Come rilevare l'abuso della prova gratuita e impedire agli utenti SaaS di creare più account

Per rilevare l'abuso delle prove gratuite e impedire agli utenti SaaS di creare più account, è necessario:

• Implementare metodi di verifica dell'identità
• Monitorare una vasta gamma di dati utente e modelli di comportamento
• Limitare strategicamente l'offerta gratuita per disincentivare l'abuso
• Comunica chiaramente le tue condizioni d'uso agli utenti

Per poter fare tutto ciò, suddividi il processo in questi passaggi pratici:

Prima di implementare qualsiasi soluzione tecnica, valuta le esigenze della tua azienda. La strategia giusta bilancia l'esperienza utente con la sicurezza. Un processo ad alto attrito può ridurre le iscrizioni, mentre uno a basso attrito può favorire le frodi nelle prove gratuite. Poniti queste domande per trovare il tuo equilibrio:

• Qual è il valore del tuo livello gratuito? Maggiore è il valore (ad esempio, limiti API generosi, funzionalità estese), maggiore è l'incentivo all'abuso e più solide devono essere le vostre misure di prevenzione.
• Qual è la vostra tolleranza per l'attrito con l'utente? Richiedere un numero di telefono o una carta di credito allontanerà il vostro pubblico di riferimento? A Software B2B potrebbe incontrare meno resistenza rispetto a un'azienda rivolta al consumatore videogioco.
• Qual è la capacità tecnica del vostro team? Il vostro team di sviluppo può creare e mantenere un sistema complesso di rilevamento delle frodi o avete bisogno di una soluzione di terze parti?
• Qual è il costo dell'abuso? Calcola i costi del server, il tempo di supporto e la potenziale perdita di ricavi da un singolo utente abusivo. Se il costo delle frodi sugli abbonamenti è elevato, è giustificato investire in una prevenzione più efficace.

Puoi utilizzare una semplice tabella per valutare diverse strategie in base alle tue risposte.

L'obiettivo della verifica è aumentare lo sforzo necessario per creare più account. Inizia con le basi e aggiungi livelli a seconda del livello di abuso di prova gratuita la tua esperienza. Un partner integrato può sollevarti dalla complessità della gestione di questi processi, quindi è utile comprendere il ruolo di un Merchant of Record vs. un Payment Service Provider in questo contesto. 

1.1. Inizia con la verifica dell'email: Questo è il passaggio più semplice. Dopo che un utente si è registrato, invia un'email automatica con un link univoco su cui deve cliccare per attivare il proprio account. Ciò conferma che ha accesso all'indirizzo email e filtra i bot che utilizzano email false e non funzionanti.

1.2. Aggiungi numero di telefono o verifica OAuth Se noti utenti che creano più account con email usa e getta, aggiungi un secondo livello di verifica.

• Verifica telefonica (SMS): Richiedi un numero di telefono valido e invia un codice monouso via SMS. Ottenere più numeri di telefono è più difficile e costoso per chi ne fa un uso improprio.
• OAuth: Consenti agli utenti di registrarsi utilizzando i loro account Google, GitHub o LinkedIn. In questo modo il controllo iniziale dell'identità viene affidato a una piattaforma attendibile.

1.3. Considerare la verifica ad alta affidabilità per i servizi sensibili Per i SaaS di alto valore o quelli in settori regolamentati (ad esempio, FinTech), potrebbe essere necessaria una prova d'identità più solida.

• Verifica della partita IVA: Convalida dell'ID dell'imposta sulle vendite (per SaaS B2B).
• Verifica dell'ID: L'utente carica una foto di un documento d'identità (per le aziende SaaS ad alto rischio o quando è necessaria la verifica dell'età).
• Verifica del metodo di pagamento: L'utente deve collegare una carta di credito valida o un conto PayPal.

Identificare in modo proattivo le attività sospette monitorando i dati oltre la registrazione iniziale. Creare un sistema di flag o un punteggio di rischio che aumenti man mano che un account mostra comportamenti più sospetti.

2.1. Tracciare i punti dati fondamentali: Combinare diversi punti dati per creare una firma univoca per la sessione di un utente.

• Indirizzo IP: Registra l'IP all'iscrizione e ai successivi accessi. Utilizza un database GeoIP per verificare se l'IP appartiene a un datacenter, proxy o nodo di uscita Tor noto, una tattica comune per le frodi sulle prove gratuite. Secondo dati recenti, oltre il 30% degli utenti internet ha utilizzato una VPN, quindi un IP proveniente da un provider VPN è un segnale, ma non una prova definitiva di abuso.
• Cookie: Inserire un cookie persistente nel browser dell'utente con un ID univoco. Se un utente elimina i cookie e si registra immediatamente di nuovo dallo stesso IP, aumentare il suo punteggio di rischio.

2.2. Analizzare i modelli comportamentali Cercare azioni che deviano dal comportamento effettivo dell'utente.

• Tempo di reazione: Con quale rapidità un nuovo account esegue un'azione di alto valore (ad esempio, il download di un file, l'utilizzo di una funzionalità chiave)? Gli account che lo fanno in pochi secondi sono probabilmente automatizzati.
• Velocità di utilizzo: L'attività di un utente legittimo in un software o videogioco avrà un ritmo naturale. Un account che raggiunge immediatamente il 100% dei suoi limiti di utilizzo (ad esempio, raggiungendo il massimo delle chiamate API nella prima ora) è sospetto.
• Sessioni simultanee: Segnala gli account a cui si accede da più IP geograficamente distanti contemporaneamente.

Monitora il comportamento degli utenti con l'IA: Per un approccio proattivo alle frodi nelle prove gratuite, monitora i modelli di attività degli utenti. Comportamenti sospetti, come la rapida creazione di account da diverse geolocalizzazioni o picchi insoliti nell'utilizzo, possono essere segnalati per la revisione.

L'implementazione di sistemi di rilevamento delle frodi basati su machine learning e IA può automatizzare questo processo. Questi sistemi analizzano enormi quantità di dati per identificare modelli sofisticati di abuso che sarebbero difficili da rilevare per un essere umano. Nel tempo, il modello di IA può apprendere e adattarsi a nuove tattiche di abuso.

La struttura del tuo piano gratuito può essere la tua migliore difesa. L'obiettivo è rendere il livello gratuito utile per una valutazione legittima, ma poco attraente per un utilizzo intensivo a lungo termine. Per farlo bene, è necessario un percorso chiaro per consentire agli utenti di eseguire l'upgrade, il che implica la comprensione del processo di implementazione dei prezzi a livelli.

3.1. Limitare le funzionalità, non solo l'utilizzo: Invece di limitare solo il numero di azioni (ad esempio, 5 download), limita le funzionalità che ti costano di più o che offrono il maggior valore.

3.2. Offri una prova gratuita a tempo limitato: Invece di un piano gratuito permanente, offri una prova gratuita di 3 o 7 giorni. Questo crea un senso di urgenza e impedisce agli utenti di rimanere sul piano gratuito a tempo indeterminato. Per ottimizzare questo approccio, consulta Best practice per la prova gratuita di un SaaS per massimizzare le conversioni. Sebbene i "dedicated abusers" possano ancora creare nuovi account, questo li costringe a migrare i loro dati e ricominciare il loro lavoro ogni pochi giorni, il che rappresenta un notevole problema.

Questo è uno dei modi più efficaci per prevenire l'abuso degli account. Semplifica inoltre il passaggio a un piano a pagamento, poiché il sistema può impostare pagamenti ricorrenti senza ulteriori azioni da parte dell'utente. Richiedendo una carta di credito valida per iniziare una prova gratuita, si crea un ostacolo significativo alla creazione di più account.

Infine, sii trasparente. I tuoi termini di servizio Dovrebbe affermare esplicitamente che la creazione di più account per eludere le limitazioni del livello gratuito è vietata. Anche se questo non fermerà i truffatori in cerca di un giro gratis, fornisce una chiara giustificazione per la sospensione degli account e stabilisce le aspettative per gli utenti legittimi.