reCAPTCHA Accessibilità – In breve

Il modello reCAPTCHA v2 è praticamente introvabile

reCAPTCHA v2 è tecnicamente conforme alle WCAG, ma non lo è nella pratica. Il sistema di fallback audio richiede otto passaggi, la casella di selezione impedisce l'accesso agli utenti con disabilità motorie e i bot lo aggirano nel 92,41% dei casi.

Il modello reCAPTCHA v3 è invisibile, ma non accessibile a tutti

reCAPTCHA v3 funziona in modo invisibile, ma non è accessibile. Il suo comportamento fa sì che le tecnologie assistive lo segnalino come sospetto e reindirizzi immediatamente gli utenti alla griglia di immagini della versione v2.

Google Cloud Fraud Defense peggiora le cose

Un codice QR non è un miglioramento dell'accessibilità. Fraud Defense non funziona per gli utenti di screen reader, richiede controllo motorio fine e presuppone che tutti possiedano dispositivi diversi.

L'alternativa al modello CAPTCHA è il modello Proof-of-Work

La tecnologia Proof-of-work CAPTCHA trasferisce la verifica dall'utente al dispositivo. Friendly Captcha è la prima soluzione CAPTCHA accessibile certificata WCAG 2.2 AA Gold.
Prova Friendly Captcha ›

Il modello reCAPTCHA è disponibile? La risposta breve: più o meno.

reCAPTCHA v2 soddisfa tecnicamente i requisiti WCAG. Supporta i principali lettori di schermo (ChromeVox, JAWS, NVDA, VoiceOver), offre alternative audio e utilizza etichette ARIA.

Ma la conformità tecnica e l'accessibilità nel mondo reale sono due cose diverse. In pratica, l'utilizzo di Google reCAPTCHA come metodo di autenticazione continua a rappresentare un ostacolo significativo per gli utenti con disabilità visive, motorie e cognitive.

reCAPTCHA v3 elimina la verifica visiva, il che sembra un passo avanti. Tuttavia, il suo sistema di valutazione basato sul comportamento può bloccare silenziosamente gli utenti le cui tecnologie assistive rendono i loro modelli di navigazione "sospetti". In tal caso, non viene visualizzato alcun messaggio di errore, non ci sono alternative e non è possibile proseguire.

Gli utenti che incontrano difficoltà con i sistemi tradizionali CAPTCHA impiegano in media 32 secondi su un CAPTCHA. Sono 32 secondi di attrito che colpiscono sproporzionatamente le persone che necessitano di più tempo.

Questo articolo illustra lo stato attuale dell'accessibilità del modello reCAPTCHA, i requisiti delle WCAG in materia di accessibilità web e come si presenta un'alternativa al modello CAPTCHA realmente accessibile.

Sito web accessibile

Cosa dicono le WCAG riguardo ai CAPTCHA?

Le Linee guida per l'accessibilità dei contenuti web (WCAG) richiedono che ogni CAPTCHA offra almeno un'alternativa che non si basi su un unico senso. Le WCAG trattano direttamente i CAPTCHA nella sezione Criterio di Successo 1.1.1 – Contenuti non testuali. L'eccezione rilevante recita:

“Se lo scopo dei contenuti non testuali è quello di verificare che l'accesso ai contenuti avvenga da parte di una persona piuttosto che di un computer, devono essere fornite alternative testuali che identifichino e descrivano lo scopo di tali contenuti, nonché forme alternative di CAPTCHA che utilizzino modalità di output adatte a diversi tipi di percezione sensoriale, al fine di soddisfare le esigenze di persone con diverse disabilità.”

In parole povere: un CAPTCHA non deve mai basarsi su un unico senso. Se è prevista una soluzione visiva, deve esserci anche un'alternativa audio e viceversa. L'obiettivo è garantire che gli utenti con disabilità visive, uditive o cognitive abbiano sempre la possibilità di interagire con il sistema.

Ciò che le WCAG non richiedono è che il CAPTCHA sia intuitivo, invisibile o privo di ostacoli. Quindi la questione non è solo se il reCAPTCHA soddisfi lo standard, ma se Soddisfare lo standard è già abbastanza.

 

Il modello reCAPTCHA v2 è conforme alle WCAG?

Tecnicamente, sì. In pratica, è più complicato.

reCAPTCHA v2 soddisfa i requisiti minimi delle WCAG 1.1.1. La casella di selezione è chiaramente etichettata con un attributo ARIA, e Google ufficialmente sugli screan reader:

  • ChromeVox (Chrome OS)

  • MORSO (IE / Edge / Chrome su Windows)

  • NVDA (IE / Edge / Chrome su Windows)

  • Screen reader (Safari / Chrome su macOS)

Gli screen reader vengono avvisati dei cambiamenti di stato tramite le regioni live ARIA. Gli stati di verifica correnti sono:

Messaggio di stato Cosa significa
reCAPTCHA richiede una verifica
Stato iniziale – fai clic sulla semplice casella di controllo per iniziare
Sfida di verifica in corso
Checkbox cliccato, caricamento sfida
Sei verificato
Verifica riuscita
Sfida di verifica scaduta
Timeout - riavvio necessario

Se il controllo automatico fallisce, agli utenti viene proposta una verifica audio CAPTCHA come soluzione alternativa che, in teoria, soddisfa il requisito delle “forme alternative di CAPTCHA” previsto dalle WCAG.

Accessibilità del reCAPTCHA: la versione 2 del reCAPTCHA presenta delle carenze per quanto riguarda l'audio.

I punti deboli del modello reCAPTCHA v2

La conformità ai requisiti tecnici di accessibilità non basta. Il formato CAPTCHA basato su immagini risulta inaccessibile a troppi utenti. Ciò crea notevoli problemi di accessibilità ed esclude gli utenti:

Problemi motori

Il completamento della casella di controllo richiede un movimento preciso del cursore. Per gli utenti che si affidano alla navigazione da tastiera con tremori, destrezza limitata o dispositivi di accesso con interruttore, questa interazione da sola può rappresentare una barriera.

Dipendenza Cookie

reCAPTCHA v2 si affida in larga misura a cookies di terze parti per valutare il comportamento degli utenti. È frequente che gli utenti di lettori di schermo blocchino tali cookies. Per loro, la probabilità di attivare una richiesta di verifica è notevolmente maggiore.

La sfida audio non è affatto semplice

La documentazione di Google stessa elenca in otto passaggi per completare una sfida audio: individuare il pulsante, cambiare modalità, premere "play" per ascoltare l'audio, trovare il campo di inserimento, digitare i numeri e ricominciare se la risposta è sbagliata o la sessione scade. Inoltre, gli audio CAPTCHA sono spesso di scarsa qualità e presentano rumori di fondo. Non si tratta di una sfida audio accessibile, ma di un secondo ostacolo.

reCAPTCHA v2 non blocca nemmeno i bot

Nel 2019, i ricercatori dell'Università della Louisiana a Lafayette hanno sviluppato uno strumento che ha aggirato le difficoltà di riconoscimento delle immagini di reCAPTCHA v2 grazie a un 92,41% di successo del TP225T. Un sistema che grava sugli utenti con disabilità, senza riuscire a fermare gli attacchi automatizzati, è il peggio dei due mondi.

Il modello reCAPTCHA v3 è più accessibile?

reCAPTCHA v3 è invisibile, ma questo non significa che sia privo di barriere o completamente accessibile.

reCAPTCHA v3 funziona interamente in background. Non c'è nessuna casella da spuntare, nessuna griglia di immagini da risolvere, nessuna sfida audio da superare. Per gli utenti con disabilità motorie o cognitive, l'assenza di qualsiasi interazione visibile rappresenta un vero e proprio miglioramento rispetto alla versione v2.

Ma ecco il punto critico: reCAPTCHA v3 non prende decisioni da solo. Assegna un punteggio di rischio e ciò che accade dopo spetta al proprietario del sito. Poiché il sistema basato sul punteggio produce falsi positivi, Google stesso consiglia utilizzando la versione reCAPTCHA v2 come soluzione di ripiego per gli utenti con punteggi bassi. In pratica, ciò significa che molti siti utilizzano entrambe le versioni contemporaneamente: la v3 in background e la v2 pronta a subentrare.

Raccolta di dati personali

I punti deboli del modello reCAPTCHA v3

Qui è dove la paradosso dell'accessibilità si attiva.

reCAPTCHA v3 assegna un punteggio agli utenti sulla base di segnali comportamentali: movimenti del mouse, modalità di scorrimento, ritmo di digitazione e cronologia di navigazione. Il punteggio di rischio genera falsi positivi, il che porta al blocco di utenti umani. Gli utenti che ottengono un punteggio inferiore alla soglia vengono trasferiti alla versione v2. Ciò significa che torna la griglia di immagini.

Il problema: gli utenti con disabilità hanno una probabilità sproporzionata di attivare quel fallback:

Le tecnologie assistive modificano il comportamento di navigazione

Gli screen reader, i comandi a interruttore, i software di tracciamento oculare e la navigazione vocale interagiscono con una pagina in modo diverso rispetto al mouse e alla tastiera standard. Questi modelli vengono interpretati come anomali dal modello di valutazione del rischio di reCAPTCHA. Ciò non è dovuto al fatto che l'utente sia un bot, ma al fatto che naviga in modo diverso.

Bloccato cookies: abbassa il punteggio

Molti utenti con disabilità utilizzano configurazioni del browser ottimizzate per la privacy che bloccano i cookie di terze parti. reCAPTCHA v3 utilizza segnali basati su cookie per valutare l'affidabilità. Un numero inferiore di cookies comporta un punteggio più basso, il che significa una maggiore probabilità di essere reindirizzati alla v2.

Gli utenti che necessitano di più tempo vengono penalizzati

Modelli di interazione più lenti, comuni tra gli utenti con disabilità cognitive, motorie o visive. Un tempo maggiore e una navigazione più lenta spesso riducono il punteggio di rischio reCAPTCHA.

Il risultato è un sistema che, a prima vista, sembra accessibile. Tuttavia, reCAPTCHA v3 reindirizza silenziosamente i suoi utenti più vulnerabili proprio verso quei puzzle di immagini che avrebbe dovuto sostituire. Inoltre, il sistema di valutazione comportamentale solleva ulteriori preoccupazioni in materia di privacy. Continua a leggere su reCAPTCHA - Informativa sulla privacy.

E Google Cloud Fraud Defense?

Google Cloud Fraud Defense non è accessibile. Google Fraud Defense non soddisfa numerosi criteri WCAG contemporaneamente.

Il nuovo livello di verifica di Google, Google Cloud Fraud Defense, adotta un approccio diverso: invece di una casella di controllo o di un punteggio, chiede agli utenti di scansionare un codice QR con il proprio dispositivo mobile. Sulla carta, questo sembra privo di attriti. Abbiamo coperto il quadro completo nel nostro articolo su Difesa dalle frodi di Google Cloud e cosa significa davvero per il tuo sito web.

 

Dove Google Cloud Fraud Defense non è efficace

Un codice QR non è un metodo di verifica accessibile e non soddisfa contemporaneamente diversi criteri WCAG.

 

  • Disabilità visiveI codici QR sono interamente basati su immagini. Gli screen reader non sono in grado di interpretarli e non esiste un'alternativa audio.

  • Problemi motoriPrendere uno smartphone, puntare una fotocamera e tenerla ferma richiede un controllo motorio fine che molti utenti semplicemente non hanno.

  • Disturbi cognitivi: Il processo multi-step di riconoscimento del codice QR, cambio di dispositivo, apertura di un'app fotocamera e attesa di conferma crea un notevole carico cognitivo.

  • Nessuno smartphoneUna parte significativa di utenti, inclusi anziani e persone a basso reddito, non ha affatto accesso a uno smartphone o a più dispositivi.

 

Sotto Criterio di successo 1.3.3 di WCAG 2.2, le istruzioni non devono basarsi esclusivamente su caratteristiche sensoriali quali la percezione visiva. Una verifica basata esclusivamente sul codice QR non soddisfa questo criterio in pieno.

Il risultato è un sistema che non chiede agli utenti di dimostrare la propria umanità attraverso immagini. Chiede loro di dimostrarla tramite un dispositivo che potrebbero non possedere, utilizzando un processo che potrebbero non essere in grado di completare. Questo non è un miglioramento dell'accessibilità. È esclusione by design.

Cosa significa in realtà "Accessible CAPTCHA"?

Sotto WCAG 2.2 AA, un CAPTCHA accessibile deve essere percepibile, utilizzabile e comprensibile per gli utenti con qualsiasi tipo di disabilità, non solo per la maggioranza.

Ciò copre quattro ampi gruppi:

 

  • Disabilità visiveCecità, ipovisione, daltonismo

  • Problemi motoridestrezza limitata, tremori, navigazione tramite interruttori o eye-tracking

  • Compromissioni cognitive: dislessia, disturbi dell'attenzione, difficoltà di elaborazione

  • Disfunzioni uditivesordità o ipoacusia (rilevante quando l'audio è l'unica alternativa)

 

La maggior parte dei modelli CAPTCHA presenta difetti in almeno uno di questi gruppi, spesso anche in più:

CAPTCHA Tipo Visivo Motore Cognitivo Uditivo
Selezione delle immagini (reCAPTCHA v2)
✔️
Sfida audio
✔️
✔️
Valutazione comportamentale (reCAPTCHA v3)
✔️
✔️
Proof-of-work (Friendly Captcha)
✔️
✔️
✔️
✔️

Un CAPTCHA veramente accessibile non richiede agli utenti di dimostrare la propria umanità in un modo che esclude una parte dell'umanità. Un CAPTCHA accessibile, per definizione, funziona in modo trasparente per tutti.

Qual è la soluzione più accessibile per il CAPTCHA?

Il servizio CAPTCHA più accessibile è quello che non richiede alcun intervento da parte dell'utente.

Proof-of-work Questa tecnologia solleva l'utente dall'onere della verifica, affidandolo al dispositivo. Anziché chiedere a una persona di identificare idranti antincendio o di selezionare una casella di controllo, il browser risolve silenziosamente in background una sfida crittografica CAPTCHA: in modo invisibile, istantaneo e senza alcuna interazione. Nessuna immagine, nessun audio, nessuna profilazione comportamentale.

Friendly Captcha è interamente basata su questi principi di progettazione accessibile. È la prima soluzione CAPTCHA a ricevere la certificazione ufficiale Certificazione Oro WCAG 2.2 AA– il che significa che è stato verificato in modo indipendente per essere accessibile a tutti i principali tipi di disabilità, per tutti gli utenti, per impostazione predefinita. Nessuna soluzione alternativa. Nessun fallback.

Per un confronto completo di privacy, sicurezza ed esperienza utente, consulta il nostro Confronto tra reCAPTCHA v2 e v3. Scopri come Friendly Captcha gestisce l'accessibilità. Vai alla nostra Centro per l'accessibilità Friendly Captcha.

Il verdetto: il modello reCAPTCHA è accessibile?

Lo schema in tutte e tre le soluzioni di Google è lo stesso: l'accessibilità è trattata come un caso limite, non come un principio di progettazione.

Un CAPTCHA che funzioni per tutti non ha bisogno di soluzioni di ripiego, espedienti o procedure audio in otto passaggi. Funziona in background. Un CAPTCHA accessibile opera in modo invisibile, silenzioso e senza richiedere alcuno sforzo da parte dell'utente.

È proprio per questo che è stato creato Friendly Captcha. Essendo la prima soluzione CAPTCHA accessibile certificata WCAG 2.2 AA Gold, protegge il tuo sito web dai bot senza creare nuove barriere per le persone a cui ti rivolgi.

Iscriviti a Friendly Captcha e prova la verifica CAPTCHA a portata di mano!

FAQ

No, reCAPTCHA non è completamente o intrinsecamente accessibile, sebbene il suo livello di accessibilità vari in modo significativo a seconda della versione. Google riconosce esplicitamente nella documentazione relativa a reCAPTCHA che le funzionalità interattive potrebbero non essere adatte a siti web con rigide linee guida in materia di accessibilità. Sebbene tecnicamente includa soluzioni alternative per le tecnologie assistive, il sistema reCAPTCHA nel suo complesso crea gravi ostacoli per gli utenti con diverse disabilità. Un CAPTCHA incentrato sull'accessibilità come Friendly Captcha, che esegue le attività di calcolo rigorosamente in background sul dispositivo dell'utente, è quindi una scelta migliore per Accessibilità CAPTCHA.

Un buon esempio dell'accessibilità del CAPTCHA è Friendly Captcha, uno strumento che mette al primo posto la privacy e utilizza prove di lavoro crittografiche nascoste CAPTCHA al posto dei test di verifica manuali. Friendly Captcha elimina completamente la necessità per gli utenti di selezionare riquadri di immagini, ascoltare prove audio o comprendere alternative testuali.

Sì, i tradizionali CAPTCHA stanno rapidamente diventando obsoleti, poiché l'intero panorama della sicurezza web si sta orientando verso verifiche invisibili in background. Friendly Captcha è un'alternativa moderna e pienamente accessibile ai tradizionali fornitori di CAPTCHA, conforme alle WCAG 2.2. Certificato Livello AA da TUV. Scopri di più su CAPTCHA alternative qui.

Sì, reCAPTCHA è tecnicamente compatibile con i principali lettori di schermo, ma l'esperienza d'uso nella pratica è estremamente frustrante e piena di difetti.

Google ha progettato appositamente il modello reCAPTCHA per funzionare con software come NVDA, JAWS, VoiceOver e ChromeVox. Include messaggi di stato ARIA integrati per comunicare automaticamente gli aggiornamenti relativi alla verifica. Tuttavia, la compatibilità teorica non si traduce necessariamente in una reale facilità d'uso. Prova invece Friendly Captcha. Si tratta di un'alternativa a CAPTCHA completamente accessibile.

In apparenza, sì. In pratica, spesso no.

La versione reCAPTCHA v3 elimina completamente la sfida visiva, il che sembra rappresentare un notevole miglioramento in termini di accessibilità rispetto alla v2. Tuttavia, poiché il suo sistema basato sul punteggio genera falsi positivi, Google raccomanda di implementare la versione reCAPTCHA v2 come soluzione di ripiego; ciò significa che la maggior parte dei siti utilizza entrambe le versioni contemporaneamente.

Il problema: gli utenti con disabilità sono esposti in misura sproporzionata al rischio di attivare tale meccanismo di ripiego. Le tecnologie assistive alterano il comportamento di navigazione, il cookies bloccato abbassa il punteggio di rischio e i modelli di interazione più lenti appaiono sospetti all'algoritmo. Il risultato è che gli utenti che traggono maggior beneficio da un CAPTCHA invisibile sono proprio quelli che hanno più probabilità di essere reindirizzati alla griglia di immagini.

La versione 3 è più accessibile quando tutto funziona senza intoppi. Per gli utenti che ne hanno maggiormente bisogno, però, spesso non è così. Trovi informazioni generali sul modello reCAPTCHA nella nostra centro.

Proteggere l'enterprise dagli attacchi dei bot.
Contattate il team Friendly Captcha Enterprise per scoprire come difendere i vostri siti web e le vostre applicazioni da bot e attacchi informatici.
Contattateci '