O erro 403 - Forbidden é relacionado com o conteúdo do access token. Ele acontece quando você envia um token válido porém sem os escopos necessários para acessar o serviço desejado.

jwt.io

Para verificar se este é o caso, você pode pegar o Access Token gerado no fluxo e utilizar o site jwt.io para "quebra-lo", permitindo assim que você verifique quais escopos foram pedidos pelo seu sistema.

Erro-Forbidden

Neste exemplo, veja que no campo scope não consta o escopo empresas.btgpactual.com/transfers. Operar em qualquer endpoint de transferência nos retornaria 403 - Forbidden.