Residenza dei dati configurabile
Come un visitatore diventa una decisione.
Un tour guidato del motore dietro il punteggio — come il browser viene letto, trasformato in una lettura del rischio calibrata e restituito al tuo codice. Seguilo dall'inizio alla fine: i segnali che misuriamo, le minacce che intercettiamo e i risultati dietro ogni decisione.
Ogni dispositivo racconta una storia. Noi smascheriamo le finzioni.
Blocca frodi e bot senza ostacolare i clienti che hai faticato a conquistare. Ottieni una lettura chiara del rischio per ogni visitatore — e decidi cosa farne.
Sicurezza agentica e intelligence del browser, ora costruite per il web agentico — gestisci la tua console con un assistente AI integrato, lascia che i tuoi agenti leggano Noxtica tramite un server MCP in sola lettura e controlla di quali agenti ti fidi.
Dal segnale alla decisione.
Quattro fasi. Il browser viene letto, il risultato viene consegnato in sicurezza al tuo backend, il tuo server ottiene una lettura chiara del rischio e il tuo codice decide.
Uno script leggero legge il browser del visitatore nel momento in cui atterra — silenziosamente, senza rallentare la tua pagina.
Ciò che vede viene consegnato in sicurezza al tuo backend — non può essere falsificato, copiato o ripetuto lungo il percorso.
Il tuo server lo verifica e riceve una lettura chiara del rischio, con le ragioni che la motivano — in circa mezzo secondo.
Il tuo codice decide: bloccare, sfidare, osservare o lasciar passare. La tua policy, il tuo contesto, la tua decisione.
Una lettura. Un verdetto. Le ragioni allegate.
87
Rischio basso — consenti
Esempio illustrativo — non traffico live.
Perché non ti diciamo «questo è un bot».
La maggior parte degli strumenti ti dice ciò che vuoi sentire: bot o umano. Netto, semplice e spesso sbagliato — senza modo di vedere come ci sono arrivati. O ti fidi della risposta o non te ne fidi.
Clienti reali e attaccanti reali possono assomigliarsi sorprendentemente. La domanda utile non è «questo è un bot» — è «quanto è insolito questo visitatore, e quanto sarebbe difficile falsificare le parti sospette?». È a questo che rispondiamo.
// Non diciamo semplicemente «questo è un bot».
// Ti diamo una lettura chiara del rischio — e le ragioni.
// Decidi tu.
Quando un flag scatta su un cliente reale, il tuo team può spiegarlo — al legale, al prodotto, al cliente. Ogni decisione arriva con le sue ragioni, così non c'è nulla da prendere per fede e nulla che non puoi regolare.
Non ottieni un sì/no da scatola nera. Ottieni una lettura chiara del rischio, un livello di confidenza e le ragioni dietro entrambi — la ricevuta. L'ultima parola è tua, perché solo il tuo team sa cosa c'è in gioco.
La maggior parte degli strumenti ti consegna un sì/no e nasconde come ci sono arrivati. Noi ti diamo una lettura chiara del rischio, con le ragioni — e lasciamo decidere al tuo team.
Cinque livelli chiari, non un grezzo sì/no — e mai un blocco silenzioso.
Cosa misuriamo.
Leggiamo quattro cose di ogni visitatore — il browser, la rete, il dispositivo e come la persona si comporta. Insieme distinguono un cliente reale da un abile imitatore.
Il browser è reale?
Intelligence del browser
Intercetta traffico automatizzato, browser mascherati e visitatori sintetici nel momento in cui arrivano — prima che raggiungano il tuo signup, login o checkout. I clienti reali passano. Quelli falsi no.
La rete è sicura?
Segnali di rete
Individua origini sospette e infrastruttura ad alto rischio senza punire il traffico legittimo. Lavoratori remoti, utenti VPN e reti aziendali restano benvenuti. Le sorgenti di frode all'ingrosso vengono segnalate.
Il dispositivo è reale?
Verifica hardware
Verifica il dispositivo reale dietro la sessione — non solo il software che vi gira sopra. Gli utenti genuini su dispositivi genuini passano senza sforzo. I bot su infrastruttura usa-e-getta condivisa emergono subito.
L'utente è reale?
Fingerprint comportamentali
Distingui una persona reale da uno script dal ritmo con cui interagisce con la pagina. Gli umani esitano, si correggono, esplorano. L'automazione si muove con una precisione rivelatrice che non può nascondere.
E uno che governiamo: Know Your Agent
Questi quattro livelli misurano i visitatori. Gli agenti AI e i bot sono diversi — non ti limiti a misurarli, decidi se fidarti di loro. Know Your Agent ti consente di consentire o rifiutare agenti per tenant per JWK thumbprint o host Signature-Agent, integrato con la verifica Web Bot Auth.
Cosa rileviamo.
Le minacce che ti costano — automazione, frode e abusi — rilevate senza challengiare per errore i clienti reali.
Rilevare la frode non è un singolo controllo. L'abuso reale mescola traffico automatizzato, origini sospette e comportamenti che non tornano. Trasformiamo tutto questo nel tipo di decisione che il tuo team prende davvero — bloccare, challengiare, consentire, osservare.
Bot e traffico automatizzato
Browser headless, framework di automazione e abuso scriptato — incluse le varianti 'stealth' progettate per evadere il rilevamento. Sia la corsia veloce sia quella lenta vengono catturate.
Riconosci il traffico automatizzato prima che raggiunga login, signup o checkout.
Sessioni che nascondono ciò che sono
Sessioni in cui il browser mente sulla propria fingerprint. Output canvas falsificato, API runtime manipolate, estensioni anti-fingerprint con contromisure aggressive.
Fai emergere i tentativi deliberati di evasione senza bloccare le scelte oneste di privacy.
Origini sospette
Traffico proveniente da datacenter, proxy anonimizzanti, protocolli deprecati e range noti come malevoli. Segnaliamo i pattern senza bloccare gli utenti reali che si trovano su una VPN aziendale.
Identifica il segnale di frode all'ingrosso — senza colpire i lavoratori remoti.
Utenti attenti alla privacy, trattati con equità
Tor, Brave Strict, Firefox-RFP, LibreWolf — riconosciuti e trattati con tolleranza calibrata. Gli utenti attenti alla privacy restano benvenuti; i bot che si nascondono dietro browser per la privacy no.
Accogli gli utenti legittimi della privacy mentre cogli gli attori che si nascondono tra loro.
Dispositivi falsi e usa-e-getta
Guardiamo oltre il browser fino al dispositivo stesso, così emulatori e macchine virtuali usa-e-getta non possono spacciarsi per hardware reale. I bot che battono i controlli solo browser vengono colti qui.
Verifica che il dispositivo sia quello che dichiara di essere — non solo il browser che vi gira sopra.
Attività che non si comporta come umana
Come una persona muove il mouse, digita e scorre non assomiglia per niente a uno script. Le persone reali esitano ed esplorano; l'automazione si tradisce con una precisione rivelatrice.
Cattura le sessioni che sembrano umane sulla carta ma non si comportano come una persona.
La richiesta di un visitatore viene letta attraverso le minacce che rileviamo, che si combinano in un'unica lettura chiara del rischio.
- Richiesta del browser
- Lettura chiara del rischio
- La tua decisione
Ciascuna ti dà una lettura chiara del rischio e un livello di confidenza — non un netto sì/no. La decisione finale è del tuo team. Noi ci assicuriamo soltanto che ciò su cui agisci sia onesto.
Guarda cosa intercettiamo.
Sei schemi di attacco, ciascuno derivato da una categoria di minacce qui sopra — riprodotti per mostrare la lettura del rischio calibrata e la decisione che ne deriva.
- Ondata di automazione headless
94/ 100 rischio
BLOCCATOletto in 410msUn'ondata di sessioni headless e scriptate che colpiscono il login in perfetta sincronia.
- Sessione con fingerprint falsificata
78/ 100 rischio
VERIFICA EXTRAletto in 470msUn browser che mente sul proprio output canvas e sulle API runtime.
- Origine proxy da datacenter
86/ 100 rischio
BLOCCATOletto in 350msUna richiesta instradata tramite un range datacenter anonimizzante.
- Visitatore su browser privacy
24/ 100 rischio
CONSENTIletto in 340msUna persona reale su un browser privacy hardened — lasciata passare.
- Macchina virtuale usa-e-getta
90/ 100 rischio
BLOCCATOletto in 520msUn dispositivo emulato che si spaccia per hardware consumer reale.
- Pattern di interazione non umano
71/ 100 rischio
VERIFICA EXTRAletto in 430msUn modulo compilato con una precisione rivelatrice che nessuna persona usa digitando.
Schemi illustrativi derivati dalle categorie qui sopra — non dati dei clienti. I punteggi usano la stessa scala 0–100 su cui agisce la tua policy.
Frodi tenute a bada. Clienti sempre in movimento.
Numeri dal rollout di un design partner iniziale — condivisi in forma anonima
- 47%chargeback tagliati da un design partner nei primi 90 giorni
- 99.6%dei clienti reali fatti passare senza disturbi in quel rollout
- ~500msaggiunti a un checkout — una lettura completa del rischio in un batter d'occhio
$ noxtica use-case --marketplaceMarketplace
I marketplace usano Noxtica per cogliere i gruppi coordinati di account falsi prima che seppelliscano i venditori onesti sotto recensioni fasulle. Login diversi, indirizzi diversi — ma la stessa configurazione automatizzata li tradisce.
Gruppi di account falsi colti prima che seppelliscano i tuoi venditori onesti.
$ noxtica use-case --financialServizi finanziari
I commercianti card-not-present usano Noxtica per aggiungere un rapido controllo extra solo quando un pagamento sembra arrivare da un posto nuovo. I clienti reali non sentono nulla; i gruppi di frode trovano un muro a ogni tentativo.
Un controllo extra solo quando serve. I clienti reali non sentono nulla.
$ noxtica use-case --identityPiattaforme sensibili all'identità
Le piattaforme passwordless e con magic-link usano Noxtica per assicurarsi che il link venga aperto dalla stessa persona che l'ha richiesto. I kit di phishing che inoltrano il link a qualcun altro vengono fermati alla porta.
I magic-link si aprono solo per chi li ha richiesti. Il phishing si ferma qui.
Quattro tipi di pubblico. Un unico segnale.
La sicurezza agentica e l'intelligence del browser raramente riguardano un solo team. Lo stesso segnale modella i risultati per aziende, piattaforme e persone che le usano.
Per le aziende
Team antifrode, ingegneri della sicurezza, PM di piattaforma. I team che pagano quando la frode va a segno e quelli che pagano quando i clienti reali se ne vanno.
- Taglia i chargeback intercettando le iscrizioni false prima che ti costino
- Individua gli account takeover prima che l'attaccante entri
- Tracce pronte per l'audit per SOC 2, ISO 27001 e GDPR
Per le piattaforme
Marketplace, social network, piattaforme multi-versante. La fiducia tra gli utenti è tutto il business — e fermare gli account falsi su larga scala è il tuo fossato.
- Cogli l'abuso di account duplicati senza escludere gli utenti reali
- Riduci il carico di moderazione facendo emergere solo gli account che sembrano anomali
- Ferma le farm di recensioni a pagamento e i gruppi di review-bombing già all'iscrizione
Per le persone
Utenti finali. Lo stakeholder di cui si parla poco. Le persone che vengono messe alla prova a torto, bloccate o costrette a risolvere CAPTCHA solo perché usano Brave.
- Niente CAPTCHA a meno che qualcosa sembri davvero sospetto
- Le persone reali sui browser per la privacy restano benvenute, non punite
- Nessun dato personale raccolto. Nessun cookie di tracciamento. Nessuna identità cross-site.
Per AI e agenti
Il web agentico. Governa di quali agenti ti fidi con Know Your Agent, gestisci la console con un assistente AI integrato e lascia che i tuoi agenti leggano Noxtica tramite un'integrazione MCP in sola lettura.
Tre modi onesti in cui siamo agentici.
"Agentico" viene usato a sproposito. Ecco esattamente cosa significa in Noxtica — tre capacità disponibili oggi, senza alcuna modifica autonoma ai tuoi sistemi.
Gestiamo la console
Un assistente AI integrato — basato su Claude, con opzioni OpenAI, Gemini e xAI — gira lato server sotto la sessione dell'operatore per leggere per te policy, regole, domini e distribuzione del rischio, con limiti di budget per tenant e logging di audit completo.
Come funziona l'assistente →I tuoi agenti leggono Noxtica
Un server Model Context Protocol (MCP) opt-in e in sola lettura permette ai tuoi agenti AI di leggere policy, regole, avvisi e distribuzione del rischio tramite JSON-RPC, usando bearer token con ambito limitato, rate-limited e tracciati che emetti tu — solo accesso in lettura, mai in scrittura.
Leggi la documentazione MCP →Vigiliamo sul web agentico
Know Your Agent (KYA) è un registro difensivo: governa quali agenti AI e bot consenti o rifiuti per tenant — per JWK thumbprint o host Signature-Agent — integrato con la verifica Web Bot Auth.
Esplora Know Your Agent →
Stiamo costruendo verso l'auto-calibrazione e i cicli di feedback; oggi gli operatori regolano policy e soglie con pieno controllo.
Progettato per superare la revisione di sicurezza.
La security posture su cui i revisori fanno domande — sei controlli che puoi verificare di persona, senza doverli dare per scontati.
Pronto per il GDPR
Sorgente SDK aperto
Nessun dato personale raccolto
Una lettura completa del rischio in ~500ms
Una lettura chiara, non magia
Un partner, non un listino prezzi.
Tutto ciò che ti serve per spedire con sicurezza — e nient’altro.
Cosa è incluso
- Prezzi trasparenti — nessun muro demo
- onboarding pratico con ingegneri reali
- Conforme al GDPR, residenza dei dati configurabile, pronto per SOC 2
- supporto umano diretto — nessuna sequenza di vendita
Le domande che i team fanno per prime.
Le cose che acquirenti e ingegneri vogliono sapere subito. La FAQ tecnica completa — dimensione del bundle, l'API, gli iframe, le soglie — vive nella documentazione.
Bloccherà a torto i miei clienti reali?
È esattamente ciò contro cui progettiamo. Un cliente bloccato raramente torna, quindi i default tendono alla cautela: preferiamo lasciar passare un bot piuttosto che fermare a torto una persona reale. Ottieni una lettura chiara del rischio e decidi tu quanto essere severo — e puoi stringere o allentare la regolazione man mano che impari a conoscere il tuo traffico.
Funziona per gli utenti attenti alla privacy — Brave, Tor, LibreWolf?
Sì, e restano benvenuti. I browser per la privacy non rompono nulla; li riconosciamo semplicemente e li trattiamo equamente invece di punire silenziosamente la persona dietro di essi. Se il tuo prodotto è pensato per pubblici sensibili, puoi scegliere di concedere a quegli utenti un margine extra.
Cosa succede se Noxtica ha un'interruzione?
Il tuo sito continua a funzionare. Se un controllo non riesce a raggiungerci in tempo, ti restituiamo un default sicuro così il tuo codice può ricadere con grazia — sfidare invece di bloccare, ad esempio — anziché escludere qualcuno. Ci impegniamo per un uptime del 99.95% e pubblichiamo una status page pubblica.
Servono ingegneri per farlo funzionare?
Un po'. Un piccolo script va sul tuo sito e un singolo controllo avviene sul tuo server quando vuoi una decisione. Non c'è nulla da ospitare, nulla da mantenere in funzione, e il lavoro pesante è a carico nostro. La maggior parte dei team è operativa in un pomeriggio — la guida passo passo è nella documentazione.
È conforme — GDPR, CCPA, dati UE?
Sì. Non raccogliamo dati personali che non ci servono, non memorizziamo IP grezzi di default e teniamo i dati nell'UE. Firmiamo un accordo sul trattamento dei dati, supportiamo la cancellazione definitiva su richiesta e pubblichiamo la nostra lista di sub-responsabili. I tuoi team privacy e legale ottengono risposte chiare, non parole vaghe.
Altro nella documentazione — dimensione del bundle, l'API, gli iframe, la regolazione delle soglie e l'intera sezione tecnica di domande e risposte.→ Leggi la documentazione: FAQ tecnica completa