Persone o bot? A deciderlo sono i CAPTCHA

Per anni, i test CAPTCHA ci hanno aiutato a distinguere tra esseri umani e bot online, proteggendo i siti web da abusi automatizzati. Ma l’avvento dell’AI sta mettendo in discussione la loro efficacia. Quali soluzioni si stanno studiando a proposito?

Umano o non umano? È questo il dilemma… almeno per i CAPTCHA, la misura di sicurezza che molti siti web utilizzano per distinguere tra utenti umani e bot automatizzati.

Per anni, i CAPTCHA sono stati uno degli strumenti principali per proteggere i siti web da attacchi automatizzati e garantire che solo gli utenti umani potessero accedere a determinate risorse, ma con i rapidi progressi nell'intelligenza artificiale, i bot sono diventati sempre più sofisticati, riuscendo a superare facilmente le versioni più comuni di questi test.

E quindi, quali sono le nuove soluzioni per mantenere la sicurezza online?

Captcha: tra semafori, click e, soprattutto, tanta sicurezza

Che cos’hanno in comune dei semafori, delle immagini distorte e delle semplici operazioni matematica alla 5 + 3?

No, non è l’inizio di una barzelletta, ma è il classico test Captcha presente in tanti siti web.

Inventato all'inizio degli anni Duemila da alcuni ricercatori della Carnegie Mellon University, il significato di CAPTCHA è: Completely Automated Public Turing test to tell Computers and Humans Apart. Non un nome facilissimo da ricordare, ma che riassume perfettamente lo scopo: un test completamente automatizzato, accessibile al pubblico, pensato per capire se chi sta interagendo con un sito è una persona reale o un programma. Il primo modello si basava su testi difficili da interpretare per un computer, come frasi di senso compiuto o lettere casuali, generati con font differenti per ogni carattere o caratteri distorti. Successivamente, questa tecnologia è stata acquisita da Google e rinominata . La versione che siamo abituati a utilizzare noi, però, è la reCAPTCHA2 v2, dove all'utente viene mostrata una griglia contenente immagini da identificare, come dei riquadri con dei semafori che si devono selezionare per dimostrare di essere umani. Il sistema si basa sul fatto che, per un umano, dovrebbe essere semplice riconoscere oggetti in contesti complessi o ambigui, anche quando le immagini sono parziali o distorte.

Un altro test molto conosciuto è il box "Non sono un robot". A differenza di quelli basati sul riconoscimento di testo o di elementi in un'immagine, in questo caso non viene analizzato solo il click in sé, ma piuttosto una serie di operazioni che l'utente compie prima e dopo aver cliccato. Quando si seleziona il tasto "non sono un robot", un programma esamina vari parametri, come i movimenti del mouse, le azioni eseguite subito dopo il click, le pagine visitate in precedenza e altri comportamenti dell'utente.

Questi test dovrebbero quindi garantire che chi sta interagendo con il sito sia un essere umano e non un programma automatizzato, ma l’avvento dell’Intelligenza Artificiale ha complicato le cose, perché i bot stanno diventando sempre più sofisticati e in grado di imitare il comportamento umano.

CAPTCHA e AI: uno scontro a colpi di algoritmo

Come abbiamo detto, l’AI sta iniziando a mettere a dura prova la tecnologia CAPTCHA.

Gli algoritmi di machine learning risolvono ora CAPTCHA basati su testo e immagini più velocemente degli esseri umani, e i bot IA possono superare i CAPTCHA visivi con precisione del 100% in alcune categorie. Utilizzando il riconoscimento ottico dei caratteri (OCR) e reti neurali convoluzionali (CNN), gli algoritmi interpretano lettere distorte e analizzano immagini con oggetti specifici. Questi sistemi migliorano continuamente grazie all'apprendimento da milioni di esempi, riuscendo a riconoscere pattern anche con distorsioni.

Il fatto che i bot basati sull'intelligenza artificiale stiano riuscendo ad aggirare facilmente i sistemi CAPTCHA sta producendo ripercussioni concrete nella realtà. Un esempio evidente riguarda l'acquisto massiccio di biglietti per eventi, un fenomeno che esclude gli utenti reali, privandoli della possibilità di partecipare. Un altro caso è l'uso di eserciti di bot per generare recensioni di prodotti, commenti e post sui social, alimentando così una presenza online falsificata (sebbene nel web esistano anche casi di profili fake creati da persone reali).

Per fortuna, però, si stanno già pensando a delle soluzioni per contrastare questo fenomeno.

reCAPTCHA: verso il futuro della sicurezza online

Cosciente della necessità di sviluppare nuove soluzioni di verifica, nel 2018 Google ha introdotto reCAPTCHA v3, un sistema che analizza il comportamento dell'utente sul sito web senza richiedere interazioni dirette. Sebbene questo approccio semplifichi l'esperienza, solleva alcune preoccupazioni sulla privacy, poiché raccoglie dati come movimenti del mouse e click per verificare se l'interazione è umana o automatica.

Oltre a questa, si stanno esplorando anche altre soluzioni, come CAPTCHA comportamentali avanzati, autenticazione biometrica (ad esempio, riconoscimento facciale o impronta digitale), e sistemi di analisi comportamentale che combinano più segnali per verificare l'autenticità di un utente. La sfida di distinguere esseri umani da bot è cruciale per la sicurezza online, e vanno cercate soluzioni sempre sicure e rispettose dei diritti degli utenti. In un mondo sempre più interconnesso, infatti, è importante ricordare che la connessione tra noi e la tecnologia deve rimanere al servizio della nostra sicurezza e privacy.