Login
Prova gratuita

hCaptcha è conforme al GDPR? Cosa devono sapere i proprietari di siti web

Illustrazione che analizza se hCaptcha è conforme al GDPR, mostrando un widget di verifica umana, una scala di bilanciamento tra privacy e sicurezza, simboli di protezione dei dati dell'UE e una lista di controllo della conformità.
captcha.eu

hCaptcha può far parte di un'impostazione conforme al GDPR, ma non è conforme in partenza e richiede più lavoro di governance di quanto molti proprietari di siti web si aspettino.

Intuition Machines, l'azienda statunitense che sta dietro a hCaptcha, offre un contratto di trattamento dei dati, la certificazione EU-US Data Privacy Framework e clausole contrattuali standard. Si tratta di strumenti reali e importanti. Ma non fanno il lavoro di conformità per voi. Basi legali, cookie, trasferimenti internazionali di dati e accessibilità devono essere risolti da voi, prima della messa in funzione, e non dopo che un'autorità di vigilanza viene a bussare.

Questo articolo spiega esattamente dove sorgono queste domande, cosa significano nella pratica e come si presenta una configurazione difendibile.

Nota editoriale: Questo articolo è a scopo informativo e non costituisce una consulenza legale. Per domande relative alla vostra specifica implementazione o alla legge nazionale applicabile, vi invitiamo a consultare un professionista qualificato in materia di privacy o legale.

Sommario

In sintesi: le quattro questioni del GDPR che hCaptcha solleva

Prima di entrare nel dettaglio, ecco una rapida mappa dei problemi principali. Ognuno di essi è spiegato in modo esauriente di seguito.

Domanda sul GDPR
Posizione di hCaptcha
Cosa deve ancora fare l'operatore
Trasferimento internazionale di dati
Certificazione DPF; SCC disponibili in DPA
Verificare che la DPA sia firmata; documentare la valutazione del trasferimento.
Cookie e ePrivacy
Imposta i cookie, incluso hmt_id
Valutare se l'esenzione per necessità tecnica è applicabile nella vostra giurisdizione.
Ruolo (processore o controllore)
Agisce come processore secondo le sue FAQ
L'utente rimane il responsabile del trattamento. La base giuridica, la trasparenza e la supervisione del fornitore restano a voi.
Accessibilità
Obiettivi WCAG 2.2 AA; alcune difficoltà visive rimangono parzialmente inaccessibili.
Testate il flusso reale degli utenti. Non affidatevi solo alle dichiarazioni del fornitore.

Come funziona hCaptcha

Quando qualcuno invia un modulo sul vostro sito web, hCaptcha interviene per decidere: si tratta di un essere umano o di un bot? A seconda del progetto, mostra una sfida visibile (il noto compito “scegli tutti i semafori”), utilizza segnali di sfondo invisibili o applica un mix di entrambi. Se la verifica viene superata, il modulo riceve un token. Il vostro server verifica poi il token con API di hCaptcha.

Per eseguire questa analisi, hCaptcha elabora dati tecnici e comportamentali. Il suo Informativa sulla privacy elenca i metadati delle comunicazioni, come l'indirizzo IP di origine, insieme a informazioni analitiche, tra cui il tipo di browser, l'ISP, la piattaforma, il tipo di dispositivo, il sistema operativo e i timestamp di accesso. Vengono inoltre impostati dei cookie, tra cui htm_id, descritto come cookie di prima parte, utilizzato per statistiche strettamente necessarie, anonime e relative al servizio e per funzioni tecniche, tra cui il supporto all'accessibilità.

Il trattamento dei dati, gli indirizzi IP, i segnali del browser, i cookie, è il punto in cui iniziano le domande del GDPR.

Perché questo è più importante di quanto possa sembrare

È facile trattare il CAPTCHA come un piccolo dettaglio tecnico? Non è così. Il CAPTCHA si trova all'ingresso dei flussi di lavoro più sensibili del vostro sito web: login, reset della password, registrazione, checkout e moduli di contatto. Sono proprio questi i flussi che gli aggressori prendono di mira per primi.

Il Credential stuffing, in cui strumenti automatizzati testano milioni di combinazioni di nomi utente e password rubate, colpisce in particolare i moduli di login. La creazione di account falsi, il test delle carte e lo spam di moduli colpiscono gli altri. I rapporti dell'ENISA sul panorama delle minacce classificano costantemente l'abuso automatico di applicazioni rivolte al web tra i tipi di attacco più comuni che colpiscono le organizzazioni europee.

Questo fa sì che la scelta di un CAPTCHA sia una decisione di sicurezza e di protezione dei dati. Uno strumento che riduce il rischio bot ma crea un'esposizione legale, a causa di un consenso cookie non risolto, di una base di trasferimento poco chiara o di lacune nell'accessibilità, risolve un problema e ne crea un altro. Per i responsabili IT, gli sviluppatori e i DPO, vale la pena di trattare insieme questi due aspetti della questione.

Le tre aree di rischio del GDPR, spiegate

1. Trasferimento internazionale di dati

Intuition Machines è una società statunitense. La sua politica sulla privacy afferma che può trattare i dati personali delle persone interessate negli Stati Uniti come parte della fornitura del servizio. È inoltre certificata ai sensi del Quadro sulla privacy dei dati UE-USA.

La certificazione DPF è uno strumento di trasferimento legittimo e significativo, ma non è un assegno in bianco. Le linee guida dell'EDPB chiariscono che le organizzazioni devono verificare che il meccanismo sia in vigore e che abbia un campo di applicazione. Non devono semplicemente presumere che la certificazione copra ogni scenario. Un utile punto di riferimento è la sentenza dell'Autorità austriaca per la protezione dei dati personali del 2022 su Google Analytics (GZ: 2021-0.586.257). La sentenza ha stabilito che la trasmissione degli indirizzi IP e degli identificatori del browser a un server statunitense costituisce un trasferimento di dati personali. Sebbene la sentenza riguardi specificamente Google Analytics, essa illustra quanto rigorosamente le autorità di controllo dell'UE possano esaminare i trasferimenti di metadati tecnici a fornitori con sede negli Stati Uniti e perché l'analisi non possa essere saltata semplicemente perché uno strumento possiede la certificazione DPF.

In termini pratici: firmate il DPA, confermate che la certificazione DPF è aggiornata e documentate per iscritto la valutazione del trasferimento. Non date per scontato che il fatto che un fornitore abbia spuntato la casella DPF significhi che il lavoro è stato fatto da parte vostra.

2. Cookie e ePrivacy, una questione separata a cui il GDPR non risponde

Questa è l'area di rischio che più spesso viene tralasciata e che coglie di sorpresa i gestori dei siti web.

Il GDPR e la Direttiva ePrivacy sono due strumenti diversi. Articolo 5, paragrafo 3, della Direttiva ePrivacy richiede il consenso prima di inserire cookie o accedere a informazioni sul dispositivo dell'utente, a meno che non si applichi una specifica esenzione per necessità tecnica. Le linee guida dell'EDPB sui cookie chiariscono che questa esenzione è limitata. Deve essere valutata caso per caso; non si tratta di una deroga generale per gli strumenti di sicurezza o anti-bot.

hCaptcha imposta dei cookie. La sua politica sui cookie elencahtm_id e lo descrive come utilizzato per scopi tecnici e legati al servizio. L'applicabilità dell'esenzione per necessità tecnica alla vostra specifica implementazione dipende dal caso d'uso concreto e dalla posizione della vostra autorità di vigilanza nazionale.

Ecco il punto che cattura le persone: anche se la base giuridica del GDPR è l'esecuzione del contratto o gli interessi legittimi, ciò non risolve la questione dei cookie ePrivacy. Si tratta di obblighi indipendenti. Ottenere un risultato corretto non significa automaticamente ottenere l'altro. Se non potete dimostrare chiaramente che l'esenzione è applicabile nella vostra giurisdizione, le strade più pulite dal punto di vista operativo sono il caricamento di hCaptcha solo dopo il consenso esplicito o l'utilizzo di un CAPTCHA senza cookie che elimina completamente la domanda.

3. Assegnazione dei ruoli: cosa significa effettivamente “processore” per voi

Nelle FAQ di hCaptcha si afferma che Intuition Machines agisce come incaricato del trattamento per i propri clienti nel contesto del GDPR. Tale inquadramento è utile e la DPA lo riflette per l'erogazione dei servizi principali.

Ma ecco cosa non cambia: siete ancora voi il responsabile del trattamento. Siete voi a decidere quali pagine contengono il CAPTCHA, su quale base giuridica vi basate, come informate gli utenti e come gestite una richiesta di dati che riguarda i dati elaborati da hCaptcha. Il widget è esternalizzato. La responsabilità non lo è.

In pratica: la vostra informativa sulla privacy dovrebbe rendere noto il trattamento di hCaptcha. Il vostro registro delle attività di elaborazione dovrebbe elencare Intuition Machines come subelaboratore e dovreste essere in grado di spiegare a un'autorità di vigilanza perché avete fatto le scelte di implementazione che avete fatto.

Il livello del piano cambia il quadro di conformità?

Sì, e questo è il dettaglio che la maggior parte delle implementazioni trascura completamente.

In alcuni livelli di piano, l'uso dei dati e i controlli contrattuali possono differire in modo sostanziale. I clienti aziendali possono essere in grado di negoziare condizioni di privacy più severe rispetto alle implementazioni di livello libero, comprese le restrizioni sull'uso dei dati di interazione al di là della fornitura del servizio principale.

Se la vostra organizzazione tratta dati di utenti di settori regolamentati, come la sanità, la finanza e i servizi pubblici, le condizioni di utilizzo dei dati applicabili devono essere esaminate attentamente prima dell'implementazione, non dopo. Rivedere i termini attuali per il vostro piano specifico e, se necessario, negoziare clausole DPA che riflettano i vostri obblighi è parte della selezione responsabile del fornitore secondo il principio di responsabilità del GDPR.

Accessibilità: una questione di conformità, non una nota a piè di pagina

L'accessibilità tende a essere trattata come una considerazione secondaria nelle decisioni relative al CAPTCHA. Per molti servizi digitali che operano nell'UE, non è più facoltativa. L'European Accessibility Act, entrato in vigore in tutti gli Stati membri a partire dal giugno 2025, prevede che le aziende e i servizi coperti debbano soddisfare i requisiti di accessibilità, con le WCAG 2.2 AA come standard tecnico rilevante per la maggior parte delle implementazioni basate sul web.

La dichiarazione di accessibilità di hCaptcha afferma di puntare alla conformità alle WCAG 2.2 AA e di aver effettuato verifiche interne ed esterne. Riconosce inoltre, onestamente, che alcune sfide visive dell'immagine non possono essere rese completamente accessibili pur continuando a svolgere la loro funzione di sicurezza.

Questa lacuna ha conseguenze reali. Una dichiarazione di accessibilità a livello di fornitore non rende accessibile la vostra specifica implementazione. Le seguenti aree richiedono un vero e proprio test nel flusso reale degli utenti, non una verifica rispetto a un PDF del fornitore:

  • Navigazione da tastiera. Il widget può essere attivato e completato senza mouse? Deve funzionare per ogni utente.
  • Compatibilità con screen reader e audio challenge. La sfida audio e l'esperienza di fallback devono essere testate su tutte le combinazioni di screen reader e browser prima di affidarsi ad esse come percorso di accessibilità. Il comportamento può variare in modo significativo tra NVDA, JAWS e VoiceOver e tra i diversi browser.
  • Gestione dello stato di errore. Quando una sfida fallisce o va a vuoto, i messaggi di errore vengono annunciati alla tecnologia assistiva o appaiono solo visivamente?
  • Comportamento mobile. Il widget viene visualizzato e funziona correttamente in un browser mobile con le funzioni di accessibilità del sistema abilitate?

Per le organizzazioni del settore pubblico e i servizi con un'ampia base di utenti, questi test non sono un optional. Fanno parte di ciò che la conformità effettivamente richiede.

Come ridurre il rischio GDPR se si continua a utilizzare hCaptcha

Se avete analizzato quanto sopra e avete deciso che hCaptcha è lo strumento giusto per il vostro contesto, i passi seguenti vi metteranno in una posizione materialmente più forte.

  • Firmare e conservare il DPA.

    Le politiche generali sulla privacy non sono sufficienti. Il DPA regola il vostro rapporto con l'elaboratore e deve essere presente nella documentazione del fornitore, firmato, datato e recuperabile se il DPA lo richiede.

  • Verificare la base di trasferimento.

    Verificate che la certificazione DPF sia aggiornata al momento dell'impiego, non solo al momento in cui ne avete letto per la prima volta. Documentate per iscritto la valutazione del trasferimento.

  • Lavorare separatamente sulla questione dei cookie ePrivacy.

    Mappare esattamente quando vengono impostati i cookie. Se non potete sostenere chiaramente che l'esenzione per necessità tecnica si applica nella vostra giurisdizione, caricate hCaptcha dopo il consenso o utilizzate un'alternativa senza cookie. Se si salta questa valutazione, l'obbligo non viene meno.

  • Esaminate il livello del vostro piano e le condizioni di utilizzo dei dati.

    Verificate se i termini applicabili sono compatibili con i vostri obblighi, soprattutto se trattate i dati degli utenti in contesti regolamentati o sensibili.

  • Testate l'accessibilità per davvero.

    Eseguite i test di navigazione da tastiera, fallback audio, stato di errore e mobile descritti sopra. Non considerate una dichiarazione di conformità del fornitore come un sostituto di un test dal vivo.

  • Stratificare le difese.

    Questo aspetto è più importante di quanto possa sembrare a prima vista. Più riuscite a ridurre la frequenza di attivazione di un CAPTCHA, attraverso la limitazione del tasso, la convalida lato server, i campi honeypot e il monitoraggio dei tentativi di accesso, meno dati vengono elaborati da uno strumento CAPTCHA di terze parti. Un minor numero di attivazioni significa un minor numero di dati inviati a un elaboratore esterno. Ciò è positivo sia per la privacy che per l'esperienza dell'utente. La CNIL sottolinea esplicitamente che il CAPTCHA è uno strumento all'interno di un insieme più ampio di misure, non una soluzione a sé stante. La stratificazione significa anche che se hCaptcha non è disponibile o viene bloccato dallo strumento di privacy di un utente, cosa che accade, la protezione di base non crolla completamente.

  • Aggiornare l'informativa sulla privacy.

    Confermare che l'elaborazione di hCaptcha è divulgata, che gli utenti sono informati della base di trasferimento statunitense e che il registro delle attività di elaborazione riflette Intuition Machines come sub-processore.

Conclusione

hCaptcha non è automaticamente illegale in Europa. Per le organizzazioni disposte a svolgere il lavoro di governance, la DPA firmata, la documentazione di trasferimento, la valutazione dei cookie ePrivacy, la revisione del piano e i test di accessibilità reali, può far parte di un'implementazione conforme.

La risposta onesta, se hCaptcha è conforme al GDPR, è: dipende dal modo in cui lo implementate, dal livello del piano in cui vi trovate, dal settore in cui operate e da quanto accuratamente avete documentato le vostre decisioni. La certificazione del fornitore è un punto di partenza, non di arrivo.

Per alcune organizzazioni, questo compromesso può essere ancora accettabile. Tuttavia, altre potrebbero preferire una soluzione CAPTCHA europea che riduca l'attrito con la privacy ed eviti le barriere di sfida visive. In questo contesto, captcha.eu può essere una valida alternativa. È ospitato in Austria, è stato progettato per essere conforme al GDPR, non utilizza cookie né tracciamenti e possiede la certificazione WACA Silver / WCAG 2.2 AA.

FAQ – Domande frequenti

hCaptcha è conforme al GDPR per impostazione predefinita?

No. hCaptcha fornisce una certificazione DPA, DPF e SCC, ma si tratta di strumenti che gli operatori possono utilizzare, non di una garanzia di conformità. La base legale, la questione dei cookie ePrivacy, la documentazione di trasferimento e l'accessibilità rimangono tutte responsabilità dell'operatore del sito web.

hCaptcha trasferisce i dati personali negli Stati Uniti?

Sì. Intuition Machines dichiara di poter trattare i dati personali negli Stati Uniti nell'ambito della fornitura del servizio e di avere la certificazione EU-US Data Privacy Framework. La certificazione DPF è un meccanismo di trasferimento valido, ma è necessario verificarne l'attualità e documentarla nell'ambito dei documenti di trasferimento.

hCaptcha utilizza i cookie?

Sì. La sua politica sui cookie elenca i cookie, tra cui htm_id, descritti come utilizzati per scopi tecnici e legati al servizio. La necessità di ottenere il consenso ePrivacy prima di impostare tali cookie dipende dall'applicabilità dell'esenzione per necessità tecnica nella giurisdizione e nel caso d'uso specifici. Questo non può essere dato per scontato, ma richiede una valutazione deliberata.

Il piano tariffario di hCaptcha influisce sulla conformità?

Può. L'uso dei dati e i controlli contrattuali possono differire tra i vari livelli di piano e i clienti aziendali possono essere in grado di negoziare termini di privacy più severi rispetto ad altre implementazioni. Se si elaborano dati di utenti in settori regolamentati, è opportuno esaminare i termini applicabili al piano specifico prima dell'implementazione.

hCaptcha è accessibile?

hCaptcha è conforme alle WCAG 2.2 AA e fornisce una sfida audio come alternativa ai compiti visivi. Tuttavia, riconosce che alcune sfide visive non possono essere rese completamente accessibili pur continuando a svolgere la loro funzione di sicurezza. L'accessibilità deve essere verificata attraverso test reali, la navigazione da tastiera, l'esperienza di fallback audio tra screen reader e browser diversi e gli annunci di stato di errore, e non deve essere ipotizzata solo in base alle dichiarazioni del fornitore.

Posso saltare la valutazione del consenso ai cookie se la mia base giuridica GDPR è costituita da interessi legittimi?

I requisiti della Direttiva ePrivacy sui cookie sono indipendenti dal GDPR. Anche in presenza di una base giuridica valida del GDPR, l'articolo 5(3) della Direttiva ePrivacy si applica comunque separatamente. Una lacuna di conformità su uno dei due aspetti non si risolve con l'adeguamento dell'altro.

Qual è un'alternativa a hCaptcha conforme al GDPR?

Per le organizzazioni in cui l'hosting dei dati dell'UE, l'assenza di cookie e l'accessibilità certificata sono requisiti piuttosto che preferenze, captcha.eu è stato costruito proprio in base a questi vincoli. Hosting austriaco, nessun cookie, nessun tracciamento, integrazione invisibile e indipendenza. conformità verificata alle WCAG 2.2 AA attraverso la certificazione WACA Silver del TÜV Austria.

100 richieste gratuite

Hai la possibilità di testare e provare il nostro prodotto con 100 richieste gratuite.

Inizia la prova

Se hai qualche domanda

Contattaci

Il nostro team di supporto è disponibile per assisterti.

Contattaci

messaggi recenti

it_ITItalian
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish nl_NLDutch it_ITItalian