Definizione
reCAPTCHA v3 è la terza grande iterazione del servizio CAPTCHA di Google, rilasciata a ottobre 2018. A differenza dei predecessori — che chiedevano agli utenti di selezionare una checkbox o risolvere puzzle a immagini — la v3 è completamente passiva. Gira silenziosamente in background nel browser, osserva le interazioni dell’utente sulla pagina e produce un punteggio di rischio numerico che il proprietario del sito usa per decidere come gestire la sessione. 1,0 indica alta confidenza che il visitatore sia umano; 0,0 indica traffico quasi certamente automatico.
Il sistema costruisce sull’infrastruttura di reCAPTCHA v2 ma rimuove l’attrito delle sfide esplicite. L’obiettivo dichiarato di Google era eliminare l’interazione “I’m not a robot” per la grande maggioranza degli utenti legittimi, riducendo abbandono carrello e drop-off dei moduli pur mantenendo o migliorando la copertura nel rilevamento dei bot.
Come funziona
reCAPTCHA v3 opera tramite una libreria JavaScript caricata da https://www.google.com/recaptcha/api.js. Una volta caricata, inizia a raccogliere passivamente una fingerprint comportamentale per la sessione corrente. I segnali raccolti includono traiettorie del mouse, comportamento di scroll, pattern temporali tra le pressioni dei tasti, sequenza delle interazioni DOM, età e attività del cookie dell’account Google nel browser (se presente) e caratteristiche di rete della connessione.
Quando il proprietario del sito vuole valutare una specifica azione — come l’invio di un form o un click sul pulsante di voto — chiama grecaptcha.execute(siteKey, {action: 'vote'}). Questo attiva l’infrastruttura di analisi di rischio di Google, che calcola un punteggio per la sessione e restituisce un token firmato (un JSON Web Token) al browser. Il token viene poi inviato insieme ai dati del form.
Lato server, l’applicazione ricevente invia il token all’endpoint di verifica di Google https://www.google.com/recaptcha/api/siteverify con la secret key del sito. La risposta di Google include il punteggio numerico, un timestamp, il nome dell’azione e una conferma dell’hostname. Lo sviluppatore imposta una soglia — comunemente 0,5 — sotto la quale gli invii vengono bloccati, segnalati per revisione aggiuntiva o inviati a una sfida secondaria come reCAPTCHA v2.
reCAPTCHA Enterprise, il livello a pagamento disponibile via Google Cloud, estende v3 con segnali aggiuntivi, spiegazioni del punteggio scomposte per fattore contributivo, funzionalità Account Defender e garanzie di SLA.
Dove lo incontri
reCAPTCHA v3 è distribuito su una vasta gamma di proprietà web in cui la verifica senza attrito è una priorità. Le piattaforme di concorsi e sweepstakes lo integrano sull’endpoint di invio voto e sui form di registrazione. Le piattaforme e-commerce lo usano al checkout per prevenire credential stuffing. Le testate giornalistiche lo usano sugli endpoint di invio commento. Le società di servizi finanziari lo applicano sui flow di reset password e bonifico. Le piattaforme di vendita biglietti lo usano per rallentare i bot dei bagarini durante le on-sale ad alta domanda.
Poiché la v3 è invisibile, la sua presenza non è evidente agli utenti comuni — solo gli sviluppatori che esaminano il source o monitorano il traffico di rete noteranno le chiamate API a recaptcha.
Esempi pratici
Un concorso fotografico regionale ospitato su un minisito custom integra reCAPTCHA v3 sull’endpoint di voto. Ogni invio attiva una chiamata grecaptcha.execute. Gli invii con punteggio sotto 0,3 vengono scartati silenziosamente; quelli tra 0,3 e 0,5 sono loggati per revisione a fine concorso; quelli sopra 0,5 vengono registrati subito. L’organizzatore esamina gli invii trattenuti e squalifica quelli che condividono fingerprint di dispositivo o provengono da range IP concentrati.
Una no-profit nazionale gestisce una grant competition in cui i voti pubblici determinano una parte dell’allocazione di fondi. La piattaforma usa reCAPTCHA v3 in combinazione con la conferma email. Il punteggio CAPTCHA viene salvato con ogni voto, permettendo all’amministratore di ri-thresholdare i dati a chiusura del concorso — regolando di fatto la sensibilità di rifiuto bot retroattivamente in base alla distribuzione osservata.
Un programma di premi universitari distribuisce reCAPTCHA Enterprise per sfruttare le spiegazioni del punteggio. Il log di audit mostra che un’ondata di voti a basso punteggio su una candidatura proviene da una singola sottorete, e il conteggio di quella candidatura viene corretto prima dell’annuncio dei vincitori.
Concetti correlati
reCAPTCHA v3 sta accanto alle generazioni precedenti di CAPTCHA nello stesso ecosistema di rilevamento. La voce di base reCAPTCHA copre nel dettaglio le meccaniche di v1 e v2. hCaptcha e Cloudflare Turnstile sono sistemi concorrenti che offrono trade-off diversi su privacy, tipo di sfida e dipendenza dal vendor. La biometria comportamentale descrive la categoria più ampia di misurazione passiva delle interazioni che fa da base all’approccio di scoring di reCAPTCHA v3.
Limiti e avvertenze
reCAPTCHA v3 delega completamente all’operatore del sito la decisione sulla soglia di rischio, e questo crea inconsistenza tra deploy. Un sito che imposta la soglia a 0,3 accetta molto più traffico bot di uno che la imposta a 0,7. Google non pubblica i segnali specifici o i pesi alla base del punteggio, rendendo impossibile l’audit indipendente. Inoltre, poiché il sistema si basa in parte sulla telemetria dell’account Google, gli utenti non loggati in un account Google — o che usano browser che bloccano i cookie Google — possono ottenere punteggi più bassi di quanto il loro comportamento meriterebbe, generando potenziali falsi positivi.
