O ataque ao banco BTG Pactual ocorrido no último domingo fugiu ao padrão dos ataques anteriores, que atingiram as empresas que o Banco Central designa como PSTIs — Provedores de Serviços de Tecnologia da Informação. Essas entidades são credenciadas pelo BC para processar dados e conectar instituições financeiras à rede do Sistema Financeiro Nacional (RSFN). No caso do BTG, o ataque foi diretamente em sua própria estrutura de tecnologia bancária.
O desvio e o rastro do dinheiro
O ataque resultou no desvio de recursos da conta reserva do Sistema de Pagamentos Instantâneos. A estimativa é de que mais de R$ 100 milhões tenham sido desviados, com os valores espalhados para centenas de contas de laranjas em cerca de 25 instituições financeiras, incluindo Caixa, Genial e Nubank. Parte do dinheiro foi rapidamente convertida em criptomoedas.
As linhas de investigação
A Polícia Federal e o Ministério Público de São Paulo, por meio do CyberGaeco, estão investigando o caso. Os investigadores levantam informações sobre o possível uso de uma credencial antiga — ligada a uma empresa de tecnologia bancária que já prestou serviços ao BTG — que pode ter vazado; e não descartam a participação de funcionários com acesso às credenciais da conta reserva.
"A Polícia Federal e o Ministério Público de São Paulo, por meio do CyberGaeco, estão investigando o caso. Os investigadores levantam informações sobre o possível uso de uma credencial antiga – ligada a uma empresa de tecnologia bancária que já prestou serviços ao BTG – que pode ter vazado; e não descartam a participação de funcionários com acesso às credenciais da conta reserva." — CISO Advisor
Padrão preocupante de ataques ao sistema financeiro
Desde 2025, já foram registrados ao menos três ataques desse tipo, com prejuízos superiores a R$ 1,5 bilhão. Há suspeita de que o grupo responsável seja próximo ao que invadiu a C&M Software e desviou R$ 813 milhões no ano passado — considerado o maior roubo ao sistema financeiro do país.
Esse padrão evidencia uma vulnerabilidade sistêmica: o uso de credenciais comprometidas ou de funcionários com acesso privilegiado como vetor de entrada. A engenharia social e o insider threat continuam sendo os elos mais frágeis da cadeia de segurança do setor financeiro.
O que esse caso revela
O ataque ao BTG Pactual reforça a necessidade de revisão contínua de acessos privilegiados, especialmente de ex-prestadores de serviço. Credenciais antigas, não revogadas após o encerramento de contratos, representam uma porta de entrada silenciosa para agentes maliciosos.
A proteção de dados pessoais e financeiros exige não apenas tecnologia de ponta, mas também processos rigorosos de governança de identidade e acesso (IAM), com revisão periódica de permissões e monitoramento comportamental de usuários com acesso a sistemas críticos.
