Da dicembre, molti utenti di GrapheneOS hanno smesso di poter usare l’app IO, strumento fondamentale per accedere ai servizi digitali della pubblica amministrazione. L’improvvisa incompatibilità è legata all’adozione da parte di PagoPA delle API Play Integrity, un meccanismo sviluppato da Google per verificare l’integrità dei dispositivi Android. Ora, a distanza di mesi, arriva finalmente una spiegazione ufficiale da parte dell’ente che gestisce l’app: l’integrazione delle API è stata dettata dalla necessità di rispondere alle normative italiane ed europee in materia di sicurezza informatica.
Una scelta che privilegia la forma alla sostanza, ma gli utenti GrapheneOS ne risentono
L’avvocato Michelino Chionchio di PagoPA ha chiarito che la scelta è stata fatta in coerenza con le linee guida sulla certificazione dei dispositivi. L’adozione della Play Integrity API, combinata con la Hardware Attestation API, garantisce un controllo rigoroso contro manomissioni, malware e dispositivi compromessi. Tuttavia, questa soluzione ha come effetto collaterale l’esclusione automatica dei dispositivi che non rispettano i parametri ufficiali di Google, come GrapheneOS. Anche se tecnicamente esistono alternative altrettanto sicure, queste non soddisfano tutti i requisiti formali richiesti dai regolatori.
Secondo Daniel Micay, fondatore di GrapheneOS, l’esclusione non era necessaria. La sola Hardware Attestation API sarebbe bastata, secondo lui, a garantire la sicurezza dell’app IO senza compromettere la compatibilità con i sistemi più attenti alla privacy. Tuttavia, Google supporta ufficialmente solo Play Integrity per questo tipo di certificazioni, e proprio qui si colloca il cuore del problema. PagoPA ha scelto di seguire la strada più formalmente solida, pur sapendo che avrebbe penalizzato una parte, seppur ristretta, degli utenti Android.
La priorità dell’ente resta la conformità alle normative e la sicurezza dei dati trattati, anche a costo di sacrificare la compatibilità con sistemi alternativi e più personalizzabili. Una decisione che ha aperto un dibattito più ampio sul ruolo degli standard imposti da Google, e sul futuro delle piattaforme Android indipendenti. Per il momento, chi utilizza GrapheneOS dovrà rinunciare a IO o ricorrere a dispositivi secondari per accedere ai servizi digitali italiani.
