Solución:
¿Cómo se detendrá reCAPTCHA v3? [Spam] ?
Existen diversas heurísticas que se pueden utilizar para detectar sistemas automatizados, como la cantidad de solicitudes provenientes de una determinada IP, huellas dactilares del navegador, cookies de cuentas de Google, entre muchas otras. Google parece utilizar algunos de ellos. Si no está seguro, se muestra un desafío.
¿Qué sucede si un pirata informático envía spam a las URL de mi sitio con una herramienta externa sin utilizar la interfaz que proporciono?
Google genera un token para el cliente cuando pasa las comprobaciones que debe validar en el lado del servidor. Si alguien no pasa el CAPTCHA (un robot), no tiene un token.
Además del seguimiento del comportamiento del usuario en su sitio (como explica Jonas Wilms), la v3 (y la v2) también toma decisiones basadas en su IP, ASN, navegador y cualquier tipo de información sobre su sistema en base a la información enviada a través de su Solicitud HTTP.
La única diferencia es que V2 es una solución completa, es decir, si cree que un usuario puede ser un bot, planteará desafíos adicionales hasta que esté convencido de que el usuario es un humano. Por otro lado, V3 no es intrusivo. Genera una puntuación basada en los parámetros discutidos anteriormente y se la transmite. Entonces, es su decisión tomar las medidas adecuadas (como publicar desafíos o tener autenticación de dos factores, etc.) en función de esta puntuación.
En mi opinión, es mejor comenzar con una solución V2 e implementar V3 si desea más control o tener una mejor manera de desafiar al usuario si tiene una puntuación baja.
(Aquí hay un artículo interesante sobre las diferencias)