Sezione 1: Perché i bot prendono di mira i widget di prova
I widget di prova virtuale sono un bersaglio attraente per i bot perché forniscono la generazione gratuita di immagini AI. Un endpoint di prova accetta una foto e l'immagine di un prodotto e restituisce un risultato composto dall'AI — dal punto di vista di un bot, questa è un'API di generazione immagini AI gratuita e accessibile pubblicamente. Gli script automatizzati possono colpire l'endpoint migliaia di volte all'ora per generare immagini di prodotti, ritratti o dati di addestramento sintetici a costo zero per l'attaccante e al pieno costo del tetto mensile per te come merchant.
L'incentivo economico è significativo: un'API di generazione immagini AI di qualità costa tipicamente $0.05–0.20 per immagine. Un endpoint del widget di prova senza protezione bot sta effettivamente offrendo questo servizio gratuitamente a chiunque decodifichi il formato della richiesta. Su vasta scala, una singola campagna bot può esaurire l'intera quota mensile di prove di un merchant in poche ore, lasciando i veri acquirenti con un servizio degradato per il resto del periodo di fatturazione.
Sezione 2: Lo stack di difesa a cinque livelli di Photta
Photta implementa cinque difese indipendenti, ognuna delle quali intercetta un diverso vettore di attacco. Livello 1 — hCaptcha: ogni richiesta di prova deve includere un token hCaptcha valido generato nel browser. I bot headless e i client HTTP automatizzati non possono risolvere hCaptcha senza interazione umana, bloccando semplici attacchi scriptati. Livello 2 — fingerprinting BotD: l'SDK esegue BotScore di FingerprintJS per rilevare browser headless, framework di automazione (Puppeteer, Playwright) e ambienti browser sospetti prima ancora che l'utente invii una foto.
Livello 3 — Allowlist dei domini: la tua chiave pk_live_ accetta solo richieste dai domini registrati in Impostazioni → Domini Consentiti. Le richieste da qualsiasi altra origine restituiscono immediatamente un HTTP 403, prima che avvenga qualsiasi elaborazione AI. Livello 4 — Limite di frequenza IP: più di 10 richieste di prova al minuto da un singolo indirizzo IP attivano la limitazione automatica; più di 30 al minuto attivano un blocco temporaneo. Livello 5 — Tetto mensile: il limite mensile di prove del tuo piano (500/2.000/10.000 a seconda del livello) è bloccato lato server. L'esaurimento del tetto interrompe tutte le prove per il resto del ciclo di fatturazione, prevenendo scenari di costi fuori controllo.
Sezione 3: Monitorare i tentativi dei bot nella dashboard
Accedi a business.photta.app e vai su Sicurezza. Il pannello Sicurezza mostra tre grafici aggiornati in tempo reale: Tentativi Bloccati (totale per ora), Analisi Motivo del Blocco (fallimenti hCaptcha vs rilevamenti BotD vs mancate corrispondenze di dominio vs trigger del limite di frequenza) e Top IP Bloccati (gli indirizzi IP che hanno generato il maggior numero di richieste bloccate nelle ultime 24 ore). Un negozio in salute mostra tipicamente quasi zero tentativi bloccati durante le normali ore di attività.
Il pannello Sicurezza include anche una sezione Avvisi Anomalie. Il livello di analisi di Photta monitora improvvisi picchi nel volume di prove o tentativi bloccati che deviano più di tre deviazioni standard dalla tua baseline di 7 giorni. Quando viene rilevata un'anomalia, ricevi una notifica via email entro 15 minuti e l'avviso appare nella dashboard. Puoi configurare le soglie di notifica in Impostazioni → Notifiche → Avvisi di Sicurezza.
Sezione 4: Rispondere alle attività sospette
Quando noti pattern insoliti nel pannello Sicurezza — un picco di richieste bloccate, un cluster di tentativi da un range IP o un calo improvviso della tua quota mensile — segui queste azioni in ordine. Per prima cosa, controlla l'elenco dei Top IP Bloccati. Se uno o pochi IP rappresentano la maggior parte dei tentativi bloccati, clicca su 'Blocca IP' accanto a ciascuno per bandirli permanentemente al livello Photta. I blocchi si applicano immediatamente e persistono finché non vengono rimossi manualmente.
In secondo luogo, se l'attacco utilizza più IP (una botnet distribuita), contatta il supporto Photta tramite la chat della dashboard fornendo il tuo ID merchant e l'intervallo temporale dell'attacco. Il team di sicurezza di Photta può applicare un blocco a livello CIDR sulla sottorete attaccante entro poche ore. Terzo, se la tua quota mensile è stata significativamente esaurita dall'attività dei bot, apri un ticket di supporto — Photta offre il ripristino una tantum della quota per attacchi bot documentati. Allega uno screenshot dell'avviso di anomalia del tuo pannello Sicurezza come prova.
Sezione 5: Quando aggiungere un CAPTCHA personalizzato
Il sistema hCaptcha integrato di Photta viene eseguito in modo invisibile — la maggior parte degli acquirenti legittimi non vede mai una sfida CAPTCHA. In casi molto rari (negozi di alto valore, endpoint di widget indicizzati pubblicamente), le difese integrate potrebbero non essere sufficienti se un attaccante sofisticato utilizza farm di risoluzione CAPTCHA umane. In questo scenario, aggiungi un secondo livello CAPTCHA a livello della tua pagina prodotto prima di chiamare photta.open(). Verifica il tuo CAPTCHA personalizzato sul tuo server, quindi passa un token di verifica firmato all'SDK Photta come photta.open({ verificationToken: 'tuo_token' }) per garantire che solo le sessioni verificate possano avviare una prova.
Il CAPTCHA personalizzato è l'ultima risorsa per i negozi che hanno subito ripetuti attacchi sofisticati. Per la stragrande maggioranza dei merchant, lo stack a cinque livelli di Photta fornisce una protezione sufficiente senza attriti visibili per l'acquirente. Se stai valutando se aggiungere un livello personalizzato, controlla prima l'Analisi Motivo del Blocco nel pannello Sicurezza — se i fallimenti hCaptcha rappresentano meno dell'1% dei tuoi tentativi bloccati totali, lo stack sta funzionando e un livello aggiuntivo aggiungerebbe attrito senza un significativo guadagno in termini di sicurezza.