reCAPTCHA v2 vs v3: Diferenças Principais que Todo Desenvolvedor Deve Saber

TL;DR

• reCAPTCHA v2 desafia os usuários com quebra-cabeças visíveis (caixa de seleção ou grade de imagens); v3 funciona silenciosamente em segundo plano e retorna uma pontuação de risco.
• A diferença principal entre reCAPTCHA v2 e v3 é a fricção do usuário: v2 interrompe o fluxo do usuário, v3 não.
• As pontuações do v3 variam de 0,0 (provavelmente robô) a 1,0 (provavelmente humano) — seu servidor decide o que fazer com essa pontuação.
• v2 é mais fácil de implementar e depurar; v3 requer tratamento de pontuação no lado do servidor e ajuste de limiares.
• Nenhuma das versões é universalmente "melhor" — a escolha certa depende do seu site tolerância a riscos e requisitos de UX.
• Workflows automatizados que interagem com qualquer uma dessas versões podem usar a API do CapSolver para lidar com desafios CAPTCHA de forma programática.

Introdução

Se você já construiu um formulário web, página de login ou fluxo de checkout, quase certamente encontrou o reCAPTCHA. O reCAPTCHA da Google é o sistema CAPTCHA mais amplamente implantado na internet, protegendo milhões de sites contra abusos automatizados. Mas a diferença entre reCAPTCHA v2 e v3 vai além de um número de versão — os dois sistemas funcionam com princípios fundamentalmente diferentes, atendem a objetivos de UX diferentes e exigem estratégias de implementação diferentes.

Este artigo explica reCAPTCHA v2 vs v3 em termos técnicos simples: o que cada versão faz, como funciona sob o capô, quando usar uma em vez da outra e o que os desenvolvedores que constroem automação ou pipelines de dados precisam entender sobre ambas.

O que é o reCAPTCHA? Um breve histórico

O reCAPTCHA é um serviço gratuito da Google projetado para distinguir usuários humanos de robôs automatizados. Foi originalmente adquirido da Universidade Carnegie Mellon em 2009 e passou por várias iterações desde então.

De acordo com a documentação oficial do reCAPTCHA da Google, as versões ativas atuais são v2 (com duas sub-tipos) e v3, cada uma visando um equilíbrio diferente entre segurança e experiência do usuário. Um quarto nível — reCAPTCHA Enterprise — constrói-se sobre o v3 com sinais de risco adicionais e é voltado para implantações comerciais em larga escala.

Entender a diferença entre reCAPTCHA v2 e v3 começa com entender o problema que cada versão foi projetada para resolver.

reCAPTCHA v2: Desafios Visíveis, Verificação Direta

reCAPTCHA v2 é a versão mais reconhecida pelos usuários. Ele apresenta um desafio explícito que deve ser concluído antes que um formulário possa ser enviado.

Como o reCAPTCHA v2 Funciona

Quando um usuário chega a uma página protegida pelo reCAPTCHA v2, o widget carrega e analisa sinais passivos — movimento do mouse, histórico de navegação, cookies. Se o sistema estiver confiante de que o usuário é humano, ele pode passá-lo automaticamente. Caso contrário, apresenta um desafio.

Existem duas sub-tipos de reCAPTCHA v2:

1. Caixa de seleção ("Não sou um robô")
O usuário clica em uma caixa de seleção. Se os sinais passivos forem insuficientes, aparece um desafio de grade de imagens (ex.: "selecionar todos os semáforos"). Esta é a forma mais reconhecível do reCAPTCHA v2.

2. reCAPTCHA v2 invisível
Nenhuma caixa de seleção é exibida. O desafio é acionado automaticamente quando o usuário envia um formulário. Se a pontuação de risco for muito baixa, um desafio visual aparece. Esta variante reduz a fricção, mantendo o mecanismo de desafio v2.

Características Principais do reCAPTCHA v2

O token gerado por um desafio v2 bem-sucedido é enviado ao seu servidor e verificado via API siteverify da Google. A resposta é binária: válida ou inválida. Não há pontuação.

reCAPTCHA v3: Pontuação Silenciosa, Nenhuma Interrupção do Usuário

O reCAPTCHA v3 adota uma abordagem completamente diferente. Ele nunca mostra um desafio ao usuário. Em vez disso, funciona continuamente em segundo plano, coletando sinais comportamentais e retornando uma pontuação de risco entre 0,0 e 1,0.

Como o reCAPTCHA v3 Funciona

Você insere o script reCAPTCHA v3 em todas as páginas que deseja monitorar. O script coleta sinais — padrões de interação, tempo, impressões digitais de dispositivos — e quando você chama grecaptcha.execute(), ele retorna um token. Seu servidor envia esse token para o endpoint siteverify da Google e recebe uma resposta JSON que inclui:

• Uma pontuação (0,0–1,0)
• Um rótulo de ação (que você define, ex.: login, checkout)
• Um hostname e timestamp

De acordo com a documentação do reCAPTCHA v3 da Google, uma pontuação de 0,5 é o limiar recomendado por padrão, mas a Google afirma explicitamente que você deve ajustá-lo com base nos seus próprios dados de tráfego.

O que a Pontuação Significa

A pontuação não é um veredicto de passar/falhar. É um sinal de risco. Sua aplicação decide o que fazer:

• Pontuação ≥ 0,7: Provavelmente humano — permita a ação
• Pontuação 0,3–0,7: Incerto — considere autenticação de nível superior (OTP por e-mail, SMS)
• Pontuação < 0,3: Provavelmente automatizado — bloquee ou marque para revisão

Essa flexibilidade é poderosa, mas também significa que o reCAPTCHA v3 exige mais lógica no lado do servidor do que o v2.

reCAPTCHA v2 vs v3: Comparação Direta

Aqui está uma comparação estruturada das duas versões nas dimensões que importam mais para decisões de implementação.

A diferença principal entre reCAPTCHA v2 e v3 se resume a onde a decisão é tomada. No v2, o Google toma a decisão e apresenta um desafio se necessário. No v3, o Google fornece um sinal e sua aplicação toma a decisão.

Quando Usar o reCAPTCHA v2

O reCAPTCHA v2 é a escolha certa quando:

• Você precisa de uma porta pass/fail clara e auditável (ex.: registro de conta, redefinição de senha)
• Seu público-alvo está confortável com desafios ocasionais
• Você quer lógica mínima no lado do servidor
• Você está protegendo uma ação de alto valor única, em vez de monitorar o comportamento do site
• Você precisa de um mecanismo de fallback para usuários que falham na pontuação v3

A variante de caixa de seleção é especialmente adequada para formulários onde o usuário já está parando para preencher campos. A fricção adicional de um desafio CAPTCHA é menos disruptiva nesse contexto.

Quando Usar o reCAPTCHA v3

O reCAPTCHA v3 é a escolha certa quando:

• A experiência do usuário é prioritária e você não pode se dar ao luxo de interromper o fluxo
• Você quer monitorar o risco em várias páginas ou ações simultaneamente
• Você tem a infraestrutura do lado do servidor para lidar com decisões baseadas em pontuação
• Você quer coletar dados de risco antes de decidir sobre uma resposta (ex.: shadow-banning vs. bloqueio rígido)
• Você está construindo um modelo de segurança progressiva onde usuários de baixo risco têm experiência sem fricção

Muitos sistemas em produção usam o reCAPTCHA v3 como primeira camada e recorrem ao reCAPTCHA v2 quando a pontuação está abaixo de um limiar. Essa abordagem híbrida é explicitamente recomendada na FAQ do reCAPTCHA da Google.

Erros Comuns na Implementação

Entender a diferença entre reCAPTCHA v2 e v3 também significa saber onde os desenvolvedores erram.

Erro 1: Usar um limiar fixo v3 sem ajuste
O limiar padrão da Google de 0,5 é um ponto de partida, não uma regra universal. Sites com padrões de tráfego incomuns (ex.: uso intenso de mobile, audiência internacional) podem precisar de ajustes significativos.

Erro 2: Tratar o v3 como substituição direta do v2
Eles resolvem problemas diferentes. Substituir o v2 por v3 em um formulário de alto risco sem adicionar tratamento de pontuação no lado do servidor cria uma lacuna de segurança.

Erro 3: Não verificar o rótulo da ação
Os tokens do reCAPTCHA v3 incluem o nome da ação que você definiu. Se você não verificar se a ação corresponde ao que espera, um token gerado em uma página pode ser reutilizado em outra.

Erro 4: Armazenar ou reutilizar tokens
Tokens v2 e v3 são de uso único e expiram após dois minutos. Reutilizar um token sempre falhará na verificação.

reCAPTCHA em Workflows Automatizados: O que os Desenvolvedores Devem Saber

Desenvolvedores que constroem web scrapers, suites de testes automatizados, pipelines de RPA ou ferramentas de coleta de dados enfrentam frequentemente reCAPTCHA v2 e v3 em sites-alvo. Ambas as versões são projetadas para detectar padrões de interação não humanos, o que significa que frameworks de automação padrão frequentemente acionam desafios ou recebem baixas pontuações v3.

Para casos legítimos de automação — como testes automatizados da sua própria aplicação web, web scraping para pesquisa de mercado ou rastreamento de classificação de SEO — o CapSolver oferece uma API programática que lida com a geração de tokens tanto para reCAPTCHA v2 quanto v3.

O CapSolver usa reconhecimento com IA para retornar tokens válidos que podem ser enviados ao endpoint de verificação do site-alvo. Isso é particularmente útil quando você precisa resolver desafios reCAPTCHA v2 ou lidar com requisitos de pontuação reCAPTCHA v3 dentro de um pipeline automatizado.

Uma integração básica com a API do CapSolver para reCAPTCHA v2 parece assim (exemplo em Python da documentação oficial do CapSolver):

import capsolver

capsolver.api_key = "SUA_CHAVE_DE_API"

solution = capsolver.solve({
    "type": "ReCaptchaV2Task",
    "websiteURL": "https://exemplo.com",
    "websiteKey": "SUA_CHAVE_DO_SITE",
})

print(solution["gRecaptchaResponse"])

Para reCAPTCHA v3, o tipo de tarefa muda para ReCaptchaV3Task e você fornece o parâmetro pageAction para corresponder à ação definida na página-alvo. Sempre certifique-se de que seu caso de uso de automação esteja em conformidade com os termos de serviço do site-alvo e regulamentações de dados aplicáveis.

Resgate seu código promocional do CapSolver

Aumente seu orçamento de automação instantaneamente!
Use o código promocional CAP26 ao recarregar sua conta do CapSolver para obter um bônus adicional de 5% em cada recarga — sem limites.
Resgate-o agora em seu Painel do CapSolver

reCAPTCHA v2 vs v3: Qual é Mais Seguro?

Essa é uma pergunta comum, e a resposta é sutil.

O reCAPTCHA v2 fornece uma barreira mais rígida — um robô deve resolver um desafio visual ou de áudio para prosseguir. Isso é mais resistente a ataques automatizados simples. No entanto, também é mais disruptivo para usuários legítimos e pode ser resolvido por serviços especializados.

O reCAPTCHA v3 fornece cobertura mais ampla — ele monitora o comportamento durante toda a sessão, não apenas em um ponto de submissão de formulário. Um robô sofisticado que passa em um desafio v2 uma vez está pronto; um robô operando em um site protegido pelo v3 deve manter comportamento humano continuamente.

Na prática, pesquisadores de segurança da USENIX Security 2023 descobriram que sistemas de CAPTCHA comportamental como o v3 são mais eficazes contra ataques automatizados em larga escala quando ajustados corretamente, mas mais vulneráveis a ataques direcionados que imitam padrões de comportamento humano.

As implantações mais robustas usam ambas: v3 para monitoramento passivo e v2 como desafio de nível superior quando a pontuação cai abaixo de um limiar aceitável.

Conclusão

A diferença entre reCAPTCHA v2 e v3 não está em qual versão é mais nova ou melhor — está em qual modelo se encaixa na sua arquitetura de segurança. O reCAPTCHA v2 oferece uma porta binária clara com desafios visíveis ao usuário. O reCAPTCHA v3 oferece um sinal contínuo de risco sem interrupção do usuário, mas exige um tratamento mais sofisticado no lado do servidor.

Para a maioria das aplicações em produção, a resposta não é reCAPTCHA v2 vs v3, mas reCAPTCHA v2 e v3 trabalhando juntos. Use o v3 para monitorar e pontuar, e recorra ao v2 quando o sinal de risco exigir um desafio mais rigoroso.

Se você está construindo ferramentas de automação que precisam interagir com qualquer uma dessas versões — para testes, coleta de dados ou automação de fluxos de trabalho — a API do CapSolver suporta os tipos de tarefa reCAPTCHA v2 e v3 com tempos de resposta rápidos e integração simples. Você pode explorar a documentação completa em capsolver.com.

Perguntas Frequentes

Q1: Posso usar o reCAPTCHA v3 sem qualquer fallback?
Sim, mas não é recomendado para ações de alto risco. Sem um fallback, usuários que recebem uma baixa pontuação serão bloqueados ou marcados silenciosamente, sem maneira de provar que são humanos. Um fallback v2 oferece um caminho para usuários legítimos.

Q2: O reCAPTCHA v3 atrasa meu site?
O script do reCAPTCHA v3 adiciona um pequeno trecho de JavaScript a cada página em que é carregado. A Google relata o tamanho do script em aproximadamente 35KB. Para a maioria dos sites, o impacto no desempenho é insignificante, mas vale a pena medir em páginas onde o tempo de carregamento é crítico.

Q3: Qual é a diferença entre o reCAPTCHA v2 invisível e o reCAPTCHA v3?
Ambos evitam mostrar um desafio, a menos que necessário, mas funcionam de forma diferente. O reCAPTCHA v2 invisível ainda usa o mecanismo de desafio v2 — ele mostrará uma grade de imagens se os sinais passivos forem insuficientes. O reCAPTCHA v3 nunca mostra um desafio; ele apenas retorna uma pontuação. A decisão sobre o que fazer com uma baixa pontuação é totalmente da sua aplicação.

Q4: Como escolher o limiar correto de pontuação v3?
Comece com o limiar recomendado pela Google de 0,5, depois analise seus dados de tráfego por 1–2 semanas. Observe a distribuição da pontuação para usuários conhecidos (contas logadas, verificadas) versus tráfego anônimo. Ajuste o limiar para minimizar falsos positivos para o seu público-alvo específico.

Q5: O reCAPTCHA v3 é compatível com o GDPR?
reCAPTCHA v3 coleta dados comportamentais e envia-os aos servidores da Google, o que levanta considerações de privacidade de dados sob o RGPD. Você deve divulgar o uso do reCAPTCHA em sua política de privacidade e, dependendo da sua jurisdição, pode precisar obter o consentimento do usuário antes de carregar o script. Consulte seu time jurídico para orientações específicas para sua implantação.