InspectWP Logo
Glossario

Cos'è un CAPTCHA? Tipi, funzionamento e alternative

20 maggio 2026

Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) è un test challenge-response usato sui siti web per distinguere gli umani dai bot automatici. Il termine è stato coniato nel 2003 da Luis von Ahn, Manuel Blum, Nicholas J. Hopper e John Langford alla Carnegie Mellon University. I CAPTCHA moderni includono Google reCAPTCHA v2 (griglie di immagini), reCAPTCHA v3 (scoring invisibile), hCaptcha e Cloudflare Turnstile; alternative privacy-friendly sono i campi honeypot e l'analisi dei form basata sul tempo.

Come funziona un CAPTCHA?

Un CAPTCHA propone un compito facile per gli umani ma difficile per il software: identificare testo distorto, selezionare immagini con un semaforo o — nei CAPTCHA invisibili — analizzare in background movimento del mouse, cookie, fingerprint del browser e reputazione IP. Il server accetta l'invio solo se il token CAPTCHA viene validato dall'API del provider.

Quali tipi di CAPTCHA esistono nel 2026?

  1. CAPTCHA testuale — lettere distorte; superato dall'OCR dal ~2014.
  2. CAPTCHA immagine (reCAPTCHA v2) — "seleziona gli autobus", 2014.
  3. Checkbox CAPTCHA — "Non sono un robot", dal 2014.
  4. Invisibile / score (reCAPTCHA v3) — score 0.0–1.0, ottobre 2018.
  5. hCaptcha — alternativa privacy-first dal 2018.
  6. Cloudflare Turnstile — invisibile, senza labelling, GA settembre 2023.
  7. CAPTCHA matematico/domanda — operazioni semplici.
  8. CAPTCHA slider/puzzle — trascinare un pezzo.

Perché usare un CAPTCHA su WordPress?

  • Antispam su form di contatto, commenti e registrazione.
  • Difesa brute-force su wp-login.php e login WooCommerce.
  • Mitigazione del credential stuffing.
  • Deterrenza scraper.

Quali sono gli svantaggi?

  • Accessibilità: le sfide visive bloccano gli screen reader; WCAG 2.2 richiede un'alternativa.
  • Privacy: Google reCAPTCHA carica script da google.com e raccoglie IP, cookie e dati del browser. Le DPA UE richiedono consenso esplicito (GDPR).
  • Conversion: studi stimano un 3,2–29 % di abbandono del form.
  • Performance: reCAPTCHA aggiunge ~200 KB di JavaScript.
  • Risolvibile dall'IA: dal 2023 i modelli classe GPT-4 risolvono la maggior parte in secondi.

Quali alternative privacy-friendly esistono?

  • Campo honeypot — input nascosto che solo i bot compilano.
  • Controllo temporale — rifiuta invii sotto 2–3 secondi.
  • Cloudflare Turnstile — senza labelling né cookie.
  • Friendly Captcha — proof-of-work hostato in UE.
  • Rate limiting — blocca IP dopo N tentativi al minuto.

Cosa controlla InspectWP

InspectWP rileva Google reCAPTCHA, hCaptcha e Cloudflare Turnstile dagli script caricati e li riporta sotto GDPR (script Google) e sicurezza. Segnala anche l'assenza di protezione brute-force su wp-login.php.

Articolo precedente

Cos'è un honeypot? Protezione antispam senza CAPTCHA

Articolo successivo

Cosa sono gli shortcode di WordPress? Una guida pratica

Articoli correlati

Cosa sono HTTP/2 e HTTP/3? Una guida pratica per i siti WordPress

Cosa sono i custom post types di WordPress?

Cos’è un block theme WordPress (Full Site Editing)?

Vedi tutti gli articoli

Controlla subito il tuo sito WordPress

InspectWP analizza il tuo sito WordPress per problemi di sicurezza, problemi SEO, conformità GDPR e prestazioni — gratuitamente.

Analizza gratis il tuo sito