Ora che il traffico bot ha superato quello umano, il captcha è un problema

Per la prima volta nella storia, il traffico generato da bot e agenti automatizzati ha sorpassato quello umano. Il passaggio non è solo una curiosità statistica: segna una crisi strutturale per i sistemi anti-bot. I meccanismi come il captcha, una volta garanzia di sicurezza, oggi evidenziano gravi debolezze. Non distinguono più uomo e macchina, ma si limitano a separare chi si dichiara da chi si maschera. A pagare il prezzo di questa ambiguità sono i soggetti leali, tra cui gli esperti di tutela della proprietà intellettuale online.

Un punto di non ritorno

I dati resi pubblici di recente da Cloudflare certificano un cambio epocale: il 57,4% delle richieste sui siti gestiti dalla società proviene da bot. Il resto, 42,6%, è umano. Si parla di un “sorpasso” documentato per la prima volta nella storia di internet. Questa inversione di tendenza ha colto di sorpresa persino gli esperti. Matthew Prince, cofondatore e amministratore delegato di Cloudflare, aveva previsto il fenomeno solo per fine 2027.

L’intelligenza artificiale agentiva spinge il cambiamento. Mentre un utente umano consulta in media cinque siti prima di acquistare, un agente virtuale può confrontare lo stesso articolo su cinquemila pagine. L’aumento dell’IA e l’automazione di massa mettono a dura prova la capacità di difesa, rendendo obsoleto il vecchio equilibrio tra sicurezza e usabilità.

I limiti del captcha

Il captcha, acronimo di Completely Automated Public Turing test to tell Computers and Humans Apart, nasce per distinguere umano da macchina. Oggi, invece, si rivela strutturalmente inefficace. Recentemente studi mostrano che i sistemi basati su modelli multimodali risolvono i test con un’accuratezza superiore al 95%. Gli umani, a seconda del tipo di test, si fermano intorno al 50-86%.

Quello che inizialmente era un sistema di controllo diventa uno strumento con un’altra logica: non chi può risolvere il captcha, ma chi è disposto (o in grado) di spenderci sopra. Chi opera in modo illegale dispone di strumenti come solutori automatizzati, reti di lavoro a basso costo, proxy residenziali e strumenti anti-fingerprinting. Il costo di superare un captcha diventa irrilevante per i soggetti malintenzionati.

Chi paga il prezzo?

Al contrario, i professionisti che svolgono attività leali, come gli operatori di brand protection, si trovano in difficoltà. Essi si identificano volontariamente o in base a obblighi contrattuali. Hanno user agent riconoscibili, IP stabili, frequenze di richiesta prudenti e rispettano i termini d’uso. Sono però spesso bloccati dagli stessi sistemi anti-bot, con costi operativi crescenti che si riflettono sui titolari dei diritti. Il risultato? L’attività di monitoraggio legittima si frammenta, diventa meno agile e richiede un intervento uomo crescente.

Compliance e privacy

I sistemi anti-bot di oggi non si limitano a verificare interazioni, ma spesso integrano tecnologie avanzate come fingerprinting, analisi comportamentale e raccoglono dati tecnici sul dispositivo e la navigazione. Queste pratiche hanno attirato l’attenzione delle autorità europee e alimentano un dibattito attorno alla compatibilità con il GDPR.

Gli ultimi aggiornamenti di Google su reCAPTCHA e il dibattito europeo sulla definizione dei ruoli di privacy, insieme agli interventi delle autorità di controllo, confermano che il tema non riguarda soltanto la sicurezza informatica, ma anche la corretta gestione della privacy e la responsabilizzazione nel trattamento dei dati personali.

DSA e limiti normativi

Un tema parallelo riguarda il Digital Services Act (DSA), che introduce nuove responsabilità per le piattaforme e gli utenti. Il DSA non ha però colmato completamente un vuoto normativo sul monitoraggio attivo da parte degli individui accreditati, come i Trusted Flagger. Questo tema è stato affrontato in precedenza, ma oggi si rivela cruciale.

I professionisti che lavorano per contrastare l’illegalità digitale rischiano di essere ostacolati da sistemi che li intercettano come bot. Il risultato è un’enforcement debole, poiché il carico si riversa su soggetti trasparenti, mentre i veri attori malfattori hanno accesso a tecniche di elusione industriali, a basso costo e in continua evoluzione.

Le conseguenze per la proprietà intellettuuale

Per coloro che proteggono online la proprietà intellettuale, la transizione all’automatizzazione non è solo necessaria, ma ormai inevitabile. Il controllo manuale non riesce a stare dietro al ritmo degli abusi. L’impossibilità di distinguere un bot lecito da uno illegale crea criticità nella gestione di risorse e nella lotta agli abusi. Il passaggio a modelli di identità verificabile diventa un obiettivo cruciale.

Una visione sistemica

Il problema non va considerato isolatamente. Da un lato c’è il “paradosso del captcha”: uno strumento volto a distinguere uomo da macchina, ma in realtà incentrato su chi è disposto a spendere di più per superarlo. Dall’altro, il vuoto della normativa europea in materia di monitoraggio da parte dei segnalatori attendibili. Presi singolarmente, i due sembrano problematiche distinte. Ma combinati, evidenziano come i sistemi non riescano a fornire una soluzione adeguata.

Strategia sostenibile

La strada verso una soluzione sostenibile sembra chiara: passare dalla profilazione dell’utente all’identità verificabile del traffico. Bisogna rendere distinguibili attività lecite e illegittime, evitando di penalizzare chi agisce in buona fede. Questo passo richiede una collaborazione tra tecnologia, diritti digitali e legislazione, con l’obiettivo comune di una rete più sicura, rispettosa della privacy e inclusiva per tutti gli utenti.