre prestadores de tecnologia e instituições financeiras. Ao todo, seis instituições tiveram suas contas reservas junto ao Banco Central comprometidas, incluindo a BMP.
Outros casos relevantes foram registrados ao longo de 2025. Em junho, um ataque direcionado à própria C&M Software resultou no desvio de mais de R$ 800 milhões por meio do Pix, evidenciando a vulnerabilidade de fornecedores tecnológicos que operam em camadas críticas do sistema financeiro. Já em setembro, a Sinqia foi alvo de uma ofensiva que resultou no desvio de aproximadamente R$ 710 milhões, sendo R$ 669 milhões associados ao HSBC e R$ 41 milhões à Artta.
Terceiro incidente com Pix em março
O caso mais recente envolvendo o BTG Pactual marca a terceira ocorrência relacionada ao Pix apenas neste mês de março. Episódios anteriores já haviam sido diagnosticados pelo Banco Central em sistemas do Ministério Público de Goiás e da instituição financeira Pefisa, indicando que as fragilidades não estão restritas a uma única instituição ou tipo de operação.
Esse cenário reforça a crescente pressão sobre o sistema financeiro para aprimorar mecanismos de proteção de dados, segurança da informação, governança e resposta a incidentes, especialmente diante da velocidade e escala que caracterizam as transações via Pix. Embora o sistema seja considerado seguro do ponto de vista estrutural, a cadeia de integração, que envolve bancos, fintechs e fornecedores de tecnologia, segue sendo um ponto crítico de atenção.
Diante desse contexto, o episódio envolvendo o BTG Pactual reacende o debate sobre a necessidade de fortalecimento das camadas de proteção, monitoramento contínuo e aplicação rigorosa de boas práticas de segurança da informação, especialmente em um ambiente cada vez mais digital e interconectado, demonstrando, mais uma vez, que o processo de adequação à Lei Geral de Proteção de Dados deve ser um organismo vivo, sendo aprimorado e monitorado ininterruptamente.
