reCAPTCHA v3

Definição

reCAPTCHA v3 é a terceira grande versão do serviço CAPTCHA do Google, lançado em outubro de 2018. Diferentemente das versões anteriores — que pediam para você marcar um quadrado ou resolver quebra-cabeças com imagens — a v3 é totalmente passiva. Ela roda em silêncio em segundo plano no navegador, observando interações ao longo da página, e devolve uma pontuação numérica de risco que o dono do site usa para decidir como tratar a sessão. Score 1,0 representa alta confiança de que a pessoa é humana; 0,0 indica tráfego automatizado quase certo^[1].

O sistema se apoia na infraestrutura do reCAPTCHA v2, mas elimina o atrito do desafio explícito. O objetivo declarado pelo Google era acabar com a interação “não sou um robô” para a maior parte dos usuários legítimos, reduzindo abandono de carrinho e taxa de saída em formulário, mantendo ou melhorando a cobertura de detecção de bot.

Como funciona

O reCAPTCHA v3 opera por uma biblioteca JavaScript carregada de https://www.google.com/recaptcha/api.js. Uma vez carregada, ela começa a coletar de forma passiva um fingerprint comportamental da sessão. Os sinais incluem trajetórias de movimento do mouse, comportamento de rolagem, padrões de timing entre teclas, sequência de interações com o DOM, idade e atividade do cookie da conta Google no navegador (se houver) e características de rede da conexão de origem.

Quando o site quer avaliar uma ação específica — por exemplo, um envio de formulário ou um clique no botão de voto — chama grecaptcha.execute(siteKey, {action: 'vote'}). Isso aciona a infraestrutura de análise de risco do Google, que computa um score para a sessão e devolve um token assinado (um JSON Web Token) ao navegador. O token é enviado junto com os dados do formulário.

No lado servidor, a aplicação receptora envia o token ao endpoint de verificação do Google em https://www.google.com/recaptcha/api/siteverify, junto com a chave secreta do site. A resposta do Google traz score numérico, timestamp, nome da action e confirmação do hostname. O dev define um limiar — em geral 0,5 — abaixo do qual as submissões são bloqueadas, marcadas para revisão adicional ou enviadas a um desafio secundário, como reCAPTCHA v2.

O reCAPTCHA Enterprise, tier pago disponível pelo Google Cloud, estende a v3 com sinais adicionais, explicações de score por fator contribuinte, recursos de account defender e SLAs com garantias.

Onde você encontra

reCAPTCHA v3 está implantado em uma gama enorme de propriedades web em que verificação sem atrito é prioridade. Plataformas de concurso e sweepstakes integram no endpoint de envio de voto e no formulário de cadastro. Plataformas de e-commerce usam no checkout para impedir credential stuffing. Veículos de notícia usam em endpoints de envio de comentário. Empresas de serviços financeiros aplicam em fluxos de redefinição de senha e transferência. Plataformas de venda de ingressos usam para frear bots cambistas em on-sales de alta demanda^[2].

Como a v3 é invisível, sua presença não fica aparente para usuários casuais — só devs olhando o código-fonte ou monitorando tráfego de rede percebem as chamadas à API recaptcha.

Exemplos práticos

Um concurso regional de fotografia hospedado em microsite customizado integra reCAPTCHA v3 no endpoint de voto. Cada submissão dispara grecaptcha.execute. Submissões com pontuação abaixo de 0,3 são descartadas em silêncio; entre 0,3 e 0,5 ficam logadas para revisão em lote no fim do concurso; acima de 0,5 são gravadas na hora. O operador revisa as submissões retidas e desclassifica as que compartilham fingerprints de dispositivo ou vêm de faixas de IP concentradas.

Uma ONG nacional roda uma competição de bolsas em que o voto público define parte da alocação. A plataforma usa reCAPTCHA v3 combinado com confirmação por e-mail. O score do CAPTCHA fica armazenado em cada registro de voto, permitindo ao administrador ajustar o limiar dos dados depois do encerramento do concurso — efetivamente recalibrando a sensibilidade de rejeição de bot de forma retroativa, com base na distribuição observada de scores.

Um programa universitário de premiação para estudantes implanta reCAPTCHA Enterprise para usar as explicações de score. O log de auditoria mostra que uma onda de votos com score baixo numa indicação se originou de uma única sub-rede, e a contagem da inscrição é ajustada antes do anúncio dos vencedores.

Conceitos relacionados

reCAPTCHA v3 fica ao lado das gerações anteriores de CAPTCHA no mesmo ecossistema de detecção. A entrada base sobre reCAPTCHA cobre v1 e v2 em detalhe. hCaptcha e Cloudflare Turnstile são sistemas concorrentes com trade-offs diferentes em privacidade, tipo de desafio e dependência de fornecedor. Biometria comportamental descreve a categoria mais ampla de medição passiva de interação que está por trás da abordagem de score do reCAPTCHA v3.

Limitações e ressalvas

reCAPTCHA v3 delega a decisão do limiar de risco totalmente ao operador do site, o que cria inconsistência entre implantações. Um site que define limiar de 0,3 aceita muito mais tráfego de bot que outro com 0,7. O Google não publica os sinais ou pesos específicos por trás do score, o que torna auditoria independente impossível. Além disso, como o sistema depende em parte da telemetria de conta Google, usuários não logados — ou que usam navegadores que bloqueiam cookies do Google — podem receber scores menores do que seu comportamento mereceria, gerando falsos positivos para eleitores legítimos^[3].

Fontes

1. Google Developers — reCAPTCHA v3: https://developers.google.com/recaptcha/docs/v3
2. Wikipedia — reCAPTCHA: https://en.wikipedia.org/wiki/ReCAPTCHA
3. Google Cloud — reCAPTCHA Overview: https://cloud.google.com/recaptcha/docs/overview