Hello !
C'est bien le problème des captchas... Et Recaptcha de Google est pas très optimisé pour garder une expérience de navigation fluide (d'après google pagespeed je perdais 1,5s sur le LCP...).
Du coup j'ai trouvé une solution alternative : la méthode du honeypot qui consiste à avoir un champ invisible dans ton formulaire et qui sera dans 99% des cas remplis par les bots. Ce qui peut être sympa à faire aussi c'est de checker le temps qui a été mis pour envoyer le formulaire avec un autre champ invisible (qui lui a un timestamp). Si ça a été envoyé dans un laps de temps très court tu es quasiment certain que c'est un bot.
Alors certes, aucune méthode n'est infaillible, mais celle-ci fonctionne bien ! Et puis tu peux aussi renforcer la sécurité de la chose en vérifiant (par exemple) les adresses mails. Si tu les demande, comme ça peut être le cas pour un système de commentaires publics, tu peux faire une whitelist des domaines de mails possibles (tu peux trouver ça assez facilement sur google). Le soucis ici c'est que ça peut vite être restrictif je pense :/