reCAPTCHA di Google chiede di salutare con la mano, si può aggirare

Google sta testando un nuovo metodo reCAPTCHA, invece di cliccare su semafori e strisce pedonali, si deve salutare con la mano davanti alla webcam. L’AI registra un breve video, estrae 21 coordinate delle articolazioni della mano, verifica che si è umani, e cancella il video. Il problema è che la verifica si può aggirare con una foto stock di una mano aperta e una webcam virtuale OBS…

Come funziona il nuovo metodo reCAPTCHA di Google (in teoria)

Il browser chiede l’accesso alla fotocamera. Viene chiesto di fare un gesto semplice, come un saluto o mostrare la mano aperta. Google registra un breve video del movimento, usa l’AI per estrarre le coordinate delle articolazioni, completa la verifica e cancella il video. Big G dice di non conservarlo.

Un utente su X ha testato il sistema usando una foto stock di una mano, alimentata attraverso OBS Virtual Camera, e ha funzionato. Un redattore di Neowin ha voluto verificare in prima persona, e dopo qualche tentativo, alla fine è riuscito a passare il test. Ha semplicemente riposizionato l’immagine di una persona generica che saluta dentro OBS, e il meccanismo di Google l’ha registrata come gesto legittimo della mano.

BREAKING: google introduces new captcha entirely bypassable using stock images 👀 https://t.co/dPWiy5GwTL pic.twitter.com/nMQQPDqIqG

— PatRyk (@Patrosi73) June 28, 2026

Non serviva nemmeno un video o un’animazione AI della mano. L’intero processo può essere automatizzato in pochi minuti con un semplice script Python. Non serve nemmeno un bot AI, quelli che di solito vengono usati per risolvere puzzle e altri metodi di verifica.

Il doppio problema

Il primo problema è che il nuovo metodo di Google non funziona, una foto stock batte il sistema progettato per distinguere gli esseri umani dai bot. Il secondo problema è che, anche se funzionasse, chiede agli utenti di registrare un video della propria mano. Le scansioni della mano sono tecnicamente dati biometrici. Google dice di cancellare il video immediatamente, ma in un’epoca in cui la fiducia nelle pratiche di raccolta dati di Google è ai minimi storici, non è una mossa popolare.

A che punto siamo?

Il reCAPTCHA a gesto è in fase iniziale. Google aggiornerà probabilmente l’AI per rifiutare almeno le immagini statiche. Ma il fatto che la prima versione sia stata superata da una foto stock e non da un attacco sofisticato, suggerisce che la strada è ancora lunga. E a proposito, nel frattempo, i semafori e le strisce pedonali restano.