Como Detectar o Abuso da Avaliação Gratuita e Impedir que Usuários de SaaS Criem Várias Contas

Para detectar o abuso da avaliação gratuita e impedir que os usuários de SaaS criem múltiplas contas, você deve:

• Implementar métodos de verificação de identidade
• Monitorar uma ampla gama de dados e padrões de comportamento do usuário
• Limitar estrategicamente a sua oferta gratuita para desincentivar o abuso
• Comunique claramente seus termos de uso aos usuários.

Para conseguir fazer tudo isso, divida o processo nestas etapas práticas:

Antes de implementar qualquer solução técnica, avalie as necessidades do seu negócio. A estratégia certa equilibra a experiência do usuário com a segurança. Um processo de alta fricção pode reduzir os cadastros, enquanto um de baixa fricção pode atrair fraudes em avaliações gratuitas. Faça as seguintes perguntas para encontrar o seu equilíbrio:

• Qual é o valor do seu nível gratuito? Quanto maior o valor (p. ex., limites de API generosos, funcionalidades abrangentes), maior o incentivo para abuso e mais robustos devem ser os seus métodos de prevenção.
• Qual é a sua tolerância ao atrito para o utilizador? Exigir um número de telefone ou cartão de crédito irá afastar o seu público-alvo? Um software B2B poderá enfrentar menos resistência do que uma solução virada para o consumidor videojogo.
• Qual é a capacidade técnica da sua equipa? A sua equipa de desenvolvimento consegue criar e manter um sistema complexo de deteção de fraude, ou precisa de uma solução de terceiros?
• Qual é o custo do abuso? Calcule os custos do servidor, o tempo de suporte e a potencial perda de receita de um único utilizador abusivo. Se o custo da fraude de subscrição for elevado, justifica-se o investimento numa prevenção mais forte.

Pode usar uma tabela simples para pontuar diferentes estratégias com base nas suas respostas.

O objetivo da verificação é aumentar o esforço necessário para criar várias contas. Comece com o básico e adicione camadas dependendo do nível de abuso do período de teste gratuito que você enfrenta. Um parceiro integrado pode aliviar a complexidade de gerenciar esses processos, por isso é útil entender o papel de um Merchant of Record vs. um Provedor de Serviços de Pagamento neste contexto. 

1.1. Comece com a Verificação de E-mail: Esta é a etapa mais básica. Depois de um usuário se cadastrar, envie um e-mail automatizado com um link exclusivo no qual ele deve clicar para ativar sua conta. Isso confirma que ele tem acesso ao endereço de e-mail e filtra bots que usam e-mails falsos e não funcionais.

1.2. Adicionar verificação por número de telefone ou OAuth Se vir utilizadores a criar várias contas com e-mails descartáveis, adicione uma segunda camada de verificação.

• Verificação por telefone (SMS): Exija um número de telefone válido e envie um código de utilização única por SMS. A obtenção de vários números de telefone é mais difícil e mais dispendiosa para os autores de abusos.
• OAuth: Permita que os utilizadores se inscrevam utilizando as suas contas Google, GitHub ou LinkedIn. Isto externaliza a verificação de identidade inicial para uma plataforma fidedigna.

1.3. Considere a Verificação de Alta Confiança para Serviços Sensíveis Para SaaS de alto valor ou para os que operam em setores regulamentados (por exemplo, FinTech), poderá ser necessária uma prova de identidade mais forte.

• Verificação do ID de IVA: Validação do ID do imposto sobre vendas (para SaaS B2B).
• Verificação de Identidade: O usuário carrega uma foto de um documento de identidade (para negócios SaaS de alto risco ou quando a verificação de idade é necessária).
• Verificação do método de pagamento: O usuário deve associar um cartão de crédito válido ou uma conta do PayPal.

Identifique proativamente atividades suspeitas, monitorando os dados para além do cadastro inicial. Crie um sistema de sinalizadores ou uma pontuação de risco que aumente à medida que uma conta exiba mais comportamentos suspeitos.

2.1. Rastreie pontos de dados fundamentais: Combine vários pontos de dados para criar uma assinatura única para a sessão de um usuário.

• Endereço IP: Registe o IP no momento da inscrição e nos logins subsequentes. Utilize uma base de dados GeoIP para verificar se o IP pertence a um datacenter, proxy ou nó de saída Tor conhecido — uma tática comum para fraudes de avaliação gratuita. De acordo com dados recentes, mais de 30% dos utilizadores da Internet já utilizaram uma VPN, pelo que um IP de um fornecedor de VPN é um sinal de alerta, mas não uma prova definitiva de abuso.
• Cookies: Coloque um cookie persistente no navegador do usuário com um ID exclusivo. Se um usuário excluir os cookies e se inscrever novamente imediatamente do mesmo IP, aumente sua pontuação de risco.

2.2. Analise os Padrões Comportamentais Procure por ações que se desviam do comportamento genuíno do usuário.

• Tempo para Ação: Com que rapidez uma nova conta realiza uma ação de alto valor (p. ex., baixar um arquivo, usar um recurso principal)? Contas que fazem isso em segundos provavelmente são automatizadas.
• Velocidade de Uso: A atividade de um usuário legítimo num software ou videogame terá um ritmo natural. Uma conta que atinge imediatamente 100% dos seus limites de utilização (por exemplo, esgotando as chamadas de API na primeira hora) é suspeita.
• Sessões Simultâneas: Sinalize as contas acessadas a partir de múltiplos IPs geograficamente distantes ao mesmo tempo.

Monitore o Comportamento do Usuário com IA: Para uma abordagem proativa à fraude em testes gratuitos, monitorize os padrões de atividade do utilizador. Comportamentos suspeitos, como a criação rápida de contas de diferentes geolocalizações ou picos de utilização anormais, podem ser sinalizados para análise.

A implementação de sistemas de deteção de fraudes baseados em aprendizagem automática e IA pode automatizar este processo. Estes sistemas analisam grandes volumes de dados para identificar padrões de abuso sofisticados que seriam difíceis de detetar por um humano. Com o tempo, o modelo de IA pode aprender e adaptar-se a novas táticas de abuso.

A estrutura do seu plano gratuito pode ser a sua melhor defesa. O objetivo é tornar o nível gratuito útil para uma avaliação legítima, mas pouco atrativo para uma utilização intensiva a longo prazo. Para o fazer bem, precisa de um caminho claro para os utilizadores fazerem o upgrade, o que implica compreender o processo de implementar preços por níveis.

3.1. Limite as funcionalidades, não apenas a utilização: Em vez de limitar apenas o número de ações (p. ex., 5 downloads), limite as funcionalidades que mais lhe custam ou que proporcionam mais valor.

3.2. Ofereça um período de teste gratuito por tempo limitado: Em vez de um plano gratuito permanente, ofereça um período de teste gratuito de 3 ou 7 dias. Isto cria um sentido de urgência e impede que os utilizadores permaneçam num plano gratuito indefinidamente. Para otimizar esta abordagem, reveja estas melhores práticas para períodos de teste gratuitos de SaaS para maximizar as conversões. Embora os abusadores dedicados ainda possam criar novas contas, isto força-os a migrar os seus dados e a recomeçar o seu trabalho a cada poucos dias, o que é um transtorno significativo.

Esta é uma das formas mais eficazes de prevenir o abuso de contas.  Também simplifica a transição para um plano pago, porque o sistema pode configurar pagamentos recorrentes sem necessidade de mais ações por parte do utilizador. Ao exigir um cartão de crédito válido para iniciar uma avaliação gratuita, você coloca um obstáculo significativo à criação de múltiplas contas.

Por último, seja transparente. Seus termos de serviço Deve deixar claro que é proibido criar múltiplas contas para burlar as limitações do plano gratuito. Embora isso não impeça os fraudadores que procuram tirar proveito indevido, isso lhe dá uma justificativa clara para suspender contas e define as expectativas para os usuários legítimos.