ALTCHA vs CAPTCHA.eu: CAPTCHA open source o gestito?

ALTCHA e CAPTCHA.eu risolvono lo stesso problema: la protezione dei bot senza i cookie o il sovraccarico di privacy di reCAPTCHA, ma lo fanno in modi fondamentalmente diversi. ALTCHA è open-source e self-hosted. CAPTCHA.eu è un servizio gestito e ospitato dall'UE. La scelta giusta dipende dalla quantità di infrastruttura che il vostro team vuole possedere e da ciò che la vostra situazione di conformità effettivamente richiede.

Tempo di lettura stimato: 12 minuti

---

---

Cosa sono in realtà le due soluzioni

Sia ALTCHA che CAPTCHA.eu utilizzano la verifica proof-of-work per proteggere i siti web dai bot automatici. Nessuno dei due imposta i cookie per la funzione CAPTCHA, nessuno dei due mostra agli utenti immagini di puzzle ed entrambi si posizionano come alternative conformi alla privacy rispetto a reCAPTCHA. L'approccio di base è simile. Il modello di fornitura non lo è.

ALTCHA è un progetto open-source con licenza MIT. Il widget principale è gratuito. Per una protezione di livello produttivo, i team utilizzano ALTCHA Sentinel: un backend self-hosted che aggiunge CAPTCHA adattivi, informazioni sulle minacce, classificazione basata sull'apprendimento automatico e limitazione della velocità. Sentinel viene eseguito sulla vostra infrastruttura Docker o Kubernetes. L'implementazione, i dati e il tempo di attività sono di vostra proprietà.

CAPTCHA.eu è un servizio SaaS gestito. Si integra un widget JavaScript e CAPTCHA.eu gestisce la verifica, l'infrastruttura, le informazioni sulle minacce e il tempo di attività dai centri dati in Austria. Nessun server da implementare, nessun backend da mantenere, nessun lavoro operativo oltre all'integrazione iniziale.

---

Confronto fianco a fianco

CARATTERE	ALTCHA (ospitato autonomamente)	CAPTCHA.EU (gestito)
Approccio di verifica	Proof-of-work (core); PoW adattivo + classificazione ML (Sentinel). Widget v3 utilizza algoritmi Argon2 e Scrypt legati alla memoria che neutralizzano l'accelerazione su GPU/ASIC da parte delle bot farm.	Proof-of-work + analisi del segnale contestuale per richiesta
Modello di hosting	In hosting autonomo sulla vostra infrastruttura (Docker, Kubernetes, AWS, Azure)	Completamente gestito, ospitato in Austria (UE)
Posizione dei dati	Ovunque siate dislocati: lo controllate voi	Austria su tutti i piani commerciali, per impostazione predefinita
Biscotti	Nessuno nella modalità predefinita. Una configurazione opzionale dei cookie esiste nell'API del widget, ma non è abilitata per impostazione predefinita.	Nessuno per la funzione CAPTCHA
Fonte aperta	Sì: widget e nucleo sotto licenza MIT	No: SaaS a sorgente chiusa
Complessità della configurazione	Distribuzione Docker o Kubernetes necessaria per Sentinel	Snippet JavaScript + chiave API, nessun server richiesto
Manutenzione	Gestite gli aggiornamenti, le patch di sicurezza e il tempo di attività.	Completamente gestito, senza manutenzione da parte vostra
Plug-in WordPress	Plugin ufficiale (V2, rilasciato nel 2026)	Plugin ufficiale
Plugin TYPO3	Non disponibile	Plugin ufficiale (EXT:form + PowerMail)
Plugin Keycloak	JAR comunitario (solo flusso di registrazione)	JAR ufficiale (login, registrazione e reset della password)
WCAG 2.2 AA	Autodichiarato conforme	Certificato in modo indipendente da TÜV Austria
GDPR DPA	Non applicabile (lo ospitate voi)	DPA standard disponibile
Modello di prezzo	Core gratuito; Sentinel Professional € 99/mese, Enterprise € 799/mese (aprile 2026, infrastruttura esclusa). Disponibile una prova gratuita di 30 giorni	Basato sull'utilizzo; livello gratuito disponibile, piani a pagamento da captcha.eu/pricing
Clienti di riferimento	Agenzie e imprese governative (non nominate pubblicamente)	ÖBB, OeNB, DGUV, A1, MG (nominati pubblicamente)

---

Hosting e ubicazione dei dati

Questa è la differenza più importante per le squadre europee, e si estende in entrambe le direzioni a seconda della situazione.

Con ALTCHA, potete controllare dove risiedono interamente i dati di verifica. Se la vostra organizzazione ha requisiti rigorosi in materia di residenza dei dati (ad esempio, un'agenzia governativa che non può elaborare alcun dato su infrastrutture di terzi), il modello self-hosted di ALTCHA è strutturalmente la risposta giusta. Nessuna terza parte riceve i dati della richiesta perché non c'è nessuna terza parte.

Con CAPTCHA.eu, le richieste di verifica vengono elaborate in Austria su tutti i piani commerciali. L'Austria è uno Stato membro dell'UE, quindi si applica il GDPR, non ci sono trasferimenti di dati dagli Stati Uniti e il luogo di elaborazione è fisso e documentabile. Per la maggior parte degli operatori di siti web europei, questa è la strada più semplice: si indica al DPO un centro dati austriaco noto, anziché la propria sede.

---

Modello di sicurezza e risposta alle minacce

Entrambe le soluzioni utilizzano il proof-of-work come livello di base, il che significa che nessuna delle due si basa su cookie, profili comportamentali cross-site o impronte digitali degli utenti. Questo è il punto di partenza comune. Il punto di divergenza è il modo in cui le informazioni sulle minacce vengono aggiornate quando i modelli dei bot cambiano.

ALTCHA Sentinel include informazioni sulle minacce: database di reputazione IP, classificazione ML e analisi delle firme dell'interazione umana. Tuttavia, per mantenere aggiornate queste difese è necessario aggiornare Sentinel sulla propria infrastruttura. Quando ALTCHA rilascia una nuova versione con un migliore rilevamento dei bot, la distribuite. Quando emerge un nuovo modello di minaccia, il tempo di risposta dipende dalla cadenza di patch del vostro team.

CAPTCHA.eu aggiorna le informazioni sulle minacce e l'analisi dei segnali in modo centralizzato. Tutti i siti protetti beneficiano dei miglioramenti simultaneamente, senza che i singoli clienti debbano intervenire. Questo è il classico compromesso tra managed e self-hosted in materia di sicurezza: il self-hosted offre il controllo; il managed offre la velocità di risposta.

Un vero e proprio punto di forza tecnico dell'ALTCHA è degno di nota: Widget v3, rilasciato nell'aprile 2026, rende gli attacchi automatici più costosi costringendo gli aggressori a spendere più memoria e potenza di calcolo per ogni tentativo di verifica. Tecnicamente, questo funziona grazie agli algoritmi legati alla memoria chiamati Argon2 e Scrypt, che neutralizzano l'accelerazione hardware di GPU e ASIC, gli strumenti che le bot farm utilizzano per elaborare le sfide a basso costo su scala. Si tratta di una scelta progettuale ponderata che va oltre il proof-of-work di base. CAPTCHA.eu utilizza un approccio diverso (analisi contestuale del segnale per richiesta piuttosto che indurimento computazionale sul lato client), ma l'architettura di ALTCHA v3 è un vero e proprio progresso che chiunque valuti seriamente i due sistemi dovrebbe comprendere.

Per la maggior parte dei gestori di siti web, i modelli di bot si evolvono più velocemente di quanto possano fare i cicli di patch interni. Per i team incentrati sulla sicurezza e dotati di capacità DevOps dedicate, il controllo offerto dal self-hosting può superare la convenienza degli aggiornamenti gestiti.

---

Costi di installazione, manutenzione e gestione operativa

È qui che la differenza pratica diventa più visibile per i team più piccoli.

Il widget open-source ALTCHA è davvero facile da integrare: uno snippet JavaScript, una chiamata di verifica al backend e il gioco è fatto. La sfida inizia con Sentinel. La protezione ALTCHA di livello produttivo richiede la distribuzione e la gestione di un container Docker o Kubernetes, la configurazione di PostgreSQL o Redis per la persistenza e il clustering, la gestione di TLS, l'impostazione del monitoraggio e la gestione degli aggiornamenti quando vengono rilasciate nuove versioni. Per un team con un'infrastruttura DevOps esistente, tutto ciò è gestibile. Per un team di sviluppo di due persone o per un team web del settore pubblico senza un'attività operativa dedicata, si tratta di un vero e proprio impegno costante.

CAPTCHA.eu non richiede l'installazione sul server. Si aggiunge uno snippet JavaScript, si configurano le chiavi API e l'integrazione è completa. Gli amministratori di WordPress e TYPO3 possono installare un plugin ufficiale senza scrivere alcun codice. Gli aggiornamenti, la scalabilità dell'infrastruttura e il tempo di attività sono gestiti da CAPTCHA.eu.

---

GDPR e documentazione di conformità

Entrambe le soluzioni sono progettate per la conformità al GDPR, ma il processo di documentazione della conformità è diverso per ciascuna di esse.

Con ALTCHA, poiché l'utente si auto-ospita, non c'è alcun rapporto di elaborazione dei dati da documentare. ALTCHA non elabora alcun dato per vostro conto. Questo semplifica le registrazioni ai sensi dell'articolo 30: il componente CAPTCHA è un'infrastruttura interna, non un elaboratore di terze parti. Per i DPO che preferiscono rapporti minimi con terzi, questo è un vero vantaggio.

Con CAPTCHA.eu, si stipula un accordo di elaborazione dei dati (DPA) che indica l'Austria come luogo di elaborazione e la protezione delle bot come scopo. Questo aggiunge una riga all'elenco degli incaricati del trattamento, ma fornisce al DPO un rapporto documentato e verificabile con l'incaricato del trattamento, invece di un sistema interno auto-ospitato che deve controllare da solo.

Per quanto riguarda l'accessibilità, entrambe le soluzioni dichiarano la conformità alle WCAG 2.2 AA. CAPTCHA.eu ha ottenuto una certificazione indipendente dal TÜV Austria. ALTCHA autodichiara la conformità. Per gli appalti nel settore pubblico, sanitario o finanziario, la differenza tra una certificazione indipendente e un'autodichiarazione è sostanziale. Molti contesti di approvvigionamento richiedono specificamente la certificazione di terzi piuttosto che l'autodichiarazione.

---

Integrazioni di piattaforma

La disponibilità di integrazione è una delle differenze pratiche più evidenti tra le due soluzioni, in particolare per gli utenti di TYPO3 e Keycloak.

WordPress: Entrambi hanno plugin ufficiali. ALTCHA ha lanciato WordPress V2 nel 2026. CAPTCHA.eu dispone di un plugin ufficiale per WordPress fin dall'inizio della storia della piattaforma. Entrambi funzionano.

TYPO3: CAPTCHA.eu ha estensioni ufficiali per EXT:form e PowerMail. ALTCHA non ha un'estensione TYPO3. Per i siti TYPO3 (comuni nel settore pubblico e nelle imprese del DACH), CAPTCHA.eu è l'unica opzione tra le due.

Keycloak: CAPTCHA.eu ha un JAR ufficiale che copre tutti e tre i flussi di autenticazione: login, registrazione e reset della password, supportando Keycloak 22.0.3 e successivi. ALTCHA dispone di un JAR gestito dalla comunità che copre solo la registrazione e richiede un backend Sentinel in hosting. Per i team IAM che utilizzano Keycloak in produzione, la copertura del flusso più ampia e i requisiti di versione inferiori di CAPTCHA.eu rappresentano una differenza significativa. Vedere la nostra versione completa Guida all'integrazione di Keycloak per i dettagli sull'impostazione.

Altre piattaforme: CAPTCHA.eu fornisce integrazioni ufficiali per una serie di altre piattaforme, tra cui Shopware, Symfony e altre. L'ecosistema di integrazione di ALTCHA è principalmente guidato dalla comunità al di fuori di WordPress.

---

Confronto dei costi

Il confronto dei costi tra una soluzione self-hosted e una gestita è più complesso di quanto possa sembrare, perché i costi infrastrutturali e DevOps del self-hosting sono reali anche quando la licenza è gratuita.

Il widget ALTCHA open-source è gratuito. ALTCHA Sentinel, che fornisce una protezione adattiva di livello produttivo, richiede una licenza a pagamento. I prezzi di Sentinel partono da 99 euro/mese per il piano Professional e da 799 euro/mese per Enterprise (fatturazione mensile, a partire da aprile 2026; controllare altcha.org/docs/v2/sentinel/pricing/ per le tariffe attuali). È disponibile una prova gratuita di 30 giorni. I costi dell'infrastruttura non sono inclusi nel canone di licenza.

A parte, si paga l'infrastruttura su cui gira Sentinel: un server o un container runtime, uno storage persistente e qualsiasi ridondanza configurata. Per le implementazioni ad alta disponibilità, ciò significa in genere il clustering con PostgreSQL, che aggiunge complessità e costi all'infrastruttura. Per un team che già utilizza Kubernetes, il costo marginale dell'infrastruttura è basso. Per un team che deve predisporre una nuova infrastruttura specifica per Sentinel, il confronto dei costi cambia.

I prezzi di CAPTCHA.eu sono basati sull'utilizzo, con un livello gratuito disponibile e piani a pagamento che scalano in base al volume di richieste verificate. L'infrastruttura è inclusa nel prezzo. Non ci sono costi di hosting separati, non è necessario alcun tempo operativo e non ci sono spese di gestione delle versioni.

---

Quale scegliere?

---

---

Domande frequenti

---

Lettura correlata

---