Come un'agenzia ha fatto onboarding di 80 account clienti senza un solo login condiviso

Il punto di rottura è arrivato, come succede di solito, sotto forma di foglio di calcolo. Un'agenzia di media buying cresciuta da una manciata di clienti a un portfolio sterminato teneva una scheda chiamata "Login" — una riga per cliente, colonne per username, password, backup 2FA e data dell'ultima modifica. Il giorno in cui quel foglio ha superato le ottanta righe, il responsabile operations ha smesso di scorrere e ha ammesso l'ovvio: questo non era un sistema, era una responsabilità con una barra di ricerca. Questa è la storia di come quell'agenzia ha imparato a fare onboarding di un account pubblicitario cliente senza condividere alcun login — un token System-User inserito una volta, l'auto-discovery che porta in superficie ogni account e ruoli interni invece di password.

Questo è un caso composito tratto da pattern d'agenzia comuni, ma la modalità di fallimento e la soluzione sono reali. I numeri esatti sono illustrativi; la proliferazione di credenziali, e il modo in cui diventa pericolosa mentre un'agenzia scala, no.

Il punto di rottura: un login per ogni cliente

Per i suoi primi anni, l'agenzia faceva onboarding dei clienti nell'unico modo che conosceva. Un nuovo cliente firmava, e la call di kickoff finiva con la stessa richiesta imbarazzante: "Puoi condividere il tuo login Meta così entriamo nell'account pubblicitario?" A volte il cliente consegnava la password personale di Facebook. A volte creava un utente usa-e-getta con diritti di admin. In entrambi i casi, l'agenzia se ne andava con un'altra credenziale da conservare, e la scheda "Login" cresceva di un'altra riga.

A dieci clienti era fastidioso. A ottanta era un rischio a tempo pieno. Ogni password che cambiava lato cliente rompeva l'accesso silenziosamente finché una campagna non andava in stallo. Ogni richiesta 2FA atterrava su un telefono che apparteneva a una persona, che diventava un singolo punto di fallimento per l'intero portafoglio. E nessuno poteva rispondere alla domanda che dovrebbe avere una risposta di una parola: chi, esattamente, ha accesso all'account di questo cliente in questo momento?

Perché i login condivisi erano il vero rischio

L'agenzia aveva dato per scontato che il suo rischio vivesse nella performance — una brutta settimana, un target mancato. La vera esposizione era il foglio dei login. Come esponiamo in perché i login condivisi stanno uccidendo la tua agenzia, una credenziale condivisa è il peggio di tutti i mondi insieme: non può essere attribuita, non può essere revocata in sicurezza e non può essere auditata.

Si accumulavano tre fallimenti. Primo, i seed 2FA e le password vivevano in un password manager, quindi l'accesso a un vault era l'accesso a ottanta clienti — una superficie di breach che nessun cliente avrebbe approvato. Secondo, i junior avevano accesso completo di default, perché un login condiviso non ha nozione di ruoli; consegnare a un nuovo buyer "la password" gli consegnava tutto. Terzo, l'offboarding era una caccia manuale: quando un buyer se ne andava, qualcuno doveva ricordare ogni Business Manager che quel buyer aveva toccato e togliere l'accesso a mano, account per account, sperando che nulla sfuggisse.

Quest'ultimo teneva sveglio di notte il responsabile operations. Un buyer in uscita con accesso residuo su decine di Business Manager dei clienti è l'esito di default di un modello a login condiviso — esattamente il tipo di crepa catalogata nella nostra rassegna degli errori di permessi sugli account pubblicitari d'agenzia.

Lo spostamento: collega con un token, non con una password

Il cambiamento è stato meno un nuovo strumento che un nuovo modello mentale: smettere di trattare l'accesso all'account come una credenziale da raccogliere, e iniziare a trattarlo come una connessione da stabilire una volta. L'agenzia ha spostato il suo portfolio su Wevion e ha collegato gli account clienti tramite un token System-User invece di un login personale.

La meccanica era quasi anticlimatica. Per ogni cliente, l'agenzia stabiliva un token System-User contro il Business Manager del cliente — una connessione sanzionata e a livello macchina che non dipende dalla password personale o dalla 2FA di nessuno. Il token veniva inserito una volta. Poi l'auto-discovery faceva la parte che richiedeva un pomeriggio: leggendo il business_id, portava in superficie ogni account pubblicitario e Business Manager raggiungibile da quel token e li tirava automaticamente nel workspace — nessuna copia di ID account tra schermate, nessun account scoperto tre settimane dopo.

Un login condiviso è un segreto che devi proteggere per sempre. Un token System-User è una connessione che stabilisci una volta e poi governi — la distinzione esplorata in login separati contro uno strato operativo multi-brand. L'agenzia non era più nel business di conservare password. Era nel business di concedere accesso.

Mappare il team sui ruoli, non sulle credenziali

Con gli account collegati, l'agenzia ha affrontato la domanda che l'era del login condiviso non le aveva mai permesso di porre in modo pulito: chi nel team dovrebbe poter fare cosa, su quale cliente?

L'accesso interno basato sui ruoli ha reso quello una configurazione, non una credenziale. A ogni buyer veniva dato un ruolo limitato agli account su cui lavorava davvero. Un senior sul roster enterprise otteneva accesso ampio lì e nessuno sul portafoglio small-business. Un junior otteneva esattamente gli account assegnati a lui e nient'altro. In modo cruciale, concedere quell'accesso non comportava mai consegnare un login Meta — il token sottostante restava con l'agenzia, e il buyer semplicemente operava dentro il workspace sotto il suo ruolo nominale.

È la metà del sistema che i login condivisi rendono impossibile. Non puoi limitare una password — puoi solo darla o negarla. I ruoli permettono all'agenzia di concedere l'accesso preciso di cui una persona ha bisogno e nient'altro, che è la premessa dietro il flusso di onboarding disciplinato che descriviamo in il playbook d'agenzia per l'onboarding cliente nella prima settimana. L'accesso è diventato qualcosa che assegni, revisioni e regoli — non un segreto che speri resti contenuto.

Onboarding del cliente successivo nella prima settimana

La prova è apparsa la volta successiva in cui l'agenzia ha firmato un cliente. Nel vecchio modello, fare onboarding di un nuovo account era una faccenda di più giorni e carica di tensione: rincorri il cliente per le credenziali, conservale, testa l'accesso, scopri un sub-account che nessuno aveva menzionato, rincorri di nuovo, e finalmente fai lavorare un buyer entro la fine della seconda settimana.

Il nuovo flusso ha compresso tutto. L'agenzia stabiliva il token System-User, l'auto-discovery portava in superficie gli account e i Business Manager del cliente in un passaggio, e il responsabile operations assegnava ai buyer i loro ruoli. Il buyer lavorava dentro il workspace nella prima settimana — senza aspettare un reset di password, senza essere bloccato da una richiesta 2FA instradata a qualcuno in ferie. Il cliente, da parte sua, era sollevato di non dover consegnare la sua password personale di Facebook a un'agenzia esterna, trasformando una richiesta di kickoff scomoda in un punto di fiducia.

Cosa è cambiato per sicurezza e audit

La storia della sicurezza era la parte che il responsabile operations non aveva del tutto previsto. Due cose sono migliorate drasticamente in una volta.

L'offboarding è passato da una caccia a un clic. Quando un buyer se ne andava, non c'era una lista di Business Manager da setacciare né una password condivisa da resettare su ottanta clienti. Il ruolo del buyer veniva revocato nel workspace, e il suo accesso finiva ovunque in una volta — in effetti con una sola azione. L'ansia da "li abbiamo presi tutti?" è sparita, perché l'accesso non era mai stato sparso tra le credenziali in primo luogo.

E l'agenzia poteva finalmente rispondere alla domanda sull'accesso. Poiché ogni buyer lavorava sotto un ruolo nominale invece che sotto un'identità condivisa, l'agenzia aveva un quadro chiaro di chi poteva toccare cosa, e un registro di chi lo aveva fatto — i permessi decidono chi può cambiare un account, e la traccia registra cosa hanno cambiato. Un'agenzia che gestisce il suo portfolio così può dire a qualsiasi cliente con precisione chi ha accesso e cosa ha fatto, che è una conversazione diversa da "pensiamo fosse uno dei nostri buyer".

La vista di portfolio: un workspace, sei piattaforme

Il modello token-e-ruoli non era una comodità solo-Meta. Lo stesso principio — collega un account una volta, concedi ruoli interni, non far mai circolare una credenziale — si estende alle sei piattaforme supportate dal workspace: Meta, Google, TikTok, Taboola, Snapchat e Outbrain. Un cliente che gestiva Meta e TikTok e un po' di Taboola non era più tre problemi di login. Era un solo cliente collegato in un solo workspace, con i buyer dell'agenzia che lavoravano ogni canale sotto lo stesso ruolo che già avevano.

Quel consolidamento ha finalmente mandato in pensione la scheda "Login" per sempre. L'agenzia non gestiva ottanta password su sei piattaforme — un numero che sarebbe arrivato a centinaia di credenziali. Gestiva un solo portfolio, governato dai ruoli, collegato dai token, visibile in un solo posto. Il resto del playbook operativo vive nell'hub strumenti per agenzie.

Sul pricing, il modello scala con il portfolio invece che con il team: i seat sono illimitati su ogni piano, quindi aggiungere buyer non costa mai di più, e gli account in parallelo scalano da tre sul tier Free permanente (€0), passando per Starter a €99/mese e Pro a €499/mese, fino a illimitati su Plus a €1.499/mese (€1.199 annuali, fatturati a −20% sull'anno), con Enterprise come piano custom. Ogni tier a pagamento include una prova di 14 giorni che coesiste con il piano free.

La lezione: separa lo strato operativo dalla credenziale

Alla domanda su cosa direbbero a una versione più giovane dell'agenzia, il responsabile operations è diretto: l'errore era trattare l'accesso all'account e lo strumento operativo come la stessa cosa. Non lo sono. La credenziale — la password, il seed 2FA — è del cliente. Lo strato operativo, dove i tuoi buyer lanciano, modificano e rendicontano, è tuo. L'era del login condiviso li ha fusi, e quella fusione era la fonte di ogni problema: la proliferazione, le cacce all'offboarding, la domanda sull'accesso senza risposta.

Separarli è l'intera soluzione. Collega l'account una volta tramite un token System-User, lascia che l'auto-discovery porti in superficie tutto ciò che quel token può raggiungere, e dai al tuo team ruoli interni invece di password. Fai questo, e fare onboarding dell'ottantunesimo cliente assomiglia a fare onboarding del primo — una connessione stabilita e qualche ruolo assegnato — invece di un'altra riga su un foglio di calcolo che avrebbe dovuto smettere di crescere molto tempo fa. L'agenzia che può fare onboarding di un account cliente senza condividere un login è quella che può continuare ad aggiungere clienti senza che il suo rischio si accumuli insieme a loro.