Il tuo carrello è attualmente vuoto!
Perché ricevo messaggi strani dai form (e cosa fare per fermarli davvero)
Photo by Hannes Johnson on Unsplash
Se hai un sito con un form di contatto, prima o poi ti sarà capitato di chiederti: “Perché ricevo messaggi strani dai form?”. Ricevere un messaggio che non ha alcun senso è un’esperienza molto comune se gestisci un sito web. Tipo questo che è arrivato a me ieri:
Ykanrikjhwfsdj
Nessuna spiegazione, nessun contesto. Solo lettere messe a caso.
Quando succede, la domanda è quasi inevitabile: Ma chi dovrebbe scrivere una cosa così?
La risposta è: nessuno. Non è una persona. È un bot.
Un bot è semplicemente un software che compie azioni in modo automatizzato. Può compilare form, visitare pagine, creare account, raccogliere dati, testare vulnerabilità, controllare link, fare backup, monitorare prezzi, e così via. Alcuni bot fanno danni, altri fanno lavori utilissimi. Quindi bot non è sinonimo di negativo. È solo automatizzato. Il problema nasce quando lo scopo è dubbio o dannoso.
Indice dei contenuti
I bot “buoni”
Io stesso, nel mio lavoro, ho usato bot per motivi utili e assolutamente legittimi.
Avevo bisogno di recuperare dei dati periodici da più siti e dashboard private (miei account, login miei, niente accessi non autorizzati). Invece di farlo manualmente — apri browser, login, cerca pagina giusta, copia e incolla in un foglio — avevo creato uno script che lo faceva per me.
Usavo un browser headless, cioè un browser senza interfaccia grafica, invisibile, ma totalmente programmabile. Lo script apriva il sito, faceva login, navigava dove serviva, copiava i dati e li esportava. Operazione pulita, ripetibile, e soprattutto: automatica.
E questo è solo un esempio.
Pensiamo alla Wayback Machine: celebre servizio dove puoi rivedere com’era un sito dieci anni fa. Dietro c’è una rete di bot che visita siti, li fotografa, salva gli snapshot, li archivia e li rende ricercabili.
Oppure i crawler di Google, che scansionano il tuo sito per indicizzarlo e mostrarti in SERP. O i bot di Meta che recuperano le anteprime quando condividi un link.
Senza bot, internet sarebbe molto meno utile.
Il problema, quindi, non è “il bot”.
Il problema è l’intenzione.
Quando i bot diventano un problema
I bot che compilano form a caso lo fanno di solito per:
- verificare se esistono vulnerabilità
- raccogliere email
- inviare spam
- preparare attacchi successivi
- oppure semplicemente per test automatizzati fatti male
E sono proprio questi che fanno arrivare messaggi nonsense nel form.
Tipologie di messaggi spam che potresti ricevere (e cosa vogliono ottenere)
Per capire meglio perché i bot inviano messaggi, basta guardare che tipo di messaggi arrivano. Di solito ricadono in poche categorie ricorrenti:
1. Messaggi in lingue che non c’entrano nulla con il tuo sito
Io ad esempio ricevo molti messaggi in spagnolo, nonostante il sito sia in italiano.
Sono tentativi generici per capire se la mail viene letta e può essere “attivata” per spam successivo.
2. Il finto milionario che deve trasferire milioni
Il classico:
“Sono un imprenditore e devo spostare 5.700.000€ fuori dal mio paese…”
Qui l’obiettivo è truffarti convincendoti a fornire documenti e credenziali.
3. Complimenti esagerati con link sospetti
“Il tuo sito è fantastico! Dovresti vedere queste pillole miracolose/questo servizio/questo link…”
Qui lo scopo è pubblicitario (spam) oppure phishing.
4. Lettere completamente a caso
“Jwndkjhwleiuwnx”
Questi servono solo a testare se il form è attivo e risponde.
5. Messaggi che ti invitano a fare login “per ritirare un premio”
“Il tuo sito è stato selezionato, accedi con il tuo account WordPress per confermare…”
Qui l’obiettivo è chiaro: rubare credenziali.
Questi esempi aiutano a capire che lo scopo dei bot può essere:
| Scopo | Esempio | Pericolo |
|---|---|---|
| Spam/marketing aggressivo | Complimenti + link | Disturbo / perdita di tempo |
| Phishing | Falso login / premi | Furto credenziali |
| Raccolta email | Messaggi senza contenuto | Mailing list spam |
| Test vulnerabilità | Stringhe casuali | Attacchi futuri |
Prima difesa: il campo Honeypot
Molti form builder moderni (Formidable Forms, WPForms, Gravity Forms) includono già una protezione anti-bot chiamata honeypot. È un campo nascosto: l’utente vero non lo vede e quindi non lo compila; il bot sì, e quindi viene immediatamente bloccato.
È una protezione elegante: silenziosa, trasparente, non disturba nessuno.
Ma i bot più evoluti la saltano, per questo serve un secondo livello.
Diciamo che è una protezione molto basica, non è troppo complesso con un bot capire se un campo è davvero visibile. Ma se il vostro gestore form ha la possibilità di abilitare honeypot, o li ha abilitati di default, ben venga, non fa di certo male.
CAPTCHA: quale usare davvero
Il CAPTCHA non serve a “testare” direttamente l’utente come molte persone pensano. Non vuole capire se sei umano dal singolo clic, ma osservare come ti comporti durante la navigazione: i movimenti del mouse, il tempo che impieghi a compilare il form, il tipo di dispositivo, eventuali automatismi tipici dei bot. In pratica, è un sistema per classificare il traffico tra “molto probabile umano” e “probabile bot”.
I principali sistemi oggi usati sono:
reCAPTCHA v2
È quello con la famosa casella “Non sono un robot” oppure con le immagini da selezionare (semafori, autobus, ecc.). È semplice da implementare e generalmente non dà fastidio all’utente. È una soluzione stabile e molto diffusa.
reCAPTCHA v3
Non si vede: non richiede clic o interazioni. Lavora in background e assegna un punteggio al comportamento dell’utente (da 0.0 a 1.0). Più il punteggio è alto, più l’utente è considerato affidabile. È utile nei login, nelle aree riservate e in tutte le situazioni dove non vuoi interrompere il flusso dell’utente. Di solito si abbina a controlli aggiuntivi (es. honeypot o regole specifiche sulla logica del form) per rendere il sistema ancora più sicuro.
hCaptcha
È l’alternativa più diffusa per chi non vuole usare servizi di Google. Funziona molto bene e ha la stessa logica di reCAPTCHA v2, ma a volte può risultare più lento o richiedere più step di verifica, quindi leggermente più macchinoso.
Consigli pratici:
- Per la maggior parte dei siti (contatti, richiesta preventivi, commenti): reCAPTCHA v2 → semplice, chiaro, efficace.
- Per login, registrazioni, aree riservate: reCAPTCHA v3 + honeypot → invisibile, migliore esperienza, sicurezza più flessibile.
- Se non vuoi usare Google: hCaptcha → buona alternativa, accettabile compromesso.
In generale, preferisco reCAPTCHA v3 perché non interrompe l’utente.
Installazione rapida reCAPTCHA su WordPress (esempio con Formidable Forms)
Installare reCAPTCHA su WordPress è, nella maggior parte dei casi, molto semplice. In breve: ottieni due chiavi (public key / site key e private key / secret), quindi incollale nelle impostazioni del plugin che gestisce i form (es. Formidable Forms).
Passi essenziali:
- Genera le chiavi
- Per reCAPTCHA: vai alla Google reCAPTCHA Console e crea un nuovo sito (scegli v2 o v3 secondo le tue esigenze). Otterrai la site key e la secret key.
- Per hCaptcha: procedura analoga sulla dashboard di hCaptcha.
- Configura il plugin su WordPress
- Apri il plugin dei form (es. Formidable Forms → Impostazioni → reCAPTCHA).
- Incolla site key e secret key. Salva e testa un form.
- Test rapido
- Invia un form da una finestra in incognito per verificare che il CAPTCHA venga valutato correttamente.
- Regole aggiuntive (consigliate per v3)
- Imposta la soglia di punteggio che consideri “sospetta”.
- Combina v3 con un honeypot (campo nascosto) o limitazioni sul rate di invio per maggiore sicurezza.
Nota pratica sulla parte più ostica
La vera difficoltà, più che il codice o la configurazione del plugin, è orientarsi nella Console API di Google: ci sono molti servizi, nomi e pulsanti non sempre immediati, documentazione pensata per target variegati (developer, marketer, amministratori). Questo rende la procedura iniziale confusa: dove cliccare, quale progetto usare, come collegare domini ecc. Non è tanto un problema tecnico quanto di UX della console.
Se ti serve, questo video mostra il flusso per generare le chiavi e ti guida passo-passo: https://www.youtube.com/watch?v=ND0es8JXCAQ seguendolo dovresti ottenere le chiavi senza problemi.
Se invece stai integrando reCAPTCHA in un sito custom (non WordPress), la parte di codice richiede qualche passaggio in più (inserire lo script nel front-end, verificare lato server la risposta con la secret key, gestire la logica in base al punteggio); se vuoi te lo spiego con esempi di codice, magari in un altro articolo.
Risultato pratico
Quando attivi honeypot + reCAPTCHA:
- la maggior parte dello spam sparisce
- il database resta pulito
- le statistiche tornano affidabili
- e soprattutto: torni a leggere richieste vere
Quando non lo fai:
- continui a ricevere rumore
- perdi tempo
- e ti fai un’idea sbagliata di come gli utenti usano il sito
Conclusione: Perché ricevo messaggi strani dai form
bot non sono il “male”. Sono strumenti. Alcuni fanno un lavoro utilissimo, altri no.
Nel web moderno conviviamo con entrambi.
La differenza la fa come proteggi il tuo sito.
E la combinazione efficace, semplice per evitare una marea di spam è:
honeypot + reCAPTCHA
Attivi, testi, ti dimentichi il problema.
Stanco dello spam? Risolviamo insieme.
Se ti arriva spam ogni giorno e ormai hai smesso persino di leggere i messaggi dei form, non è colpa “dell’Internet cattivo”. È solo normale traffico automatico, e si risolve in modo semplice.
Aggiungi un honeypot, integra reCAPTCHA, fai un test e vedrai che nel giro di poche ore la situazione cambia drasticamente.
Se non sei sicuro di come farlo, o se il tuo form non collabora, scrivimi pure o prenota una consulenza: lo sistemiamo insieme in poco tempo, e torni ad avere un form che serve davvero al tuo sito.
Per i miei progetti utilizzo VHosting, un servizio che trovo affidabile e conveniente da anni. Ho attivato un’affiliazione, quindi se scegli di acquistarlo tramite il mio link, ricevo una commissione. Per te il prezzo resta invariato, ma mi aiuti a continuare a condividere consigli e risorse utili!