SEK Security Advisory

Overview

Na manhã de domingo, 22 de março de 2026, o BTG Pactual foi alvo de um ataque cibernético que resultou no desvio de aproximadamente R$ 100 milhões da conta de liquidação que a instituição mantém junto ao Banco Central do Brasil (BCB) para viabilizar transações via Pix. O banco identificou as irregularidades após alertas automáticos disparados pelo sistema de monitoramento do BCB a partir das 6h e, como medida de contenção, suspendeu preventivamente todas as operações via Pix. O serviço foi restabelecido na manhã de segunda-feira, 23 de março.

Os recursos comprometidos pertenciam ao próprio BTG Pactual — utilizados na liquidação de transações via Pix — e não às contas de clientes da instituição. O BTG confirmou em nota que não houve acesso a contas de correntistas e que nenhum dado de clientes foi exposto. O banco declarou ainda que a vulnerabilidade interna explorada foi identificada e corrigida. Segundo informações divulgadas pela imprensa, R$ 73 milhões foram recuperados ainda no dia do ataque; entre R$ 20 milhões e R$ 40 milhões permanecem em investigação. Os valores desviados foram transferidos para contas em diversas instituições — entre elas Banco Inter, Bradesco, Caixa Econômica Federal, Itaú, PicPay e Mercado Pago — e posteriormente convertidos em criptomoedas para dificultar o rastreamento. A Polícia Federal foi acionada e investiga o caso.

O incidente é o terceiro envolvendo o ecossistema Pix registrado apenas em março de 2026 — os episódios anteriores, diagnosticados pelo BCB, foram vazamentos de dados de chaves Pix nos sistemas do Ministério Público de Goiás e da financeira Pefisa S.A. O episódio ocorre em um contexto de escalada de ameaças contra o sistema financeiro brasileiro: em 2025, o setor registrou perdas superiores a R$ 1 bilhão decorrentes de ataques cibernéticos — 29% acima do registrado em 2024. Os episódios mais significativos do período incluíram o ataque à C&M Software (desvio de R$ 800 milhões, junho de 2025) e à Sinqia (R$ 710 milhões, setembro de 2025). O incidente ocorre menos de um mês após a entrada em vigor das novas regras de cibersegurança para o setor financeiro (Resolução BCB nº 538/2025 e Resolução CMN nº 5.274/2025, vigentes desde 1º de março de 2026), colocando em xeque a efetividade do novo marco regulatório.

Recomendações

Este advisory é relevante para organizações que operam no ecossistema de pagamentos instantâneos — incluindo instituições financeiras com conta de liquidação no BCB, provedores de tecnologia financeira, integradores BaaS e demais participantes da cadeia de integração com o SPI. As recomendações abaixo se aplicam a esse conjunto, com ênfases específicas onde indicado.

Auditar os controles de acesso a sistemas e APIs críticas, com ênfase em autenticação multifatorial, princípio do menor privilégio, rotação periódica de credenciais e rastreabilidade de uso. Para instituições com conta de liquidação no BCB, os controles devem cobrir especificamente os ambientes Pix e STR, incluindo isolamento físico e lógico e vedação de acesso de terceiros às chaves privadas — exigências das Resoluções BCB nº 538/2025 e CMN nº 5.274/2025
Revisar os parâmetros de monitoramento transacional em tempo real, garantindo que alertas para movimentações atípicas estejam calibrados ao perfil operacional da instituição e que os fluxos de resposta estejam documentados e testados
Estabelecer ou revisar procedimentos de resposta a incidentes para o ambiente Pix, incluindo critérios claros para suspensão preventiva de serviços e protocolos de comunicação com o BCB
Realizar testes de intrusão periódicos conduzidos por profissionais independentes, mantendo relatórios e planos de correção à disposição do Banco Central pelo prazo mínimo de cinco anos. Para provedores BaaS e integradores, a cobertura deve incluir especificamente os pontos de integração com o SPI — o incidente à C&M Software (2025) demonstrou que o comprometimento desses elos pode gerar perdas em cascata para múltiplas instituições
Garantir segregação efetiva entre ambientes de produção, homologação e desenvolvimento, eliminando caminhos de acesso transversal que possam ser explorados por agentes maliciosos
Avaliar a cadeia de fornecedores de tecnologia quanto à postura de segurança cibernética, exigindo evidências de conformidade com as Resoluções BCB nº 538/2025 e CMN nº 5.274/2025 para prestadores que operam em camadas críticas da infraestrutura de pagamentos

Fontes

Overview

On the morning of Sunday, March 22, 2026, BTG Pactual was targeted by a cyberattack that resulted in the diversion of approximately R$ 100 million from the settlement account the institution maintains with the Central Bank of Brazil (BCB) to process Pix transactions. The bank identified the irregularities after automated alerts triggered by the BCB's monitoring system starting at 6 AM and, as a containment measure, preventively suspended all Pix operations. Services were restored on the morning of Monday, March 23.

The compromised funds belonged to BTG Pactual itself — held for the settlement of Pix transactions — and not to customer accounts. BTG confirmed in a statement that no customer accounts were accessed and no client data was exposed. The bank also declared that the internal vulnerability exploited had been identified and remediated. According to press reports, R$ 73 million was recovered on the day of the attack; between R$ 20 million and R$ 40 million remain under investigation. The diverted funds were transferred to accounts at multiple institutions — including Banco Inter, Bradesco, Caixa Econômica Federal, Itaú, PicPay, and Mercado Pago — and subsequently converted into cryptocurrency to hinder tracing. The Federal Police has been notified and is investigating the case.

This incident is the third involving the Pix ecosystem recorded in March 2026 alone — the two prior episodes, identified by the BCB, were Pix key data breaches affecting systems at the Public Prosecutor's Office of Goiás and the financial institution Pefisa S.A. The incident occurs against a backdrop of escalating threats against the Brazilian financial system: in 2025, the sector recorded losses exceeding R$ 1 billion from cyberattacks — 29% above 2024 figures. The most significant episodes of the period included the attack on C&M Software (R$ 800 million diverted, June 2025) and Sinqia (R$ 710 million, September 2025). The incident comes less than one month after the new cybersecurity rules for the financial sector entered into force (BCB Resolution nº 538/2025 and CMN Resolution nº 5.274/2025, effective March 1, 2026), calling into question the effectiveness of the new regulatory framework.

Recommendations

This advisory is relevant to organizations operating within the instant payments ecosystem — including financial institutions with settlement accounts at the BCB, financial technology providers, BaaS integrators, and other participants in the SPI integration chain. The recommendations below apply to this group, with specific emphasis where indicated.

Audit access controls for critical systems and APIs, with emphasis on multi-factor authentication, least privilege, periodic credential rotation, and usage traceability. For institutions with settlement accounts at the BCB, controls must specifically cover Pix and STR environments, including physical and logical isolation and the prohibition of third-party access to private keys — requirements now mandated by BCB Resolution nº 538/2025 and CMN Resolution nº 5.274/2025
Review real-time transactional monitoring parameters, ensuring that alerts for atypical movements are calibrated to the institution's operational profile and that response workflows are documented and tested
Establish or review incident response procedures for the Pix environment, including clear criteria for preventive service suspension and communication protocols with the BCB
Conduct periodic penetration tests performed by independent professionals, retaining reports and remediation plans for a minimum of five years for BCB review. For BaaS providers and integrators, coverage must specifically include SPI integration points — the C&M Software incident (2025) demonstrated that the compromise of technology providers' credentials can trigger cascading losses across multiple institutions
Ensure effective segregation between production, staging, and development environments, eliminating lateral access paths that could be exploited by malicious actors
Assess the technology supply chain for cybersecurity posture, requiring evidence of compliance with BCB Resolution nº 538/2025 and CMN Resolution nº 5.274/2025 from vendors operating in critical layers of the payments infrastructure

Sources

Overview

En la mañana del domingo 22 de marzo de 2026, el BTG Pactual fue víctima de un ataque cibernético que resultó en el desvío de aproximadamente R$ 100 millones de la cuenta de liquidación que la institución mantiene en el Banco Central de Brasil (BCB) para viabilizar transacciones vía Pix. El banco identificó las irregularidades tras alertas automáticas disparadas por el sistema de monitoreo del BCB a partir de las 6h y, como medida de contención, suspendió preventivamente todas las operaciones vía Pix. El servicio fue restablecido en la mañana del lunes 23 de marzo.

Los recursos comprometidos pertenecían al propio BTG Pactual — utilizados en la liquidación de transacciones vía Pix — y no a las cuentas de clientes de la institución. El BTG confirmó en un comunicado que no hubo acceso a cuentas de clientes y que ningún dato de cuenta-habientes fue expuesto. El banco declaró además que la vulnerabilidad interna explotada fue identificada y corregida. Según información divulgada por la prensa, R$ 73 millones fueron recuperados el mismo día del ataque; entre R$ 20 millones y R$ 40 millones permanecen bajo investigación. Los valores desviados fueron transferidos a cuentas en diversas instituciones — entre ellas Banco Inter, Bradesco, Caixa Econômica Federal, Itaú, PicPay y Mercado Pago — y posteriormente convertidos en criptomonedas para dificultar el rastreo. La Policía Federal fue convocada e investiga el caso.

Este incidente es el tercero que involucra el ecosistema Pix registrado únicamente en marzo de 2026 — los episodios anteriores, diagnosticados por el BCB, fueron filtraciones de datos de claves Pix en los sistemas de la Fiscalía del Estado de Goiás y de la institución financiera Pefisa S.A. El incidente ocurre en un contexto de escalada de amenazas contra el sistema financiero brasileño: en 2025, el sector registró pérdidas superiores a R$ 1.000 millones derivadas de ataques cibernéticos — un 29% por encima de lo registrado en 2024. Los episodios más significativos del período incluyeron el ataque a C&M Software (desvío de R$ 800 millones, junio de 2025) y a Sinqia (R$ 710 millones, septiembre de 2025). El incidente ocurre menos de un mes después de la entrada en vigor de las nuevas reglas de ciberseguridad para el sector financiero brasileño (Resolución BCB nº 538/2025 y Resolución CMN nº 5.274/2025, vigentes desde el 1° de marzo de 2026), poniendo en cuestión la efectividad del nuevo marco regulatorio.

Recomendaciones

Este advisory es relevante para organizaciones que operan en el ecosistema de pagos instantáneos — incluyendo instituciones financieras con cuenta de liquidación en el BCB, proveedores de tecnología financiera, integradores BaaS y demás participantes de la cadena de integración con el SPI. Las recomendaciones a continuación se aplican a este conjunto, con énfasis específicos donde se indica.

Auditar los controles de acceso a sistemas y APIs críticas, con énfasis en autenticación multifactor, principio de menor privilegio, rotación periódica de credenciales y trazabilidad de uso. Para instituciones con cuenta de liquidación en el BCB, los controles deben cubrir específicamente los entornos Pix y STR, incluyendo aislamiento físico y lógico y prohibición de acceso de terceros a las claves privadas — exigencias de las Resoluciones BCB nº 538/2025 y CMN nº 5.274/2025
Revisar los parámetros de monitoreo transaccional en tiempo real, garantizando que las alertas para movimientos atípicos estén calibradas al perfil operacional de la institución y que los flujos de respuesta estén documentados y probados
Establecer o revisar procedimientos de respuesta a incidentes para el entorno Pix, incluyendo criterios claros para la suspensión preventiva de servicios y protocolos de comunicación con el BCB
Realizar pruebas de intrusión periódicas conducidas por profesionales independientes, manteniendo informes y planes de corrección a disposición del Banco Central por un plazo mínimo de cinco años. Para proveedores BaaS e integradores, la cobertura debe incluir específicamente los puntos de integración con el SPI — el incidente a C&M Software (2025) demostró que el compromiso de credenciales de proveedores tecnológicos puede generar pérdidas en cascada para múltiples instituciones
Garantizar una segregación efectiva entre entornos de producción, homologación y desarrollo, eliminando rutas de acceso transversal que puedan ser explotadas por agentes maliciosos
Evaluar la cadena de proveedores de tecnología en cuanto a su postura de ciberseguridad, exigiendo evidencias de conformidad con las Resoluciones BCB nº 538/2025 y CMN nº 5.274/2025 para prestadores que operen en capas críticas de la infraestructura de pagos

SEK SECURITY ADVISORY

SEK SECURITY ADVISORY

Overview

Recomendações

Fontes

Overview

Recommendations

Sources

Overview

Recomendaciones

Fuentes

Central de Conteúdos SEK

SEK Content Hub

Central de Contenidos SEK