Rilevare il multi-account nel gaming e nel SaaS
Quando una sola persona crea decine di account, il rilevamento tradizionale fallisce. Il fingerprinting del dispositivo rivela l'hardware dietro gli account.
Il multi-account è uno degli schemi di frode più comuni tra le piattaforme di gaming, SaaS e marketplace. Gli utenti creano più account per abusare delle prove gratuite, manipolare le classifiche, aggirare i ban o accumulare offerte promozionali. Il rilevamento tradizionale si affida all'abbinamento tramite email/IP, che viene banalmente aggirato con email usa e getta e VPN.
Il collegamento al dispositivo
L'identificazione del dispositivo cambia l'equazione. Quando un utente crea l'Account A sul Dispositivo X, registriamo il fingerprint del dispositivo. Quando lo stesso dispositivo crea l'Account B — anche con email, IP, VPN e profilo del browser diversi — la corrispondenza del fingerprint espone il collegamento. Il dispositivo è la costante che gli utenti non possono cambiare facilmente.
Il nostro abbinamento tra sessioni funziona perché l'architettura di identificazione multi-livello di tracio.ai separa i segnali hardware (GPU, schermo, audio) dai segnali software (font, plugin, user agent). I segnali hardware sono estremamente difficili da falsificare senza modifiche fisiche all'hardware. Anche quando gli utenti installano browser diversi o usano macchine virtuali, la stringa del renderer GPU sottostante, l'output di rendering del canvas e le caratteristiche di elaborazione audio restano coerenti.
Schemi di rilevamento reali
Schema 1: abuso della prova gratuita
Una piattaforma SaaS offre prove gratuite di 14 giorni. Un utente si registra, usa la prova e, quando scade, crea un nuovo account con un'email diversa. tracio.ai rileva che entrambi gli account provengono dallo stesso dispositivo. La piattaforma può quindi far rispettare una politica «una prova per dispositivo» senza penalizzare gli utenti legittimi.
Schema 2: account smurf nel gaming
Le piattaforme di gaming competitivo affrontano lo «smurfing» — giocatori esperti che creano nuovi account per giocare contro i principianti. tracio.ai individua quando un nuovo account viene creato su un dispositivo che ha già un account con classifica. La piattaforma può accelerare la valutazione di matchmaking del nuovo account o segnalarlo per una revisione manuale.
Schema 3: manipolazione nei marketplace
I marketplace di e-commerce vedono venditori che creano più account per pubblicare recensioni false o manipolare le classifiche di ricerca. L'abbinamento dei dispositivi di tracio.ai rivela quando più account venditore operano dallo stesso dispositivo, abilitando un'applicazione automatizzata delle regole.
Schema 4: accumulo di promozioni
Una piattaforma offre una promozione «10 $ di sconto sul primo ordine». Gli utenti creano più account per accumulare lo sconto su più ordini. tracio.ai rileva il dispositivo comune e limita la promozione a un solo utilizzo per dispositivo.
Approccio di implementazione
L'implementazione più semplice interroga l'API di tracio.ai dopo la creazione dell'account e verifica se il dispositivo è stato visto con altri account:
Dopo che l'utente si è registrato e ha completato la prima identificazione del dispositivo, interroghi l'endpoint della cronologia del visitatore. Se il fingerprint del dispositivo è stato associato ad altri account nel suo sistema, applichi la sua politica sul multi-account: bloccare l'account, richiedere una verifica aggiuntiva o segnalare per una revisione manuale.
Considerazioni sulla privacy
Il rilevamento del multi-account deve bilanciare la prevenzione delle frodi con la privacy dell'utente. Raccomandiamo una dichiarazione trasparente: informi gli utenti che i segnali del dispositivo sono usati per prevenire gli abusi. Fornisca un percorso di ricorso per i casi legittimi — ad esempio, familiari che condividono un dispositivo. E non usi mai i segnali del dispositivo per negare il servizio senza ulteriori prove.
In tracio.ai forniamo i dati sulla corrispondenza del dispositivo. La sua piattaforma decide la politica. Alcuni clienti adottano un approccio morbido (richiedere la verifica telefonica per gli account che condividono un dispositivo), mentre altri assumono una posizione rigida (un account per dispositivo). La politica giusta dipende dal suo contesto aziendale e dai requisiti normativi.