Cloudflare e i browser vogliono eliminare i CAPTCHA per sempre

Cloudflare prova a spostare la lotta ai bot da un modello basato su ostacoli visibili a un modello incentrato su segnali crittografici riutilizzabili. La novità si chiama Private Access Control Tokens, abbreviato in PACT, e nasce da una collaborazione con Mozilla, Google, Microsoft e Shopify. L’obiettivo dichiarato è ambizioso: permettere ai siti Web di capire se una richiesta merita fiducia senza costringere l’utente a risolvere CAPTCHA, effettuare login superflui o consegnare dati a meccanismi di tracciamento.

Storicamente i gestori dei siti hanno distinto il traffico umano da quello automatico esaminando più informazioni: indirizzi IP, reputazione della rete, fingerprinting del browser, cookie, challenge JavaScript, CAPTCHA e analisi comportamentale. Funzionava abbastanza bene quando i bot avevano profili prevedibili: crawler dei motori di ricerca, spammer, scraper rumorosi, strumenti per credential stuffing o sistemi automatizzati che generavano picchi anomali

Oggi il quadro si è fatto molto più complesso: Cloudflare e diverse analisi di settore indicano che il traffico automatizzato ha superato quello umano. Secondo le dichiarazioni attribuite al CEO Matthew Prince, i bot si collocano intorno al 56% del traffico Internet, con picchi settimanali fino al 62%. Il sorpasso, che in precedenza Prince collocava verso la fine del 2027, sarebbe quindi arrivato con largo anticipo.

La crescita degli agenti AI mette ulteriore “pepe”: un software può aprire pagine, confrontare prezzi, leggere schede prodotto, compilare moduli, avviare procedure di acquisto e recuperare informazioni per conto di una persona reale. Non basta più chiedersi se il client remoto sia usato da un essere umano o da un bot: una parte dell’automazione può essere legittima, utile e autorizzata.

Che cosa vuole risolvere PACT

PACT nasce per ridurre un problema che ormai conoscono tutti: apri una pagina, il sito non capisce se sei una persona, un bot malevolo o un software legittimo, e ti mette davanti un CAPTCHA. Questi controlli colpiscono spesso anche gli utenti reali, soprattutto quando usano VPN, reti aziendali, browser con protezioni privacy attive o connessioni condivise. PACT prova a introdurre un segnale diverso: non chiede al sito di identificare l’utente, ma di ricevere una prova anonima del fatto che quella richiesta ha buone probabilità di essere legittima.

Il meccanismo si può spiegare con un esempio. Un utente usa un servizio che lo conosce già abbastanza bene: magari possiede un account storico, ha superato controlli anti-abuso, usa un dispositivo coerente con le sessioni precedenti o ha completato una verifica considerata affidabile. Quel servizio può allora rilasciare al browser un token crittografico anonimo. Più tardi, quando l’utente visita un altro sito protetto da controlli anti-bot, il browser può presentare quel token come una specie di “attestazione di affidabilità“. Il nuovo sito non riceve il nome dell’utente, non vede l’account usato altrove e non può ricostruire la cronologia di navigazione.

La differenza rispetto a un login con Google, Apple, Microsoft o altri provider è quindi sostanziale. Con un login federato il sito sa che l’utente si è autenticato tramite un certo provider e può ricevere attributi collegati all’identità, come email, nome o altri dati. Con PACT, almeno nelle intenzioni, il sito riceve solo un segnale: “questa richiesta non sembra provenire da traffico abusivo“. In pratica, il sito ottiene un aiuto per decidere se mostrare la pagina, applicare limiti più severi o chiedere ulteriori verifiche, ma senza trasformare ogni visita in un’identificazione personale.

Il caso degli agenti AI

PACT serve anche per affrontare un caso sempre più frequente: gli agenti AI che navigano per conto dell’utente. Un assistente integrato nel browser web potrebbe cercare un prodotto, confrontare prezzi, compilare un modulo o recuperare informazioni da una pagina. Bloccarlo sempre come “bot” sarebbe troppo rigido; lasciarlo agire senza controllo sarebbe rischioso.

L’idea di PACT è offrire una via intermedia: il sito può ricevere una prova che dietro quell’azione automatizzata c’è comunque una persona o una sessione autorizzata, e può decidere come trattarla in modo più preciso.

Un passo utile, non una bacchetta magica

PACT va interpretato come un tentativo di correggere una traiettoria pericolosa: più bot significa più controlli; più controlli significa più CAPTCHA, più login forzati e più tracciamento. Un token privato, standardizzato e implementato nei principali browser potrebbe spezzare almeno una parte di questo circolo.

Resta da vedere come Cloudflare, Mozilla, Google, Microsoft, Shopify e gli organismi di standardizzazione definiranno i dettagli finali. La differenza tra una buona idea e una infrastruttura affidabile sta proprio nei dettagli: gestione delle chiavi, fallback per chi non supporta il protocollo, audit degli issuer, protezione contro correlazioni, interoperabilità tra browser e limiti chiari per l’uso commerciale del segnale.

Se PACT manterrà la promessa, gli utenti vedranno meno ostacoli inutili e i siti riceveranno segnali migliori senza dover conoscere l’identità di ogni visitatore. Se invece il protocollo finirà per premiare solo chi appartiene a pochi circuiti di attestazione, il Web avrà semplicemente sostituito il CAPTCHA con una barriera meno visibile. La direzione tecnica è interessante; la prova decisiva sarà l’apertura del modello.