Elido
Blog
14 min de leituraIndústrias

Encurtadores de URL para fintech: funis KYC, conformidade e links geo-restringidos

Como neobancas, processadores de pagamento, exchanges de criptomoedas e equipas de insurtech utilizam links curtos mantendo a conformidade — atribuição de funis KYC, divulgações FCA/MiFID II, bloqueio geográfico, resistência ao phishing e registo de auditoria explicados

Ana Kowalska
Marketing solutions engineering
Fintech compliance funnel: paid social → short link → KYC vendor → account open, with geo-block and audit log overlays on the redirect layer

A fintech é o sector em que um redirecionamento mal configurado pode desencadear uma notificação de medidas regulatórias. Um link de promoção de criptomoedas apresentado a um utilizador no Reino Unido sem aviso de risco é uma infração à FCA. Um link de produto geo-restringido que ignora a verificação de IP é uma violação de licença. Um CTA "abrir conta" que passa por um encurtador gratuito bit.ly é filtrado como spam pelos operadores móveis britânicos antes de o utilizador o ver.

Este artigo aborda a arquitetura de links para produtos financeiros regulados: neobancas, processadores de pagamento, exchanges de criptomoedas e insurtech. Os quatro antipadrões no final provêm de revisões de conformidade reais.

Para a postura básica do RGPD na camada de redirecionamento, RGPD para encurtadores de URL é o ponto de partida adequado. Este artigo pressupõe que já tem essa base e foca-se nos requisitos específicos da fintech que se lhe acrescentam.

Todos os outros sectores usam links curtos por conveniência — texto mais curto num e-mail, UTMs rastreáveis numa campanha. A fintech usa-os para tudo isso, mas com uma restrição adicional: o próprio redirecionamento faz parte da cadeia de promoção regulada.

A FCA britânica e a MiFID II da UE definem "promoção financeira" de forma ampla. O link curto que conduz a uma página promocional faz parte dessa cadeia. Se a página de destino omite o aviso de risco obrigatório, ou se a restrição geográfica não é aplicada na camada de redirecionamento, a infração existe independentemente do que a equipa jurídica escreveu no briefing da campanha.

O serviço de links curtos não é apenas uma ferramenta de desempenho. É um ponto de controlo de conformidade.

1. Atribuição do funil KYC#

A métrica principal para o marketing das neobancas é o custo por conta adquirida — não o custo por clique nem o custo por instalação. O funil tem o seguinte aspeto:

  1. Impressão do anúncio → clique → link curto → loja de aplicações / página de destino
  2. Instalação da app → início do registo
  3. Iniciação do KYC (carregamento de documento de identificação)
  4. KYC aprovado / reprovado
  5. Conta ativada

A maioria das ferramentas de atribuição instrumenta bem os passos 1–2 e mal o passo 5. Os passos 3 e 4 — o verdadeiro estrangulamento — são invisíveis a menos que ligue o webhook do fornecedor de KYC à sua análise de links.

O que isto significa para a camada de links curtos:

Cada canal recebe o seu próprio link curto com parâmetros UTM incorporados. go.yourbank.com/open/paid-ig-summer25 para o Instagram pago, go.yourbank.com/open/email-reactivation para a sequência de reativação, go.yourbank.com/open/partner-wise para um parceiro de referência. O UTM flui para o formulário de registo através de um campo oculto, persiste no registo do utilizador e está disponível quando o fornecedor de KYC aciona o seu webhook identity_check.completed.

O seu pipeline de análise junta então: evento de clique (do serviço de links curtos) → evento de registo (do seu backend) → evento de resultado KYC (do webhook da Onfido / Veriff / Sumsub) → evento de conta ativada. A chave de junção é o par UTM campaign + source capturado no momento do clique.

Sem links curtos ao nível do canal, esta junção é impossível. Conhece a taxa de aprovação KYC agregada, mas não sabe que o tráfego pago do Instagram tem uma taxa de aprovação KYC de 34 % contra 61 % da reativação por e-mail — e é esse número que a equipa financeira precisa para definir os objetivos de CAC por canal.

Para a mecânica de encaminhamento de eventos que torna possível a junção, o padrão descrito em rastreamento de campanhas UTM de ponta a ponta aplica-se diretamente — substitua "checkout" por "aprovação KYC" como evento de conversão a jusante.

2. Divulgações exigidas pelos reguladores#

A FCA, a MiFID II e o Digital Services Act da UE exigem todos que determinados conteúdos promocionais sejam acompanhados de divulgações específicas. A redação exata varia consoante o tipo de produto (risco de investimento, volatilidade de criptomoedas, risco de crédito), mas o princípio é consistente: o utilizador deve ver a divulgação na proximidade da alegação promocional.

O próprio link curto não pode conter a divulgação. Redireciona; não renderiza conteúdo. Mas o URL de destino deve contê-la — e isto cria uma armadilha.

A armadilha: uma campanha é lançada com um link curto a apontar para uma página de destino dedicada que contém o aviso de risco correto. Três semanas depois, a equipa de performance marketing atualiza a página de destino para testar A/B um hero "mais limpo" que remove o bloco de aviso para melhorar a conversão. O link curto continua a apontar para o mesmo URL; o URL já não contém o aviso. A campanha está agora em infração e não existe qualquer registo de quando o destino foi alterado.

Os controlos que o evitam:

  • A criação do link deve associar o URL de destino a um registo de campanha.
  • Qualquer edição ao URL de destino deve ser registada com carimbo de data/hora e ID de utilizador — não apenas o estado atual, mas o histórico completo de edições.
  • Uma verificação automatizada deve analisar a página de destino no momento da criação e assinalar elementos de divulgação em falta (isto é mais difícil — mas no mínimo, o serviço de links deve exigir uma aprovação humana nas alterações de destino para links marcados como promoções reguladas).

O requisito de registo de auditoria mais adiante neste artigo abrange a parte do registo. A verificação de conformidade é hoje um processo manual na maioria das equipas; algumas grandes fintechs integraram linters de URL de destino no seu pipeline de CI que validam a presença de divulgações antes de uma campanha poder ser lançada.

Alguns produtos não podem ser legalmente promovidos em certas jurisdições. O caso mais frequentemente litigado é o das criptomoedas:

  • Reino Unido: As regras da FCA sobre promoção de criptomoedas (em vigor desde outubro de 2023) exigem que qualquer promoção de criptomoedas dirigida a pessoas no Reino Unido seja aprovada por uma empresa autorizada pela FCA ou emitida por uma empresa registada de criptoativos. A promoção a utilizadores no Reino Unido sem essa aprovação é um crime.
  • EUA: A BitLicense de Nova Iorque e várias regulamentações estaduais de transmissão de dinheiro restringem quais produtos de criptomoedas podem ser oferecidos.
  • EU MiCA: Os prestadores de serviços de criptoativos devem estar registados; o marketing para utilizadores da UE requer divulgações conformes com MiCA por tipo de produto.

A resposta padrão é o bloqueio geográfico: detetar o país do utilizador por IP e redirecionar para uma página específica da jurisdição (ou uma página "não disponível na sua região") em vez do URL promocional.

Esta verificação geográfica deve ocorrer na camada de redirecionamento, não na página de destino.

Se o link curto redirecionar para uma página de marketing que depois realiza a verificação geográfica em JavaScript, existe uma janela temporal — entre o redirecionamento e a execução do JS — em que o conteúdo promocional é renderizado. Em ligações lentas, dispositivos lentos ou se o JS falhar, a página promocional completa pode ser renderizada de qualquer forma. Essa renderização constitui uma promoção apresentada a um utilizador numa jurisdição restrita.

A arquitetura correta: o serviço de links curtos avalia o IP do pedido face a um conjunto de regras geográficas e devolve um 302 para o destino promocional ou um 302 para a página da região bloqueada, antes de qualquer conteúdo promocional ser transmitido ao cliente.

A geo-restrição do Elido funciona na camada edge (a mesma que trata o redirecionamento) sem ida e volta a uma origem para a verificação de política. A consulta de IP para país é realizada em processo contra uma base de dados MaxMind GeoLite2 em cache localmente e atualizada semanalmente. O conjunto de regras de geografia restrita é por link, armazenado junto ao registo do link e avaliado no mesmo caminho de pedido que a resolução do redirecionamento.

Para as implicações de residência de dados ao armazenar mapeamentos de IP para geografia de utilizadores da UE, residência de dados da UE para marketing abrange os requisitos relevantes do RGPD.

4. Resistência ao phishing e reputação do domínio#

A fintech é o alvo principal do phishing por SMS (smishing). O padrão de ataque está bem estabelecido: enviar um SMS que parece provir de um banco, incluir um link curto para uma página de recolha de credenciais, e recolher as credenciais antes que o utilizador repare.

Os serviços de links curtos fazem parte desta superfície de ataque de duas formas:

  1. O atacante usa um serviço genérico de links curtos (bit.ly/bank-verify) para ocultar o destino de phishing. O utilizador vê um link curto que pode parecer ter vindo do seu banco.
  2. O atacante encurta para um domínio que parece o banco — o squatting de domínios é comum. elido-lloyds.com/verify não é lloyds.com, mas num SMS pode confundir-se facilmente à primeira vista.

As equipas de fintech que utilizam um encurtador de URL precisam de endereçar ambas as direções: garantir que os seus próprios links não sejam confundidos com phishing, e garantir que o encurtador não encurtará destinos de phishing.

Sinais de um serviço de links curtos resistente ao phishing:

  • Domínio personalizado da sua marca. go.yourbank.com não pode ser falsificado por alguém a registar um domínio de encurtador diferente. bit.ly/yourbank pode (e foi) falsificado através de bit.ly/yourb4nk.
  • Análise prévia do destino. O encurtador deve recusar encurtar um URL que resolve para um domínio numa lista de bloqueio (Google Safe Browsing, SURBL, PhishTank). Isto impede um atacante de usar o seu encurtador como camada de indireção.
  • DMARC/SPF no domínio de redirecionamento. Se enviar links go.yourbank.com por e-mail, o próprio e-mail precisa de alinhamento DMARC/SPF em yourbank.com. O domínio de redirecionamento precisa no mínimo de um registo SPF para que os MTAs receptores possam verificar a origem do domínio do link.
  • Redirecionamentos apenas HTTPS. O encurtador deve recusar resolver para destinos http://. Um destino HTTP num SMS financeiro é imediatamente suspeito; HTTPS é o mínimo indispensável.

A lista de verificação de segurança de encurtadores de URL abrange o conjunto completo de controlos em detalhe, incluindo a configuração HSTS no domínio de redirecionamento e os registos de transparência de certificados que vale a pena monitorizar.

5. Registo de auditoria para conformidade#

Um auditor de serviços financeiros a rever uma campanha de marketing irá perguntar:

  • Quem criou este link curto e quando?
  • Qual era o URL de destino no lançamento da campanha?
  • O URL de destino foi alguma vez alterado? Por quem? Quando?
  • Qual é o volume de cliques e houve algum padrão de tráfego anómalo?
  • Quando foi retirado o link?

Se o serviço de links não conseguir responder a todas as cinco perguntas para cada link criado nos últimos três anos, a auditoria irá assinalar uma lacuna de controlo. Numa entidade regulada, uma lacuna de controlo assinalada por um auditor torna-se um ponto de ação com um prazo de remediação.

O que isto significa na prática:

Cada link curto deve ser criado com uma conta de utilizador nomeada (não uma chave API partilhada). O registo do link deve incluir a etiqueta de campanha, a etiqueta de produto (para classificação do produto financeiro) e o proprietário da equipa. Cada edição ao URL de destino deve escrever uma entrada de registo imutável — a base de dados de análise de links é o lugar certo para isso, não um campo mutável num CMS.

Os registos de cliques devem ser conservados pelo período exigido. Segundo as regras de manutenção de registos da FCA britânica, as comunicações relativas a uma atividade regulada devem ser conservadas por cinco anos (certos instrumentos MiFID II alargam isto para sete anos). Os dados de cliques de um link de promoção financeira estão provavelmente dentro do âmbito — verifique com a sua equipa de conformidade.

O mínimo prático: carimbos de data/hora (criação, cada edição de URL de destino, retirada) + atribuição de utilizador para cada ação + volume de cliques com granularidade diária conservado durante cinco anos. A exportação para o seu SIEM ou armazém de dados de conformidade é a opção mais segura — não dependa do painel de controlo do serviço de links como registo de auditoria.

Para o provisionamento SSO/SCIM que torna a atribuição por utilizador gerível à escala (para não estar a gerir 40 contas individuais do encurtador), SCIM e SSO para ferramentas de marketing abrange o modelo de provisionamento.

6. Links qualificados eIDAS da UE — um caso de nicho que vale a pena conhecer#

A maioria dos links curtos em fintech são redirecionamentos de marketing comuns. Mas para um pequeno subconjunto de casos de uso regulados — entrega transfronteiriça de documentos KYC, fluxos de trabalho de assinatura eletrónica, serviço qualificado de entrega eletrónica registada (QERDS) — o próprio link pode precisar de ter estatuto qualificado eIDAS.

O eIDAS é o quadro da UE para a identificação eletrónica e os serviços de confiança. Uma "entrega eletrónica qualificada" ao abrigo do eIDAS implica uma presunção de integridade e entrega que um simples redirecionamento 302 não possui.

Esta não é uma preocupação típica de uma equipa de marketing. Mas se a sua equipa de fintech estiver a construir um fluxo de entrega de documentos transfronteiriço (por exemplo, entregar um pacote de pedido KYC a um cliente noutro Estado-membro da UE com um comprovativo certificado de receção), o mecanismo de entrega — incluindo qualquer link curto na notificação — pode precisar de ser emitido por um Prestador de Serviços de Confiança Qualificado eIDAS, e não por um encurtador de URL de uso geral.

Alerte a sua equipa jurídica para este aspeto se estiver a construir fluxos de trabalho de entrega de documentos regulados transfronteiriços. Para links de marketing comuns, esta secção não se aplica.

Os quatro antipadrões#

1. Utilizar um link bit.ly gratuito numa campanha de SMS regulada.

Vários grandes operadores móveis britânicos introduziram filtragem do domínio bit.ly em rotas de SMS que tipicamente transportam spam financeiro. Um link bit.ly num SMS de um banco pode ser suprimido completamente pelo operador ou assinalado com um aviso de spam antes de o utilizador o ver. Para além da entregabilidade, o bit.ly não fornece geo-restrição, nem registo de auditoria atribuível à sua organização, nem análise prévia do destino. Os encurtadores gratuitos não são um controlo de conformidade.

2. URL de destino a apontar para uma variante de marketing que omite o aviso de risco.

Esta é de longe a falha de conformidade de links curtos mais comum em fintech numa revisão regulatória. O briefing da campanha especifica o aviso; a variante de página criada para um teste A/B específico ou um mercado geográfico específico omite-o; o link curto mantém-se a apontar para a variante errada durante semanas. Quando a equipa de conformidade revê, a janela de auditoria já passou e não existe qualquer registo de quando o destino foi alterado. Solução: registos imutáveis de edição de destino e um passo de aprovação nas alterações de destino para links etiquetados como promoções reguladas.

3. Sem geo-restrição aplicada a um produto que não pode ser promovido em certas jurisdições.

Uma exchange de criptomoedas lança uma campanha de Instagram direcionada ao Reino Unido. O link curto resolve sem verificação geográfica. Uma pequena percentagem de cliques vem de endereços IP britânicos. Esses cliques constituem uma promoção a pessoas no Reino Unido por parte de uma entidade sem aprovação da FCA. O facto de os parâmetros de segmentação indicarem "excluir Reino Unido" não é uma defesa — a camada de redirecionamento é onde a aplicação acontece, e se não a aplicou, a infração ocorreu.

4. Sem rasto de auditoria de quem editou o URL de destino após o lançamento da campanha.

A equipa de conformidade pergunta quem alterou o URL de destino. A resposta do serviço de links é um carimbo de data/hora de última modificação numa linha de base de dados. Sem ID de utilizador, sem histórico, sem estados intermédios. Isso não é um rasto de auditoria. Um rasto de auditoria é um registo de adição exclusiva de cada estado pelo qual o registo passou, com a identidade do ator que causou cada transição. Se o seu serviço de links fornece um registo de redirecionamento mutável sem histórico, não tem um rasto de auditoria.

Onde está o Elido#

O Elido foi construído com prioridade para a UE, o que significa que os requisitos de conformidade acima moldaram a arquitetura desde o início em vez de serem acrescentados posteriormente:

  • Geo-restrição na edge — listas de bloqueio de países por link avaliadas no momento do redirecionamento no mesmo passo em-processo que a pesquisa de URL. Sem ida e volta à origem, sem dependência de JavaScript, sem janela em que o conteúdo promocional é renderizado para um utilizador de uma região restrita.
  • Registo de edições imutável — cada alteração de URL de destino escreve um registo de adição exclusiva no ClickHouse com o ID de utilizador, o carimbo de data/hora e o valor anterior. O registo é exportável para CSV ou consultável através da API de análise.
  • Análise prévia do destino — novos links curtos são verificados contra o Safe Browsing + PhishTank antes da ativação. Os destinos que resolvem para domínios maliciosos conhecidos são rejeitados com um erro.
  • Atribuição por utilizador em cada ação — a criação, edição e retirada de links requerem todos uma sessão de utilizador autenticada. As chaves API partilhadas podem ser limitadas a só leitura para integrações de monitorização; as operações de escrita carregam sempre uma identidade de utilizador.
  • Residência de dados na UE por defeito — os dados de cliques residem no ClickHouse da região UE. Sem transferência transfronteiriça para o plano padrão. SOC 2 e HIPAA para rastreamento de links abrange o estatuto de auditoria e certificação por terceiros.
  • Fluxos de dados conformes com o Schrems II — o artigo Schrems II e pixels de rastreamento explica como os fluxos de dados de cliques estão estruturados para evitar o mecanismo de transferência Privacy Shield invalidado.

Para uma chamada de configuração com a equipa de conformidade e engenharia de soluções, a página de soluções fintech tem os detalhes relevantes.

Relacionado no blogue#

Experimente o Elido

Encurtador de URL hospedado na UE: domínios personalizados, análises profundas e API aberta. Plano gratuito — sem cartão de crédito.

Experimente o Elido grátisVer preços
Tags
fintech marketing
neobank links
kyc redirect tracking
financial promotion compliance
regulated short link

Continuar lendo