Капча перестала быть бесплатной и перестала быть надёжной — оба утверждения стали правдой в 2025–2026 годах. Google перевёл reCAPTCHA на платную модель и оставил бесплатными лишь 10 000 проверок в месяц, а отраслевые исследования показывают, что AI-боты решают классическую капчу с точностью под 99%. На этом фоне сравнение капч перестало быть формальностью: от выбора зависит, сколько реальных заявок вы потеряете и не нарушите ли 152-ФЗ.
В этой статье мы сравним три самые популярные капчи — Google reCAPTCHA, Яндекс SmartCaptcha и hCaptcha — по семи параметрам: точность детекции, влияние на конверсию, приватность и соответствие российскому законодательству, цена, режимы работы, доступность из России и удобство интеграции. В конце — сводная таблица, разбор по сценариям (интернет-магазин, SaaS, форма на WordPress и Bitrix) и честный ответ на вопрос, нужна ли капча вообще.
Мы в BotHunt ежедневно обрабатываем миллионы запросов и видим обратную сторону капчи: какую долю живых пользователей она отсекает вместе с ботами и как легко её обходят headless-браузеры (браузеры без интерфейса, управляемые скриптом). Поэтому сравниваем не по маркетинговым обещаниям, а по тому, что капчи реально делают с вашим трафиком.
Коротко:
Google reCAPTCHA с конца 2025 года стала платной: бесплатно только 10 000 проверок в месяц, дальше от 8 $/мес. Данные уходят в Google, что создаёт риск по 152-ФЗ для российских сайтов.
Яндекс SmartCaptcha — оптимальный выбор для рунета: данные хранятся в России (152-ФЗ), 10 000 проверок в месяц бесплатно, далее 109,8 ₽ за 1000, есть невидимый режим.
hCaptcha — самая приватная капча: не торгует данными пользователей и соответствует GDPR, но оплата в валюте и иностранная юрисдикция осложняют её использование в России.
Любую капчу с чекбоксом или картинками AI-боты обходят, а живых людей она отпугивает: до 15% пользователей бросают форму, столкнувшись с проверкой «я не робот».
Капча защищает одну форму; от ботов на всём сайте — накрутки ПФ, парсинга, брутфорса — защищает только проактивный антибот, работающий без капчи.
Капчи в 2026: что изменилось и почему выбор стал сложнее
Капча в 2026 году — это уже не бесплатный чекбокс «я не робот», а платный сервис, который проигрывает гонку AI-ботам. Три события изменили рынок и заставили компании пересматривать защиту.
reCAPTCHA стала платной. С конца 2025 года Google перевёл reCAPTCHA на тарифную модель и требует миграции всех ключей в проект Google Cloud. Бесплатный тариф Essentials ограничен 10 000 проверок в месяц — всё, что раньше было условно безлимитным, теперь считается и тарифицируется.
Боты научились решать капчи. По оценкам отраслевых исследований, нейросети проходят классическую reCAPTCHA с точностью, близкой к 99%. Параллельно работают сервисы антикапчи, которые решают любую картинку силами людей или ИИ за 5–30 копеек за штуку. Для атакующего капча — не стена, а турникет за мелочь.
Cloudflare ушёл из России. Turnstile и Bot Management от Cloudflare работают в рунете нестабильно, поэтому российский бизнес выбирает между reCAPTCHA, SmartCaptcha и hCaptcha. Чем заменить Cloudflare, мы разбираем в отдельной статье.
Итог: выбор капчи в 2026 году — это баланс трёх факторов. Цена (reCAPTCHA больше не бесплатна для нагруженных сайтов), приватность и 152-ФЗ (где физически хранятся данные ваших посетителей) и конверсия (насколько проверка отпугивает живых людей). Дальше — подробное сравнение капч по каждому из этих критериев.
reCAPTCHA: самый известный, но уже не бесплатный
reCAPTCHA — капча от Google, доступная в версиях v2 (чекбокс и картинки), v3 (невидимая оценка от 0 до 1) и Enterprise. Это самый распространённый сервис защиты форм в мире, но в 2025 году он стал платным и остаётся спорным с точки зрения приватности и российского 152-ФЗ.
Версии reCAPTCHA отличаются тем, что видит пользователь и как принимается решение:
reCAPTCHA v2 (чекбокс). Классическое «я не робот», при подозрении — задание с картинками (светофоры, автобусы). Самый заметный фрикшен для пользователя.
Invisible reCAPTCHA v2. Без чекбокса; задание показывается только подозрительным запросам.
reCAPTCHA v3. Полностью невидимая: возвращает оценку (score) от 0 до 1, а решение — пропускать или нет — принимает ваш сервер. Не мешает пользователю, но требует ручной настройки порогов.
reCAPTCHA Enterprise. Расширенный анализ рисков, выделенные модели, интеграция с Google Cloud Fraud Defense.
Главное изменение 2026 года — цена. Бесплатным остаётся только тариф Essentials с лимитом 10 000 проверок в месяц. Сайтам с большим трафиком придётся платить.
Тариф reCAPTCHA | Лимит | Цена |
|---|---|---|
Essentials | до 10 000 проверок/мес | Бесплатно |
Standard | до 100 000 проверок/мес | от 8 $/мес |
Enterprise | свыше 100 000 проверок | ≈ 1 $ за каждые 1000 сверх лимита |
Для нагруженного сайта это меняет экономику. Магазин с сотней тысяч проверок в месяц, который раньше пользовался reCAPTCHA бесплатно, теперь получает счёт в десятки долларов — при том что часть ботов всё равно проходит. Версия v3 не показывает задание, но возвращает лишь оценку: интерпретировать её и решать, кого блокировать, должен ваш сервер, а слишком строгий порог начинает отсекать живых людей.
Приватность — слабое место reCAPTCHA. Сервис использует cookies и собирает поведение пользователя, передавая данные в Google. Французский регулятор CNIL ранее признал такой сбор избыточным для целей, не связанных с безопасностью. Для российского сайта это двойная проблема: персональные данные посетителей физически уходят за рубеж, что плохо стыкуется с требованием 152-ФЗ хранить их в России.
Доступность из России тоже под вопросом. Скрипт reCAPTCHA подгружается с доменов Google — при сетевых ограничениях возможны замедления и сбои загрузки формы. А поскольку нейросети обходят reCAPTCHA почти со стопроцентной точностью, реальная защита от продвинутых ботов оказывается ниже ожидаемой. Подробнее о том, почему капча роняет заявки, — в материале «Почему капча снижает конверсию».
Плюсы reCAPTCHA остаются весомыми: сервис знаком пользователям по всему миру, поддерживается плагинами почти для любой CMS, а версия v3 работает невидимо. Документацию и режимы Google описывает в официальном справочнике reCAPTCHA. Но для рунета минусы по цене, приватности и стабильности в 2026 году перевешивают.
Яндекс SmartCaptcha: российская капча под 152-ФЗ
Яндекс SmartCaptcha — капча от Яндекса с хранением данных в России, поэтому она закрывает требования 152-ФЗ из коробки. Это её ключевое преимущество перед reCAPTCHA и hCaptcha для любого бизнеса, чья аудитория находится в рунете.
SmartCaptcha работает в нескольких режимах и сама решает, какую проверку показать посетителю:
Невидимый режим. Кнопки «я не робот» на странице нет. Окно с заданием увидят только те, кого сервис счёл подозрительным, — реальный пользователь чаще всего не замечает проверки.
Промежуточные проверки. Чекбокс «я не робот» или слайдер — лёгкое действие без распознавания картинок.
Сложные задания. Для подозрительных запросов: распознавание текста, слайдер, силуэты, калейдоскоп.
Цена SmartCaptcha — одна из самых демократичных на рынке. Первые 10 000 запросов в месяц бесплатны, причём тарифицируются только корректные проверки (когда API вернул статус ok). Дальше действует ступенчатая модель.
Объём проверок в месяц | Цена за 1000 |
|---|---|
до 10 000 | Бесплатно |
10 001 – 100 000 | 109,8 ₽ |
свыше 100 000 | 76,86 ₽ |
Для наглядности: сайт с 50 000 корректных проверок в месяц заплатит примерно (50 000 − 10 000) ÷ 1000 × 109,8 ₽ = 4392 ₽. Это прозрачнее долларовых тарифов конкурентов и оплачивается в рублях по российским реквизитам. Актуальные правила — в документации Яндекс SmartCaptcha.
В пересчёте на деньги для рунета это обычно выгоднее конкурентов: тот же объём проверок на reCAPTCHA Standard или hCaptcha Pro оплачивается в валюте и по более высокой ставке, а здесь — рубли и российские реквизиты без посредников и риска заблокированного платежа.
Интеграция простая. Для 1С-Битрикс, WordPress, OpenCart и других CMS есть готовые модули, а для самописных сайтов — REST API с серверной валидацией. Данные хранятся в инфраструктуре Yandex Cloud на территории России — это и есть тот самый аргумент по 152-ФЗ.
Минусы у SmartCaptcha те же, что у любой капчи: при показе задания пользователь всё равно тратит время, а сложные задания вроде калейдоскопа иногда раздражают. Кроме того, вы оказываетесь привязаны к экосистеме Яндекса. Но как капча для рунета SmartCaptcha — оптимальный компромисс между ценой, законом и стабильностью.
hCaptcha: ставка на приватность
hCaptcha — приватная альтернатива reCAPTCHA от компании Intuition Machines: она не использует данные пользователей для рекламы и соответствует GDPR и CCPA. Для западной аудитории это сильный выбор, но в России её применение осложняют валютная оплата и иностранная юрисдикция.
Ключевые особенности hCaptcha:
Privacy-first модель. Сервис раскрывает, какие данные собирает, и не монетизирует поведение пользователей через рекламу — в отличие от reCAPTCHA. Исторически hCaptcha зарабатывает на разметке данных для обучения ИИ, а не на профилировании посетителей.
Бесплатный тариф. Базовый план Publisher с щедрым лимитом (порядка 1 млн запросов в месяц). Pro — от 99 $/мес, Enterprise — по запросу, с пассивными режимами и risk-скорами.
Гибкая защита. Виджет с токеном и серверной валидацией, а в Enterprise — пассивная оценка без задания и кастомные модели угроз.
По собственным данным hCaptcha, её корпоративный тариф обходится дешевле reCAPTCHA Enterprise при сопоставимой точности — это часть позиционирования как «не-Google» альтернативы. На Западе к hCaptcha и Cloudflare Turnstile действительно мигрируют тысячи сайтов, уходя от рекламного профилирования Google.
Для России минусы перевешивают. Оплата Pro и Enterprise идёт в долларах, что после ограничений на международные платежи стало проблемой. Данные посетителей обрабатываются за рубежом — те же риски по 152-ФЗ, что и у reCAPTCHA. Интерфейс заданий для русскоязычного пользователя иногда менее привычен. Поэтому hCaptcha хороша для зарубежного проекта, но редко оптимальна для сайта с российской аудиторией.
Капча защищает одну форму, но боты атакуют весь сайт — каталог, позиции в Яндексе, админку. BotHunt отсекает их без единой картинки. Попробовать бесплатно 14 дней →
Сравнение капч: сводная таблица reCAPTCHA, SmartCaptcha и hCaptcha
Если коротко: reCAPTCHA — самый распространённый, но платный и спорный по приватности; SmartCaptcha — лучший выбор для рунета и 152-ФЗ; hCaptcha — самая приватная, но неудобная для оплаты из России. Ниже — детальное сравнение капч по ключевым параметрам.
Параметр | reCAPTCHA | SmartCaptcha | hCaptcha |
|---|---|---|---|
Владелец / юрисдикция | Google, США | Яндекс, Россия | Intuition Machines, США |
Бесплатный лимит | 10 000 проверок/мес | 10 000 проверок/мес | ≈ 1 млн запросов/мес |
Цена сверх лимита | от 8 $/мес | от 109,8 ₽ за 1000 | Pro от 99 $/мес |
Хранение данных | За рубежом (Google) | В России (Yandex Cloud) | За рубежом |
Соответствие 152-ФЗ | Проблемно | Да, из коробки | Проблемно |
Невидимый режим | Да (v3, invisible v2) | Да | Да (Enterprise) |
Оплата из России | Сложно (валюта) | Рубли, локально | Сложно (валюта) |
Стабильность загрузки в РФ | Возможны сбои | Стабильно | Возможны сбои |
Приватность пользователя | Низкая (реклама Google) | Средняя | Высокая (GDPR) |
Готовые модули WP / Bitrix | Да | Да | Да (в основном WP) |
Устойчивость к AI-ботам | Низкая | Средняя | Средняя |
Это сравнение капч показывает главное: идеального варианта нет — каждая выигрывает в своём. Поэтому правильнее выбирать не «лучшую вообще», а лучшую под вашу конкретную задачу.
Какую капчу выбрать под вашу задачу
Выбор капчи зависит от юрисдикции аудитории, объёма трафика и требований к приватности. Для российского бизнеса в большинстве случаев оптимальна SmartCaptcha, для зарубежного — hCaptcha, а reCAPTCHA оправдана только при глубокой интеграции с экосистемой Google.
Сценарий | Рекомендация | Почему |
|---|---|---|
Интернет-магазин в РФ | SmartCaptcha | Хранение данных в России и 152-ФЗ, оплата в рублях, готовые модули Bitrix |
SaaS на зарубежную аудиторию | hCaptcha | GDPR, приватность, не зависит от рекламной сети Google |
Сайт уже в Google Cloud / Firebase | reCAPTCHA Enterprise | Бесшовная интеграция с инфраструктурой и Fraud Defense |
Форма на WordPress | SmartCaptcha или защита без капчи | Готовый плагин или невидимые методы без потери конверсии |
Сайт на 1С-Битрикс | SmartCaptcha | Официальные и сторонние модули, локальная оплата |
Важна конверсия форм | Проактивная защита без капчи | Любая капча отпугивает часть живых пользователей |
Накрутка ПФ, парсинг, брутфорс | Антибот (не капча) | Капча стоит на форме, а эти атаки идут по всему сайту |
Обратите внимание на две последние строки. Если ваша боль — не спам в форме, а падение позиций из-за накрутки поведенческих факторов, парсинг каталога или перебор паролей в админке, то капча вам не поможет в принципе: она физически не стоит на тех страницах, куда идут эти боты. Для WordPress-сайтов отдельно полезен разбор «Спам-боты WordPress: как защитить комментарии и регистрации».
На практике капчу и антибот часто совмещают: невидимая капча или поведенческий агент работают в фоне на всех формах, а классическое задание остаётся лишь крайним рубежом на самых атакуемых точках — массовой регистрации или оплате. Но даже там тренд 2026 года — уводить проверку в фон, чтобы не терять конверсию на ровном месте.
BotHunt начинается от 890 ₽/мес за сайт и закрывает формы, ПФ, парсинг и брутфорс сразу — без капчи и правки кода. Посмотреть тарифы →
Почему капча — не панацея против современных ботов
Капча проверяет посетителя один раз на одной форме, а современные боты обходят её и атакуют сайт целиком. Капча не защищает от накрутки поведенческих факторов, парсинга каталога и брутфорса админки — для этого она просто не предназначена.
Вот почему капча перестала быть достаточной защитой в 2026 году:
Боты решают капчу. Нейросети проходят reCAPTCHA с точностью под 99%, а сервисы антикапчи решают любую картинку за копейки. Для серьёзного атакующего капча — мелкая статья расходов, а не барьер.
Капча стоит не везде. Накрутка ПФ идёт через поисковую выдачу и переходы по сайту, парсер качает каталог постранично, брутфорс долбит
wp-login.php— на этих маршрутах капчи нет вообще.Фрикшен бьёт по конверсии. До 15% пользователей бросают форму, столкнувшись с проверкой, а на мобильных с мелкими картинками потери выше. Капча наказывает бизнес, а не злоумышленника.
Частая ошибка — нет серверной проверки. Без вызова
siteverifyна сервере капча проверяется только в браузере, и её тривиально обходят прямым запросом к обработчику формы.
Вывод простой: капча — это один барьер на одной точке входа. Современная защита многослойна и анализирует поведение и технические сигналы на каждом запросе. Как боты подделывают человеческое поведение и почему один признак их не ловит, мы разбираем в статье «Как бот имитирует пользователя», а сам спор «капча против проактивной защиты» — в материале «CAPTCHA против проактивной защиты».
Альтернатива капче: проактивная защита BotHunt
BotHunt — российский сервис, который заменяет капчу проактивной защитой: он распознаёт ботов по поведению и техническим сигналам за 4–12 миллисекунд и не показывает пользователю ни одной картинки. Реальный человек просто отправляет форму, а бот не проходит.
Что агент BotHunt делает с каждым запросом:
Поведенческий анализ. Оценивает движения мыши, ритм печати, скролл и фокус полей — более 40 сигналов, ни один из которых не используется изолированно.
Fingerprinting. Снимает отпечаток браузера и TLS (JA3), распознавая headless-окружения и автоматизацию, которые капча не видит.
Репутация IP и ASN. Сверяет источник запроса с базой дата-центров и засвеченных в атаках сетей, ловит резидентные прокси.
Решение в реальном времени. Вердикт за <100 мс при точности 99,9% и доле ложных срабатываний менее 0,1% — пользователь не замечает проверки.
В отличие от капчи, BotHunt защищает не одну форму, а весь сайт: формы и регистрации, поведенческие факторы в Яндексе, каталог от парсинга, админку от брутфорса и рекламу от скликивания. Данные обрабатываются в России — то же преимущество по 152-ФЗ, что у SmartCaptcha, но без фрикшена для пользователя. Агент ставится одной строкой кода или плагином для WordPress, весит меньше 5 КБ и работает в режиме fail-open: если серверы BotHunt недоступны, сайт продолжает работать. Как выстроить защиту целиком, описано в гайде «Как защитить сайт от ботов».
Попробуйте BotHunt бесплатно 14 дней — без привязки карты, установка за 1 минуту. Защита от ботов без единой капчи и без потери заявок. Подключить защиту →
Часто задаваемые вопросы
Какая капча лучше — reCAPTCHA, SmartCaptcha или hCaptcha?
Единой «лучшей» капчи нет, и любое честное сравнение капч это подтверждает: выбор зависит от аудитории. Для российского бизнеса оптимальна SmartCaptcha: данные хранятся в РФ (152-ФЗ), оплата в рублях, есть невидимый режим. Для зарубежной аудитории сильнее hCaptcha из-за приватности и GDPR. reCAPTCHA оправдана в основном при глубокой интеграции с Google Cloud.
Правда ли, что reCAPTCHA стала платной?
Да. С конца 2025 года Google перевёл reCAPTCHA на тарифную модель: бесплатно только 10 000 проверок в месяц (тариф Essentials), Standard стоит от 8 $/мес до 100 000 проверок, а сверх лимита тарификация идёт примерно по 1 $ за каждую 1000. Все ключи нужно мигрировать в проект Google Cloud.
Работает ли reCAPTCHA в России в 2026 году?
Технически reCAPTCHA в России работает, но с оговорками. Скрипт грузится с доменов Google, поэтому при сетевых ограничениях возможны замедления и сбои загрузки формы. Кроме того, данные посетителей уходят за рубеж, что плохо стыкуется с 152-ФЗ. Для рунета чаще выбирают SmartCaptcha.
Какая капча соответствует требованиям 152-ФЗ?
Из трёх сервисов требованиям 152-ФЗ по умолчанию соответствует только Яндекс SmartCaptcha — данные обрабатываются и хранятся в инфраструктуре Yandex Cloud на территории России. reCAPTCHA и hCaptcha обрабатывают данные за рубежом, поэтому создают юридический риск для российских сайтов.
Можно ли обойти reCAPTCHA и hCaptcha ботами?
Да. По отраслевым оценкам, AI-боты решают классическую reCAPTCHA с точностью под 99%, а сервисы антикапчи решают любую картинку силами людей или нейросетей за 5–30 копеек. Поэтому капча останавливает примитивных ботов, но против продвинутых нужен поведенческий анализ и fingerprinting.
Какую капчу выбрать для WordPress и Bitrix?
Для WordPress и 1С-Битрикс проще всего поставить SmartCaptcha — для обеих CMS есть готовые модули и плагины, а оплата идёт в рублях. Если важна конверсия, форму можно защитить вообще без капчи — honeypot, проверкой времени и поведенческим анализом или агентом BotHunt, который ставится в один клик.
Можно ли защитить сайт от ботов без капчи?
Да, и для большинства сайтов это выгоднее. Комбинация honeypot, проверки времени и поведенческого анализа отсекает ботов, не мешая живым пользователям. Проактивные сервисы вроде BotHunt выносят вердикт за миллисекунды по поведению и fingerprinting, защищая весь сайт без единой картинки и без падения конверсии.
