Wybór providera anti-spam/anti-fraud dla SaaSa zależy od skali i wektora ataku. Poniżej zestawienie najpopularniejszych narzędzi - osobno komercyjne, open source, oraz CAPTCHA w wersji darmowej i płatnej. Liczby gwiazdek na GitHubie są orientacyjne (stan z 2026), a ranking subiektywny - oparty o popularność, dojrzałość produktu i typowe zastosowania w SaaSach.
Top 5 SaaS / komercyjnych providerów fraud detection
| # | Nazwa | Rok zał. | Siedziba | Specjalizacja | Model cenowy |
|---|---|---|---|---|---|
| 1 | Sift | 2011 | San Francisco | Pełny fraud prevention z ML - account takeover, content abuse, payment fraud, promo abuse | Custom enterprise, brak free tier |
| 2 | Castle.io | 2014 | Sztokholm / SF | Account security - takeover detection, registration fraud, anomalie logowań | Free do 10k MAU, plany od ok. 400 USD/mies |
| 3 | IPQualityScore (IPQS) | 2013 | Las Vegas | IP/email/phone reputation, device fingerprint, detekcja proxy/VPN/disposable | Pay per query, free do 5k zapytań/mies |
| 4 | MaxMind minFraud | 2002 | Boston | Scoring transakcji oparty o GeoIP, ASN, proxy, device | Pay per query, ok. 0.005-0.02 USD/zapytanie |
| 5 | Arkose Labs | 2016 | San Mateo | Enterprise bot mitigation z interaktywnym challenge (3D puzzle). Klienci: Microsoft, Roblox, LinkedIn | Custom enterprise |
Warte uwagi alternatywy poza top 5: SEON (2017, Budapeszt - mocny w Europie, scoring digital footprint), Sardine (2020 - fintech), Forter (2013 - e-commerce), Stripe Radar (jeśli już używasz Stripe, łapie chargebacki bez dokładania kolejnego SDK).
Top 5 open source narzędzi
| # | Projekt | Stars (~2026) | Pierwszy release | Co robi | Licencja |
|---|---|---|---|---|---|
| 1 | FingerprintJS | ~22k | 2012 | Device fingerprinting w przeglądarce - identyfikuje urządzenie nawet bez cookies | MIT (OSS), płatne API Pro |
| 2 | Fail2ban | ~12k | 2004 | Bany IP po N nieudanych próbach. Klasyka anty-bruteforce, działa na logach | GPL-2.0 |
| 3 | CrowdSec | ~10k | 2020 | Współdzielona reputacja IP, behavioral detection, scenariusze ataku jak w Snorcie | MIT |
| 4 | mCaptcha | ~3k | 2021 | Proof-of-work CAPTCHA - klient liczy hash zamiast rozwiązywać puzzle | AGPL-3.0 |
| 5 | disposable-email-domains (ivolo) | ~3k | 2014 | Aktualizowana lista domen jednorazowych emaili. Wrzucasz jako blacklist | MIT |
Apache SpamAssassin (od 1997) i Postfix policy daemons to klasyka anti-spamu emailowego, ale są poza GitHubem (Apache SVN/własne repo) - dlatego nie weszły do rankingu po stars.
5 darmowych CAPTCHA
| # | Nazwa | Rok startu | Typ challenge | Limit darmowy | Plusy |
|---|---|---|---|---|---|
| 1 | Cloudflare Turnstile | 2022 | Niewidoczny, interaktywny tylko gdy podejrzane | Bez limitu | Bez puzzli, privacy-first, działa też poza CF |
| 2 | hCaptcha | 2018 | Klikanie obrazków lub niewidoczny | 1M req/mies | Alternatywa dla reCAPTCHA, GDPR-friendly, dzieli przychód z site ownerami |
| 3 | Google reCAPTCHA v3 | 2018 | Scoring 0-1 w tle, bez interakcji | 1M req/mies | Największy ekosystem, integracja w kilka minut |
| 4 | Altcha | 2023 | Proof-of-work | Self-host bez limitu | Open source, brak trackingu, bardzo lekki |
| 5 | mCaptcha | 2021 | Proof-of-work | Self-host bez limitu | Open source AGPL, koszt = CPU klienta |
Friendly Captcha ma free tier (1000 req/mies) - dobry kompromis jeśli zależy ci na GDPR i niemieckim hostingu, ale na poważne ruchy idzie w plan płatny.
5 płatnych CAPTCHA / bot management
| # | Nazwa | Rok startu | Specjalizacja | Cennik (orientacyjnie) |
|---|---|---|---|---|
| 1 | Arkose Labs | 2016 | 3D puzzle, enterprise scale, odporność na machine vision | Custom, ok. 50-200k USD/rok |
| 2 | DataDome | 2015 | Bot management na poziomie aplikacji, API i mobile | Od ~2k USD/mies, enterprise od 30k+ |
| 3 | HUMAN (dawniej PerimeterX) | 2014 | Bot defense dla e-commerce, ATO protection | Custom enterprise, ok. 30-100k USD/rok |
| 4 | GeeTest | 2012 | Slider/puzzle captcha popularne w APAC, behavioral biometrics | Od ~30 USD/mies, enterprise custom |
| 5 | Friendly Captcha Pro | 2020 | Proof-of-work + GDPR-first (Niemcy), bez ciasteczek | Starter od 9 EUR/mies, Pro od 49 EUR/mies |
W segmencie enterprise warto rozważyć też Imperva Advanced Bot Protection (po przejęciu Distil Networks z 2014) i Akamai Bot Manager - zwykle wchodzą w grę gdy klient już ma WAF od tych dostawców.
Praktyczna rekomendacja na start
Dla SaaSa do ~100k MAU najczęściej wystarczy taki stack:
- Cloudflare Turnstile na formularzach (signup, login, password reset)
- IPQualityScore lub MaxMind minFraud do scoringu IP/email po signupie, asynchronicznie w jobie
- lokalna lista disposable-email-domains z repo ivolo, aktualizowana raz w tygodniu
- własny
trust_scorew bazie liczony jako ważona suma sygnałów - shadow ban dla niskiego score zamiast hard bana
Sift, Castle, Arkose czy DataDome mają sens dopiero przy skali, gdzie kilka procent legit userów odrzuconych przez zły scoring kosztuje więcej niż licencja - typowo SaaS B2C z >500k MAU albo fintech, gdzie chargeback to twarde pieniądze.
Dla projektów z restrykcjami GDPR (klienci z DACH, sektor publiczny w UE) preferuj Friendly Captcha, Altcha lub Turnstile - reCAPTCHA i FingerprintJS Pro mają w niektórych jurysdykcjach problem z transferem danych do USA.