I CAPTCHA hanno segnato per anni il confine tra un utente vero e un programma automatico, ma con l’arrivo dell’intelligenza artificiale quel confine si sta facendo sempre più sottile. Quei test fastidiosi che chiedono di digitare lettere storte o di selezionare tutte le immagini con un semaforo nascono da un’idea tanto semplice quanto efficace, ovvero che certe cose gli esseri umani le fanno meglio delle macchine. Peccato che oggi non sia più così scontato.
I progressi dell’intelligenza artificiale, soprattutto sul fronte dei modelli generativi e di quelli multimodali, hanno ridotto il divario tra persone e software in modo netto. Strumenti considerati sicuri fino a poco tempo fa cominciano a scricchiolare, e chi si occupa di sicurezza online si trova costretto a rivedere daccapo il modo in cui verifica l’identità digitale di chi naviga.
Come si sono trasformati nel tempo
I primi CAPTCHA puntavano tutto su immagini con testo deformato, pensate apposta per mandare in tilt i sistemi di riconoscimento ottico dei caratteri. Funzionavano perché gli algoritmi di allora non riuscivano a leggere lettere alterate o sovrapposte. Poi le tecnologie di visione artificiale hanno fatto passi da gigante e quei test hanno iniziato a perdere colpi. Le reti neurali di ultima generazione riconoscono caratteri complicati e oggetti dentro le immagini con una precisione altissima. Ecco perché si è passati a prove più elaborate, tipo scegliere elementi specifici dentro una scena. Anche questi metodi, però, stanno mostrando la corda davanti a modelli sempre più sofisticati.
Quando l’automazione diventa troppo brava
Il nodo vero è che i CAPTCHA poggiano su una distanza tra capacità umane e capacità delle macchine che ormai si sta riducendo di continuo. I modelli multimodali capiscono le istruzioni, analizzano le immagini e interagiscono con le pagine web quasi come farebbe una persona in carne e ossa. Superare molti di questi test, per loro, non è più un problema. A complicare le cose ci pensa la diffusione degli agenti AI. Non si limitano a rispondere a una richiesta, ma compiono operazioni complesse come navigare tra i siti, compilare moduli e adattarsi a interfacce mai viste prima. Diversamente dai bot di una volta, non hanno bisogno di istruzioni rigide per ogni situazione, e questo alza parecchio il rischio di abusi su larga scala.
Verso controlli sempre più invisibili
Per reggere il colpo, le piattaforme stanno tirando fuori metodi più raffinati. I sistemi recenti, come le ultime versioni di reCAPTCHA, guardano ai segnali comportamentali e contestuali, ossia il modo in cui si interagisce con la pagina, le caratteristiche del dispositivo e la reputazione della connessione. Così si riesce a stimare quanto una richiesta sia rischiosa senza per forza far comparire un test da risolvere.
La direzione è chiara e va verso soluzioni che l’utente nemmeno si accorge di attraversare. Tecniche come l’attestazione del dispositivo e l’analisi delle anomalie permettono di dare fiducia a una richiesta senza spezzare il flusso della navigazione. Anche questi sistemi, però, dovranno restare sempre in movimento per tenere testa a un’AI che diventa ogni giorno più abile nell’imitare i comportamenti umani, aprendo di fatto una nuova fase per la sicurezza informatica.