Perché compare spesso il CAPTCHA di Google Non sono un robot

L’acronimo CAPTCHA sta per Completely Automated Public Turing-test-to-tell Computers and Humans Apart e viene utilizzato per definire quei sistemi automatizzati che permettono di verificare se l’utente sia una persona in carne ed ossa oppure si tratti di un bot.
CAPTCHA sono utilizzati ormai in tutte le procedure che prevedono la registrazione dell’utente o la richiesta di informazioni importanti. Utilizzando il CAPTCHA chi gestisce il sito web può evitare che procedure automatizzate effettuino iscrizioni che non corrispondono a utenti reali oppure inoltrino una serie di interrogazioni sequenziali senza alcuna autorizzazione.

Il sistema di verifica che usa Google si chiama reCAPTCHA, è utilizzato su tutti i servizi dell’azienda di Mountain View e viene fornito gratuitamente ai webmaster.
Negli anni reCAPTCHA ha subìto molte modifiche e la versione supportata è ad oggi la v2.
Sia il CAPTCHA di Google che quello di altri fornitori chiedono all’utente di risolvere dei quesiti: nella forma più complessa l’utente deve selezionare tutte le immagini che contengono l’oggetto indicato oppure cliccare sui vari quadrati proposti finché l’oggetto non è più presente. Si tratta di due tipologie di quiz grafico che Google propone spesso.

Nella maggior parte dei casi quando compare il riquadro Non sono un robot basta cliccare sulla casella corrispondente e apparirà subito una spunta di colore verde.

La spunta verde non compare subito e, viceversa, viene proposto un quiz grafico da risolvere se Google avesse qualche dubbio sul fatto di “trovarsi dinanzi” a una persona o a un bot.

Quando e perché compare Non sono un robot su Google e sui siti web

Come abbiamo visto in precedenza la stragrande maggioranza dei gestori di siti web usa almeno un meccanismo CAPTCHA sul suo sito per proteggere altrettante pagine e procedure che gestiscono dati importanti.

Il riquadro Non sono un robot può però improvvisamente comparire sul motore di ricerca di Google, ad esempio dopo aver effettuato una ricerca.

Abbiamo verificato che se si lavora sempre utilizzando un indirizzo IP pubblico statico (comune in ambito business) e la funzionalità NAT del router gestisce diversi computer connessi in rete locale (che navigano quindi su Internet con lo stesso IP pubblico), può capitare di veder comparire con maggiore frequenza i quiz grafici. In altre parole non appare subito la spunta verde dopo aver cliccato su Non sono un robot.

Se si uscisse sulla rete utilizzando un server proxy adoperato da molti utenti, se si usasse un client VPN oppure Tor Browser, dopo aver effettuato una ricerca su Google non soltanto comparirà il riquadro Non sono un robot ma verrà mostrato un messaggio che spiega come si sia rilevato del “traffico anomalo”.

Anche in questo caso Google chiederà di risolvere un quiz grafico più o meno complesso. Nel caso di Tor Browser e VPN nuovi CAPTCHA grafici vengono mostrati ripetutamente l’uno dopo l’altro a conferma che Google nutre seri dubbi rispetto all’attività proveniente dall’indirizzo IP pubblico rilevato.

Il tutto ha una spiegazione: i nodi di uscita di Tor Browser e i server VPN sono utilizzati contemporaneamente da migliaia di utenti di tutto il mondo che interrogano Google quasi in simultanea. Per Google tutto il traffico arriva dalla stessa macchina e rilevando tante interrogazioni contemporanee blocca tutto e chiede a ciascun utente di risolvere il CAPTCHA.

Qualcosa di simile accade ad esempio se si fosse molto attivi sul Web e si utilizzasse frequentemente il motore di ricerca di Google con tante ricerche effettuate a breve distanza l’una dall’altra. O, ad esempio, se le richieste a Google arrivassero a breve distanza da vari sistemi collegati alla stessa rete locale.

E allora giù a indicare idranti, attraversamenti pedonali, vetture, moto, semafori, comignoli, scale e chi più ne ha più ne metta.

Ci sono buone probabilità che Google chieda spesso di risolvere uno o più CAPTCHA nel momento in cui l’utente richiamasse spesso un URL che è il risultato di una ricerca. Questo si fa ad esempio quando si volessero controllare i risultati forniti da Google nelle sue SERP o si avesse bisogno di qualche dato statistico sul numero di risultati presenti nell’indice del motore di ricerca (ad esempio usando site:).

Per evitare di dover risolvere un CAPTCHA Google particolarmente tedioso si può anche fare clic sul simbolo delle cuffie in basso. Verrà riprodotto un breve estratto sonoro: indicando nella casella ciò che si è sentito si potrà risolvere velocemente il CAPTCHA.

Esistono estensioni per il browser che usano API per il riconoscimento vocale al fine di superare rapidamente il CAPTCHA e svolgere “il lavoro sporco” al posto dell’utente.
Non le consigliamo però per due motivi: in primis si cercherebbe di superare artificiosamente un meccanismo che è stato congegnato per proteggere non solo il funzionamento del motore di ricerca ma anche soggetti terzi amministratori di siti web; per secondo tante estensioni di questo tipo passano spesso di mano con risultati catastrofici in termini di privacy e sicurezza.

Va inoltre osservato che l’icona della cuffia (CATCHA sonoro) non funziona se la valutazione di Google sull’IP pubblico utilizzato dall’utente non lo permettesse. Ad esempio con le VPN o su rete Tor apparirà un messaggio che informa l’utente circa l’impossibilità di usare il CAPTCHA audio: questo accade perché uno stesso IP è generalmente condiviso da migliaia di utenti in tutto il mondo.

In condizioni normali, quindi senza usare né VPN né rete Tor, è comunque bene non sottovalutare la comparsa di messaggi Google che informano circa il rilevamento di traffico anomalo. In alcuni frangenti potrebbero essere la spia della presenza di un componente malevolo sul dispositivo in uso che effettua interrogazioni automatiche sul motore di ricerca e genera traffico indesiderato.
Una passata con AdwCleaner alla ricerca di eventuali estensioni e plugin per il browser dannosi e una scansione completa del sistema con Malwarebytes Free sono sicuramente passaggi obbligati.

La comparsa dei CAPTCHA durante l’utilizzo di Google con Tor Browser (ma anche da una VPN) è uno dei problemi più comuni: in questi casi si può sopperire usando il motore DuckDuckGo.

Cloudflare, da parte sua, ha presentato a maggio 2021 una soluzione che ritiene in futuro possa evitare la comparsa dei CAPTCHA completamente.