Se hai mai compilato un form su internet, hai quasi certamente lavorato gratis per Google. Quei quiz con i semafori, le biciclette, i negozi — non servono solo a capire se sei umano. Servono ad addestrare i sistemi di visione artificiale di un'azienda americana che non ti ha chiesto il permesso.
Questa è la premessa da cui nasce SecureShield.
Il problema non è solo tecnico
Quando ho iniziato a ragionare su un'alternativa a reCAPTCHA, la motivazione non era puramente tecnica. Era più profonda — e si articola su tre livelli.
Il primo è il controllo. Alcune aziende hanno costruito un'infrastruttura così pervasiva che usarla è diventato il percorso di default. Nessuno si chiede se è giusto: è comodo, è gratuito, funziona. E così la dipendenza si consolida, silenziosamente.
Il secondo livello è normativo. L'Europa, con il GDPR, ha scelto una strada diversa: tutelare l'utente, non monetizzarlo. È una visione con cui mi trovo d'accordo — e che crea un contesto in cui strumenti alternativi hanno senso di esistere.
Il terzo è il consenso reale. I dati degli utenti vengono raccolti e utilizzati, ma la capacità effettiva di controllarli è quasi zero. Il consenso esiste sulla carta. Nella pratica, è un'illusione.
SecureShield nasce da qui: dal voler fare, nel mio piccolo, una cosa diversa.
Come funziona — senza paroloni
Il principio base è semplice: un essere umano e un bot si comportano in modo radicalmente diverso.
Un bot compila un form in millisecondi, non muove il mouse, non scorre la pagina, non esita. Un essere umano legge, sposta il cursore, impiega qualche secondo. SecureShield osserva questo comportamento — timing, movimento, interazione — e assegna un punteggio di affidabilità ad ogni submission.
Se il punteggio è sotto la soglia, il form viene bloccato. Nessun messaggio all'utente, nessun quiz da risolvere, nessuna friction. Il bot viene semplicemente ignorato.
Una cosa importante da capire: i dati raccolti si limitano allo stretto necessario. SecureShield non costruisce profili, non traccia utenti, non condivide nulla con nessuno. E la parte forse più rilevante — il sistema impara esclusivamente dai tentativi che rifiuta. Non da chi passa, ma da chi viene bloccato. I dati degli utenti legittimi non alimentano niente.
La roadmap: cosa diventerà
Siamo alla versione 1.0. Funziona, la stiamo testando sui nostri prodotti e con una nicchia selezionata di clienti che si sono offerti di ospitarla — e da cui stiamo imparando molto.
La versione 2.0 ha un'ambizione più alta. Stiamo lavorando su:
- Machine learning sul comportamento: analisi del movimento del mouse su desktop e dello scroll su mobile per costruire un modello predittivo sempre più preciso
- Reputazione IP: valutazione dell'indirizzo del mittente incrociata con pattern noti
- Email pattern analysis: le email generate automaticamente seguono schemi prevedibili — caratteri casuali, domini temporanei, strutture ripetitive. SecureShield 2.0 le riconoscerà
L'obiettivo finale è un SaaS multi-tenant: uno strumento che qualsiasi sviluppatore possa integrare, con i dati che restano sotto il controllo di chi lo usa.
Dove siamo oggi
SecureShield non è ancora disponibile pubblicamente. Lo stiamo costruendo sull'esperienza reale — questo sito lo usa sul form contatti e sul login del backoffice — e lo stiamo raffinando con feedback concreti.
Se sei uno sviluppatore PHP interessato a testarlo, o un'azienda che vuole proteggere i propri form senza dipendere da infrastrutture esterne, scrivimi. Non ho un listino prezzi da mandarti — ho una conversazione da fare.