Google sta iniziando a sostituire definitivamente il sistema reCAPTCHA con una nuova piattaforma di verifica basata su codici QR e un'integrazione diretta con Android, denominata Cloud Fraud Defense. Questa tecnologia, attualmente in fase di distribuzione, elimina i test visivi e i puzzle interattivi, affidando l'autenticazione dell'utente a un meccanismo crittografico che sfrutta un dispositivo mobile - lo smartphone dell'utente - come elemento di verifica.

Il sistema si basa su un processo di validazione in due fasi. Quando un sito o un servizio richiede la conferma dell'identità umana, l'utente ora visualizza a schermo non più un test che lo qualifichi come essere umano ma un codice QR. La scansione di detto codice deve avvenire tramite un dispositivo Android associato al proprio account Google; il dispositivo genera una risposta crittografata - un token di sicurezza basato su chiavi univoche associate all'hardware - e la invia ai server di Google per completare la verifica. L'intero processo avviene senza richiedere interazione manuale aggiuntiva, ma evidentemente obbliga ad avere con sé uno smartphone con installati i Google Play Services, escludendo quindi certe versioni "degooglizzate" di Android.

Google spiega che Cloud Fraud Defense utilizza un modello di sicurezza che combina segnali hardware, integrità del dispositivo e protocolli di attestazione. Il sistema sfrutta le API di sicurezza integrate in Android, incluse le funzioni di verifica dell'ambiente di esecuzione e la protezione contro manipolazioni del software. Questo approccio consente di determinare se la richiesta proviene da un dispositivo reale e non da un bot. Secondo Google la piattaforma è progettata per ridurre il numero di falsi positivi e migliorare l'esperienza utente, eliminando la necessità di selezionare immagini o risolvere puzzle. Tutto ciò è stato introdotto perché i CAPTCHA tradizionali sono diventati sempre meno efficaci, dato che i sistemi automatizzati sono ormai in grado di superarli con elevata precisione. La nuova soluzione punta a contrastare questo fenomeno con un metodo più robusto.

Cloud Fraud Defense è integrato nei servizi Google Cloud e può essere adottato dagli sviluppatori tramite API dedicate. Il sistema è compatibile con siti web, applicazioni e servizi che richiedono una verifica dell'utente, sostituendo completamente i meccanismi basati su interazioni visive. L'implementazione non richiede modifiche significative all'infrastruttura esistente, poiché la logica di verifica è gestita lato server.

Articoli suggeriti:

Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dat...

Tutti pazzi per il Captcha basato su Doom

I Captcha? Ormai non servono più a niente

Niente più Captcha con iOS 16 e macOS Ventura

Google ha confermato che la nuova tecnologia è già in distribuzione e che i primi servizi stanno iniziando a integrarla. L'obiettivo è sostituire gradualmente i CAPTCHA tradizionali, considerati obsoleti e poco efficaci. Il sistema è inoltre ufficialmente progettato per essere conforme ai requisiti di privacy, poiché non raccoglie dati biometrici né informazioni personali aggiuntive. Google prevede che la transizione richiederà tempo, poiché molti siti utilizzano ancora sistemi CAPTCHA integrati da anni. Tuttavia, la disponibilità del nuovo framework all'interno di Google Cloud dovrebbe accelerare la migrazione.

Articoli raccomandati:

Pillole di /e/OS: come degooglizzare lo smartphone

Il Captcha basato su Doom

Il Captcha invisibile di Google

Google, arrivano i gattini al posto dei Captcha