Google reCAPTCHA e GDPR: implementare la sicurezza dei siti web e delle app rispettando la privacy degli utenti. Contributo originale di acconsento.click
Che cosa è Google reCAPTCHA e come funziona
Difendere i siti web dai bot è ormai una necessità irrimandabile per tutti. Il CAPTCHA è un sistema di protezione antispam e anti abuso che consente, appunto, di difendere i siti web dai bot. Il nome CAPTCHA deriva da “Completed Automated Public Turing test to tell Computers and Humans Apart” e richiede all’utente di completare una piccola prova per dimostrare di essere un essere umano e non un bot.
reCAPTCHA è il servizio di CAPTCHA fornito da Google nonché il più utilizzato al mondo. Esistono comunque molteplici servizi CAPTCHA, più o meno “privacy oriented”, la maggior parte dei quali sono posti a difesa dei form di contatto o di quelli di login.
reCAPTCHA: come funziona e cosa è _grecaptcha?
Goole reCAPTCHA, nella sua versione attuale V3 che comprende anche il captcha invisibile, fornisce un motore di analisi del rischio di tipo adattivo. Esamina le interazioni per fornire un punteggio di rischio, avvisando gli utenti in caso di traffico sospetto. Può monitorare l’attività sospetta anche su più pagine.
_grecaptcha è il cookie di tipo funzionale che Goole reCAPTCHA utilizza per l’analisi del rischio, ma può anche salvare alcune informazioni sui dispositivi utilizzati per navigare nel sito web.
Google reCAPTCHA e GDPR: un’implementazione a prova di privacy
Per quanto sia uno strumento di protezione e sicurezza dei siti web fondamentale, Google reCAPTCHA pone alcune sfide alla conformità del sito web alla normativa privacy e al GDPR, se non implementato correttamente. Google reCAPTCHA infatti usa dati provenienti dai cookie e da altre tecnologie di tracciamento come mezzi per assegnare un determinato punteggio di rischio. E’ utile sapere che:
- serve una privacy policy per usare Google reCAPTCHA sul sito web:
l’uso di reCAPTCHA impone di aggiungere alla Privacy Policy del tuo sito web il servizio Google reCAPTCHA; - ugualmente è necessaria la Cookie Policy
Google reCAPTCHA può installare cookie sul dispositivo del visitatore.
Per saperne di più > Cookie policy: che cosa è - è necessario un cookie banner
in generale i siti web che utilizzano cookie di terze parti o cookie propri per tracciamento o analytics devono ottenere l’esplicito consenso. Quindi i siti web che utilizzano Google reCAPTCHA e _grecaptcha e hanno utenti con sede in Europa dovranno avere un cookie banner.
Per saperne di più > Script per cookie banner: cosa sono?
Il reCAPTCHA invisibile: GDPR e privacy policy
Se la privacy policy, almeno in teoria deve essere presente su qualsiasi sito web, ciò a maggior ragione è valido per quei siti web che fanno uso del Google reCAPTCHA invisibile. Non è un caso che Google faccia presente la necessità di disporre di una privacy policy pronta per gli utenti del sito web. Lo fa proprio nel corso della procedura per preparare il reCAPTCHA invisibile:
“Acconsenti a informare esplicitamente i visitatori del tuo sito web sull’aver implementato reCAPTCHA invisibile sul tuoi sito web e che il loro utilizzo del reCAPTCHA invisibile è soggetto alla Privacy Policy di Google e Termini d’uso”.
Google ovviamente non va oltre e non fornisce specifiche ulteriori per come impostare l’informativa privacy. Per questo ti consigliamo di visitare il sito web acconsento.click e chiedere consiglio ad esperti privacy.