Ecommerce

Captcha, che sofferenza: così incidono sugli acquisti online

l captcha proteggono i merchant da spam e ordini finti e proteggono gli account dei consumatori da attacchi volti al furto dei loro dati. Ma è vero anche che ostacolano e interrompono l’esperienza d’acquisto. Quali sono le soluzioni per un eCommerce che voglia garantire sicurezza senza sacrificare la UX

10 Nov 2021
Marianna Chillau

CEO & CoFounder @FlyerTech Presidente @4eCom

Che si tratti di ordinare un articolo di abbigliamento, comprare un biglietto di un treno, prenotare una camera di hotel o anche fare la spesa, per i consumatori è sempre più facile avviare e portare a termine un acquisto sul web. Eppure, non sempre il processo d’acquisto è fluido. Tra i vari elementi che ostacolano e interrompono l’esperienza d’acquisto ci sono i captcha: i test volti a verificare se l’utente è un essere umano o un bot attraverso un semplice click su un checkbox, parole distorte da trascrivere, immagini in cui individuare semafori, pali della luce o altri oggetti, puzzle e altro ancora.

Botnet “buoni” per misurare il web: come usarli per la ricerca

Che cosa sono i captcha

Nati per proteggere il proprio sito da azioni di spambot, i captcha sono sistemi di sicurezza sono diventati progressivamente più complessi man mano che gli stessi spambot diventavano più sofisticati e abili nel risolverli. All’aumentare della complessità dei test – sempre più difficili tanto per i bot quanto per gli umani stessi – è aumentata così anche anche la frustrazione degli utenti, per i quali la risoluzione dei test, specie in un momento delicato come l’acquisto, può diventare causa di abbandono del processo d’acquisto stesso avviato. I captcha risultano infatti un elemento di interruzione del processo d’acquisto, capace di influire negativamente sull’esperienza complessiva dell’utente.

WHITEPAPER
Senza social media in Cina non vendi: leggi tutte le regole per usarli nel modo giusto
Manifatturiero/Produzione
Marketing

Nell’uso e nell’evoluzione di questi test si gioca quindi una partita tra la necessità di garantire sicurezza e quella di fornire una esperienza utente (UX) agevole: una partita in cui è in gioco la fiducia degli utenti e la loro propensione all’acquisto. Se la sicurezza è certamente tra le preoccupazioni principali dei consumatori online, un’esperienza d’acquisto senza frizioni è altrettanto importante e un fattore determinante nella scelta dei siti su cui acquistare e/o tornare ad acquistare. In un mondo in cui marketplace come Amazon consentono l’acquisto con un solo click, facendo da modello a numerosi eCommerce che puntano a ottimizzare tempi e fluidità del checkout, i siti che non riescono ad adeguarsi a questi standard rischiano di perdere conversioni e clienti.

È bene dunque esaminare qual è l’effettiva validità ed efficacia dei captcha, quali sono gli effetti sul comportamento degli utenti e sulle conversioni nel caso del loro utilizzo da parte degli eCommerce, e a quali trasformazioni questa misura di sicurezza va incontro in questo scenario.

La nascita dei captcha e la loro storia

Nel 2021, ci sono decine di sistemi di captcha sul mercato, il più importante dei quali, il recaptcha di Google, è usato da più di 6.3 milioni di siti web.

Inventati nel 1997 dal motore di ricerca AltaVista, i captcha hanno avuto sin dall’inizio l’obiettivo di prevenire il propagarsi dei bot su Internet, attraverso dei semplici test volti a distinguere gli umani dai sistemi di Intelligenza Artificiale. Il nome stesso è un acronimo che sta per Completely Automated Public Turing test to tell Computers and Humans Apart: letteralmente, “test di Turing pubblico completamente automatico per distinguere i computer dagli esseri umani”.

Se i primi captcha chiedevano di decodificare delle lettere in un’immagine distorta, man mano che i bot proliferavano e diventavano sempre più capaci di accedere ai siti, anche i test hanno subito un’evoluzione. Sono stati sviluppati nel tempo numerosi tipi di captcha: dalle immagini in cui riconoscere quali sezioni contengono un albero o un semaforo ai problemi matematici, dalla comprensione di una parola in un audio ai puzzle.

Già nel 2014, Google (che dal 2009 ha acquistato il sistema recaptcha e dal 2012 ha incominciato a incorporare immagini di Google Street View) aveva annunciato che un algoritmo di Intelligenza Artificiale sviluppato dall’azienda stessa era capace di passare i captcha testuali nel 99% dei casi (contro appena il 33% dei casi in cui a passarlo erano gli umani). Nello stesso anno, il gigante del web ha sviluppato un nuovo tipo di captcha: Nocaptcha recaptcha. Invece che basarsi su testi distorti, questo sistema di sicurezza prevede un solo click sulla casella “I’m not a robot”. Sulla base di elementi come l’indirizzo IP e i comportamenti tracciati dai cookies, così come di movimenti del mouse sul checkbox, Google valuta se si tratta di utenti reali o bot; nel caso di incertezza, compare un popup con test progressivamente più complessi da risolvere (ad esempio, le immagini in cui selezionare i riquadri con i semafori).

Anche questo sistema, tuttavia, è stato negli anni intaccato da sistemi di Intelligenza Artificiale sempre più capaci di bypassare gli ostacoli dei captcha. A questo si aggiungono le “captcha farms”, grazie a cui i cybercriminali riescono a risolvere i captcha attraverso l’aiuto di operatori umani.

Un’evoluzione più recente di Google è quella che ha visto nascere nel 2018 recaptcha v3, un sistema che valuta il comportamento dell’utente e stabilisce se si tratta o meno di un utente reale o di un bot senza andare a interrompere l’esperienza di navigazione. Solo nel caso di azioni dubbie, all’utente viene sottoposto un test del tipo recaptcha v2. Un’evoluzione, questa, spinta dalla convinzione che in pochi anni i captcha tradizionali saranno inutili contro i sistemi di Machine Learning, come dichiarato a The Verge da Aaron Malenfant (responsabile ingegnera del team di Google). Nonostante neppure recaptcha v3 sia del tutto esente da criticità legate alla sicurezza.

I captcha tra sicurezza e user experience

Lo sviluppo da parte di Google di un captcha che interrompesse il meno possibile l’esperienza dell’utente rivela una duplice preoccupazione che investe chi si occupa di creare questi test: da una parte la preoccupazione legata alla sicurezza, dall’altra quella legata alla UX. Due istanze che spesso sembrano andare l’una a discapito dell’altra.

L’uso di test via via più complessi al fine di neutralizzare le minacce degli spambot, infatti, ha sicuramente reso l’esperienza di navigazione e l’usabilità dei siti più difficile anche per gli utenti.

Già nel 2010, uno studio di Stanford[1] su “quanto gli esseri umani sono bravi a risolvere i captcha” mostrava che:

  • I captcha visivi richiedono 9.8 secondi per essere completati
  • I captcha audio richiedono 28.4 secondi per essere ascoltati e risolti
  • I captcha audio ha un 50% di tasso di abbandono
  • Solo il 71% delle volte tre utenti concordano sulla trascrizione di un captcha testuale
  • Solo il 31.2% delle volte tre utenti concordano sulla trascrizione di un captcha audio

Tempi come questi riscontrati dallo studio, che vanno dai 10 ai 30 secondi, sono particolarmente elevati per l’utente medio; e si può immaginare come la creazione e l’attivazione di test ancora più sofisticati e complessi negli ultimi anni abbia reso ancora più lunghi questi tempi. Un più recente studio del Baymard Institute sulla UX, inoltre, dimostra che oltre l’8% degli utenti fallisce nella risoluzione dei captcha testuali – una percentuale che sale al 29% nel caso sia determinante anche la distinzione tra maiuscole e minuscole. Nel complesso, solo il 66% degli utenti riesce a risolvere il captcha al primo tentativo.

Questi dati ci danno la misura della difficoltà che l’utente riscontra nella risoluzione dei captcha. In questo senso, non sorprende l’alto tasso di abbandono che queste misure di sicurezza provocano.

Rimane a questo punto da vedere come tutto ciò si traduca in termini di conversioni ed esperienza d’acquisto nel caso dell’attivazione di un captcha su un sito eCommerce.

Come l’uso dei captcha incide sugli acquisti online

A utilizzare i captcha come misura di sicurezza nel reset di una password o in tentativi di login è il 16% dei grandi siti eCommerce. Da un lato, l captcha proteggono i merchant da spam e ordini finti; dall’altro lato, proteggono gli account dei consumatori da attacchi volti a impossessarsi dei loro dati.

A fronte di questi benefici, i captcha hanno però chiare ripercussioni sulla UX, che si traducono a loro volta in vendite mancate. In una ricerca di MOZ condotta in 6 mesi su 50 siti web, è stato dimostrato come l’utilizzo dei captcha, se da una parte può ridurre dell’88% le registrazioni di bot ai form dei siti, dall’altra parte scoraggia potenziali acquirenti determinando un calo del 3.2% nelle conversioni “buone” (non riconducibili cioè a bot).

Occorre poi considerare il fenomeno dell’abbandono del carrello, provocato in larga parte da fattori di interruzione dell’esperienza d’acquisto come quella dei captcha. Si tratta di un fenomeno particolarmente importante, considerando che l’88% dei carrelli viene abbandonato – quasi 9 acquisti online su 10 non vengono portati a termine.

Checkout troppo lunghi e complessi sono di fatti tra le prime quattro cause dei carrelli abbandonati (fonte: Baymard Institute). L’utilizzo di un captcha in fase di checkout contribuisce senz’altro a rendere l’esperienza dell’utente meno fluida e rapida, disincentivando così il completamento dell’acquisto online. Specie se in questa fase viene chiesta la creazione di un account al fine di completare l’acquisto, inserendo un captcha tra gli step per effettuare la registrazione. Esperienze di questo tipo si incontrano spesso sui siti eCommerce e di acquisti online italiani.

Aggiungendo al carrello alcuni articoli sul sito di spesa online CosìComodo, ad esempio, e selezionando PayPal come metodo di pagamento, all’utente viene chiesto di risolvere un recaptcha per completare l’acquisto.

Lo stesso accade su dottorgadget.it, eCommerce di gadget per la casa e regali.

Un’esperienza simile si può avere anche su Trenitalia, dove, selezionando PayPal per il pagamento di un biglietto online, l’utente si può imbattere in una serie di test di un recaptcha in cui, dopo aver cliccato sul checkbox, viene invitato a selezionare i riquadri con i semafori e, in aggiunta, a risolvere un puzzle come misura extra di sicurezza.

Sul sito di Italo, invece, oltre a dover dimostrare di non essere un bot in fase di pagamento con PayPal, selezionando il metodo di pagamento Credito Italo, si può incontrare un classico captcha testuale da decodificare.

Un’interruzione del processo d’acquisto egualmente importante è quella che si può sperimentare sul sito di Esselunga. Per effettuare un acquisto, viene infatti chiesto all’utente di procedere alla creazione di un account, la quale può essere effettuata solo compilando una serie di campi e superando un captcha.

Per portare a termine la registrazione, peraltro, è anche necessario l’inserimento di un codice inviato SMS.

Elementi di interruzione come questi allungano e complicano il checkout, e possono pertanto influire negativamente non solo sul singolo acquisto nel corso del quale compaiono, ma anche sulle possibilità che l’utente torni ad acquistare su quel sito (dal momento che la Customer Experience incide sulla loyalty).

Quali alternative?

Questo tipo di utilizzo dei captcha si dimostra un ostacolo a un processo d’acquisto fluido e senza soluzione di continuità, che è ciò che sempre di più gli utenti si aspettano oggi di trovare su un sito, specie a seguito della crescita degli acquisti online degli ultimi anni e il conseguente innalzamento delle aspettative dei consumatori che questa ha generato.

Quali sono allora le soluzioni praticabili per un eCommerce che voglia garantire sicurezza ai consumatori senza tuttavia sacrificare la UX?

Sicuramente, sistemi come il recaptcha v3 e il più recente recaptcha Enterprise sono di grande aiuto, grazie all’implementazione di misure di protezione contro i bot che non interferiscono con l’esperienza dell’utente. Tuttavia, bisogna tenere a mente che questi sistemi si basano su un tracciamento continuo del comportamento dell’utente al fine di verificare se si tratti di un utente reale o di un bot. Il che chiama in causa la questione della privacy, che può costituire una criticità considerando che il 72% dei consumatori smetterebbe di comprare da un’azienda per via di preoccupazioni relative alla privacy[2].

Un sistema alternativo per distinguere gli umani dai bot senza interruzioni è l’Honeypot, che consiste nella creazione in un form di un campo non visibile all’utente (tale per cui se questo campo viene compilato, si può supporre che a compilarlo sia stato un bot).

Esistono poi diverse altre misure che permettono di identificare l’utente verificando che si tratti di un utente umano senza al contempo interrompere il processo di acquisto su un sito. Un esempio è il social login, grazie a cui l’utente può registrarsi e/o fare login su un sito verificando in questo modo la propria identità senza bisogno di ulteriori test. Dopo aver utilizzato una volta il social login, inoltre, l’utente non ha bisogno di ripetere il processo negli acquisti successivi. Il social login diventa così un’ottima soluzione all’alternativa tra la creazione account obbligatoria in fase di checkout e l’acquisto modalità ospite: l’utente è infatti identificato e profilato come nel caso della registrazione al sito, senza tuttavia dover inserire una serie di dati e potendo quindi rapidamente procedere all’acquisto come nel caso del guest checkout.

Una nuova soluzione che si sta facendo strada, e che punta come il social login a evitare continue registrazioni ai siti eCommerce, senza tuttavia sacrificare la profilazione e la personalizzazione che la registrazione consente, è l’Identity-Powered Commerce. Questa soluzione sviluppata da Bolt fa sì che gli utenti, creando una sola volta un account in fase di acquisto su un sito, abbiano una sorta di “profilo universale” a cui accedere anche su altri siti del network Bolt, senza dover ogni volta creare profili da zero.

Anche i sistemi di riconoscimento biometrici come l’impronta digitale o il riconoscimento facciale possono sostituire i captcha (o integrarsi con questi ultimi)[3] – sebbene occorra tenere in considerazione che non tutti gli utenti sono disposti a fornire con facilità i propri dati biometrici.

Non va dimenticato anche l’uso del double opt-in: con un’email di conferma inviata dopo una registrazione al sito e/o un acquisto, l’utente può al contempo confermare l’operazione svolta sul sito e provare di essere un utente reale.

Sistemi come questi costituiscono buone alternative ai captcha, rispetto a cui hanno il vantaggio di non complicare la registrazione al sito e l’acquisto e scoraggiare così l’utente a completare l’operazione iniziata. Naturalmente, queste misure non comportano necessariamente l’eliminazione tout court dei captcha, che possono svolgere la funzione di misura di sicurezza aggiuntiva in altre particolari situazioni.

Si prenda ad esempio il caso dello smarrimento di una password e della conseguente richiesta di nuove credenziali: evento che causa un abbandono del checkout nel 18.75% dei casi. In questa situazione, dopo numerosi tentativi effettuati per digitare la password corretta, bloccare l’utente potrebbe essere una misura eccessiva. Al confronto, un sistema come il captcha può essere invece un buon compromesso.

I captcha, dunque, possono senz’altro avere un ruolo tra gli strumenti di un eCommerce. A condizione che il loro utilizzo non pregiudichi la UX, ma aiuti anzi a incrementarla. A tal fine, un A/B test distribuito su più mesi può essere d’aiuto per verificare se all’utilizzo di questa misura di sicurezza sul proprio sito siano associati maggiormente benefici o svantaggi, monitorando costantemente elementi come incrementi nell’abbandono del carrello o cali nelle registrazioni e/o conversioni.

Conclusioni

Da più di due decenni, i captcha hanno popolato il web e continuano a farlo ancora oggi. La loro evoluzione è andata di pari passo con quella del web stesso e dei suoi “abitanti”, dei bot che lo insediano così come degli utenti reali che lo navigano. La loro storia e le trasformazioni di cui sono stati protagonisti è stata così segnata da una duplice esigenza: avere la meglio sui primi, da un lato, e favorire i secondi, dall’altro. A metà tra il bisogno di sicurezza e il desiderio di un’esperienza di navigazione agevole.

Allo stesso modo, il futuro di questo sistema di sicurezza è intrecciato con quello delle aspettative degli utenti e della loro richiesta di una UX impeccabile. Se per i creatori di captcha la sfida è riuscire a sviluppare soluzioni capaci di mediare tra entrambe le istanze, per gli eCommerce la sfida è e sarà sempre di più adottare le soluzioni più adatte per garantire esperienze d’acquisto sicure e fluide allo stesso tempo. Con o senza captcha, l’eCommerce del futuro non può eludere o evitare di dare una risposta al dilemma che questo strumento pone – il dilemma tra sicurezza e usabilità.

Note

  1. Elie Bursztein et al., How Good are Humans at Solving CAPTCHAs? A Large Scale Evaluation, Stanford University, 2010 
  2. State of the Connected Customer”, Salesforce, 2020
  3. Su sistemi biometrici e CAPTCHA si veda “Real-Time Captcha Technique Improves Biometric Authentication”, Georgia Institute of Technology, 2018
WHITEPAPER
Intelligenza Artificiale nel Marketing: quello che i CMO devono sapere
CRM
Intelligenza Artificiale
@RIPRODUZIONE RISERVATA

Articolo 1 di 3