Cloudflare ha deciso di mettere mano a uno dei meccanismi più odiati del web, quei test che chiedono di selezionare i semafori o riconoscere le strisce pedonali. L’azienda ha annunciato un progetto sviluppato insieme a Microsoft, Google e Firefox, ovvero chi sta dietro ai browser Edge, Chrome e Firefox, per dare vita a un protocollo capace di mandare in pensione i CAPTCHA. Si chiama PACT, sigla che sta per Private Access Control Tokens, e la promessa è semplice da raccontare ma complicata da realizzare: capire se davanti allo schermo c’è una persona o un programma, senza per questo mettere a rischio la privacy di nessuno.
Perché i CAPTCHA non bastano più
Il punto di partenza è un dato che fa riflettere. Guardando la pagina del servizio Cloudflare Radar, il traffico generato dai bot sfiora ormai il 57% del totale, superando di fatto quello umano. E la tendenza è destinata a crescere, soprattutto con la diffusione degli agenti AI che navigano e interagiscono con i siti in completa autonomia, senza che nessuno muova un dito.
Tra tutti questi bot ce ne sono alcuni decisamente fastidiosi, pensati per rastrellare contenuti tramite scraping non autorizzato. Finora il lavoro sporco di filtrare il traffico è toccato proprio ai CAPTCHA, acronimo che sta per Completely Automated Public Turing test to tell Computers and Humans Apart. Il problema è che questo strumento ha iniziato a perdere colpi, perché i bot moderni sanno risolvere quei test senza troppa fatica. Quello che doveva essere un muro è diventato una porta socchiusa.
Cloudflare fa notare una cosa interessante: con l’arrivo degli agenti AI, la linea che separa il comportamento umano da quello automatizzato si è fatta sempre più sottile. Quando un sito prova a stabilire se una richiesta arriva da un utente in carne e ossa o da un bot autorizzato, le strade tradizionali finiscono per essere parecchio invadenti. Accessi forzati, tracciamenti continui, raccolta di dati che mina la fiducia delle persone e solleva non pochi dubbi sulla riservatezza.
Come funziona il protocollo PACT
L’idea dietro PACT ribalta un po’ la logica. Non si tratta di sbarrare la porta agli agenti AI, ma di separare il traffico legittimo da quello non autorizzato. Il meccanismo prevede che i siti già in possesso di informazioni solide sull’identità dei propri visitatori possano emettere dei token anonimi. A quel punto il browser dell’utente conserva questi token e li mostra ad altri siti per dimostrare, in sostanza, che dall’altra parte c’è una persona reale e non una macchina.
Il bello è che tutto questo riduce drasticamente la necessità di affidarsi ai CAPTCHA o ai tracciamenti invasivi. E qui sta il dettaglio che fa la differenza: PACT è costruito in modo che i siti non possano sfruttarlo per identificare gli utenti o ricostruire la loro cronologia di navigazione. La privacy resta protetta, almeno sulla carta.