La nuova reCAPTCHA di Google è già un flop: aggirata con una foto

Il sistema biometrico basato sui gesti della mano è stato superato in pochi giorni utilizzando webcam virtuali e immagini stock

La nuova reCAPTCHA di Google è già un flop: aggirata con una foto

Il panorama della sicurezza informatica globale ha recentemente assistito al lancio di una delle innovazioni più discusse degli ultimi anni: il nuovo sistema di verifica reCAPTCHA basato sul riconoscimento dei gesti. Questa iniziativa, promossa dalla divisione Google Cloud Fraud Defense, mira a sostituire o integrare i classici test visivi, ormai facilmente superabili dalle moderne intelligenze artificiali. L'idea alla base è apparentemente semplice ma tecnologicamente complessa: richiedere all'utente di compiere un'azione fisica davanti alla propria webcam, come muovere una mano o mostrare un palmo aperto, per dimostrare la propria natura umana. Il sistema si avvale del framework MediaPipe, una tecnologia avanzata di machine learning in grado di mappare in tempo reale 21 punti di controllo sulle articolazioni e sulle dita della mano. Questa mappatura spaziale dovrebbe, in teoria, garantire che il soggetto interagente sia un essere vivente in carne ed ossa, distinguendolo da script automatizzati o bot sofisticati che agiscono nel sottobosco del web.

Tuttavia, l'entusiasmo iniziale per questa soluzione sembra essersi scontrato con una realtà amara: la barriera difensiva è stata violata in tempi record, mettendo in discussione l'intero paradigma della sicurezza basata sulla visione artificiale. Nel giro di pochi giorni dalla sua implementazione sperimentale, diverse comunità di ricercatori e appassionati di cybersecurity hanno dimostrato come sia possibile ingannare l'algoritmo di Google senza nemmeno possedere una webcam fisica o eseguire gesti reali. La tecnica di elusione si basa sull'utilizzo di OBS Studio, un software di streaming open-source estremamente diffuso, configurato come webcam virtuale. Attraverso questo strumento, gli attaccanti possono trasmettere al browser un flusso video pre-registrato o, ancora più semplicemente, un'immagine statica di alta qualità recuperata da banche dati di foto stock. Poiché il sistema di Google analizza principalmente la corrispondenza dei punti di riferimento biometrici, un'immagine ben definita di una mano in una posizione corretta può essere sufficiente a ingannare la validazione, rendendo di fatto inutile il nuovo protocollo di sicurezza.

Questo fallimento solleva interrogativi profondi sull'efficacia dei test di Turing moderni in un'era dominata dall'automazione estrema. Già nel 2024, studi indipendenti avevano confermato che i modelli di OpenAI e altre aziende leader riuscivano a risolvere le versioni precedenti di reCAPTCHA con una precisione del 100%. Il passaggio al riconoscimento gestuale sembrava la risposta definitiva per separare l'uomo dalla macchina, ma la facilità con cui è stato aggirato suggerisce che il problema non risieda nel tipo di sfida, ma nella natura stessa dell'interfaccia basata su software, che può essere manipolata a monte del sensore fisico. Oltre agli aspetti tecnici, la nuova proposta di Google ha scatenato accese polemiche sul fronte della privacy e del trattamento dei dati personali. Anche se l'azienda assicura che i video vengono eliminati immediatamente dopo la verifica e che non viene registrato l'audio, la mappatura di coordinate fisiche rappresenta a tutti gli effetti la raccolta di informazioni sensibili che potrebbero essere soggette a furti o abusi.

In un contesto normativo sempre più rigido, specialmente in Europa grazie al GDPR e in alcune regioni degli Stati Uniti, la richiesta di dati fisici per accedere a un semplice servizio web è vista con estremo sospetto. Molti esperti sottolineano che, nonostante le rassicurazioni ufficiali, i dati raccolti rientrano comunque nelle maglie larghe della politica sulla privacy generale di Google, lasciando zone d'ombra sull'uso futuro di queste informazioni per l'addestramento di modelli di intelligenza artificiale sempre più pervasivi. La situazione attuale riflette un dato statistico allarmante: nel corso degli ultimi mesi, il traffico generato dai bot ha raggiunto il 58% del totale delle richieste HTTP globali, superando soglie critiche che gli analisti non prevedevano di toccare prima della fine del 2027. Questo assedio digitale costante sta spingendo colossi come Cloudflare, Mozilla e Microsoft a collaborare su standard alternativi come i Private Access Control Tokens (PACT).

L'obiettivo di PACT è eliminare del tutto la necessità di test interattivi fastidiosi per l'utente, spostando la verifica dell'autenticità a livello hardware o tramite certificazioni crittografiche invisibili. Sebbene il nuovo sistema gestuale di Google rimanga disponibile come opzione per chi non può o non vuole utilizzare i metodi tradizionali, la sua rapida capitolazione davanti a strumenti semplici come una foto stock segna probabilmente l'inizio della fine per le sfide basate sulla percezione visiva. Il futuro della sicurezza web non sembra più risiedere nel chiedere all'utente di dimostrare chi è attraverso gesti o clic su immagini di semafori, ma nel creare infrastrutture capaci di riconoscere l'intento malevolo del traffico in modo silente, senza compromettere la riservatezza e l'esperienza d'uso. In conclusione, la rincorsa tra sviluppatori e hacker continua senza sosta, ma la lezione imparata da questo esperimento è chiara: finché esiste un'interfaccia software tra l'utente e il sensore, esisterà sempre un modo per simulare la realtà e ingannare l'intelligenza artificiale preposta al controllo.

Pubblicato Venerdì, 03 Luglio 2026 a cura di Anna S. per Infogioco.it

Ultima revisione: Venerdì, 03 Luglio 2026

Anna S.

Anna S.

Anna è una giornalista dinamica e carismatica, con una passione travolgente per il mondo dell'informatica e le innovazioni tecnologiche. Fin da giovane, ha sempre nutrito una curiosità insaziabile per come la tecnologia possa trasformare le vite delle persone. La sua carriera è caratterizzata da un costante impegno nell'esplorare le ultime novità in campo tecnologico e nel raccontare storie che ispirano e informano il pubblico.


Consulta tutti gli articoli di Anna S.

Footer
Articoli correlati
Contenuto promozionale
Contenuto promozionale
Contenuto promozionale
Contenuto promozionale
Infogioco.it - Sconti