Sideloading Android sotto esame: dal 30 settembre 2026 Google comincerà a chiedere la verifica dello sviluppatore per installare applicazioni sui dispositivi certificati in alcuni Paesi del mondo. In Italia non cambierà nulla nell’immediato, perché qui la stessa misura arriverà soltanto nel 2027. La novità non cancella la possibilità di installare app da fonti esterne, ma aggiunge un controllo sull’identità di chi distribuisce ogni singola applicazione.
Per capire quanto pesi questa scelta conviene fare un salto indietro al 2008, quando Android arrivò sul mercato come alternativa più aperta rispetto al modello chiuso di iPhone e iOS. Per quasi vent’anni un file APK ha potuto circolare fuori dagli store ufficiali con pochissimi vincoli tecnici. Bastava attivare l’installazione dalle origini sconosciute nelle impostazioni e il gioco era fatto. Adesso Google sostiene che proprio quel margine di libertà abbia favorito truffe finanziarie, cloni di app legittime e campagne malware. La ricetta scelta non tocca solo il Play Store, ma l’intera filiera di distribuzione del software sui dispositivi Android certificati.
Che cosa cambia dal 30 settembre 2026
In Italia, per ora, tutto resta come prima. Il cambiamento però partirà altrove, sugli smartphone degli utenti di Brasile, Indonesia, Singapore e Thailandia. Google li indica come aree ad alto rischio per le truffe basate su app, e per questo ha deciso di cominciare proprio da lì. La nuova regola prevede che ogni app installata su un dispositivo certificato risulti associata a uno sviluppatore verificato. Si parla di dispositivi che rispettano i requisiti di compatibilità Android e integrano i servizi Google, ossia la maggior parte degli smartphone venduti da Samsung, Xiaomi, OPPO, vivo, Honor e dalla stessa Google.
La verifica richiede due passaggi. Il primo riguarda l’identità: lo sviluppatore deve fornire nome legale, indirizzo, email, numero di telefono e in certi casi un documento ufficiale. Le imprese devono anche indicare un identificativo univoco e dimostrare la proprietà del proprio sito tramite Google Search Console. Il secondo passaggio è più tecnico e prevede la registrazione del package name dell’app, con tanto di prova di proprietà attraverso un APK firmato con la chiave privata dello sviluppatore. Il legame tra nome del pacchetto e app signing key diventa così decisivo. Se qualcuno provasse a diffondere una copia modificata di un’app nota con un’identità diversa, Google potrà bloccarla con molta più efficacia.
Store coinvolti e account limitati
La prima fase interesserà diversi marketplace: Google Play, HONOR App Market, OPPO App Market, Galaxy Store, Palm Store di Transsion, V-Appstore di vivo e GetApps di Xiaomi. Per chi è già presente su Google Play gran parte della procedura sarà automatica, visto che oltre il 99 per cento delle app risulta già registrato o pronto alla nuova policy. Più delicata la situazione di chi distribuisce fuori da Google Play, per cui nasce l’Android Developer Console, separata dalla Play Console, utile a registrare app e identità anche senza pubblicare nello store.
Arriva pure un componente chiamato Android Developer Verifier, destinato ai dispositivi con Android 8 e versioni successive. Resterà inattivo finché le procedure di verifica non verranno introdotte nell’area geografica dell’utente. Durante l’installazione il sistema potrà controllare se l’app appartiene a uno sviluppatore registrato, spostando così il controllo fino al momento dell’installazione e rendendo più difficile aggirare le regole cambiando semplicemente sito o marketplace.
Per studenti, hobbisti e piccoli progetti personali c’è un canale dedicato. Gli account a distribuzione limitata non chiedono documenti né quote di registrazione, ma fissano un tetto: le app possono finire al massimo su 20 dispositivi autorizzati. Una soluzione comoda per prototipi, corsi e test casalinghi, che però non aiuta chi sviluppa software indipendente con una comunità più ampia. Resta invariato l’uso di ADB, l’Android Debug Bridge a cui ricorrono sviluppatori e power user per installare build locali, app modificate e versioni di test. Un’eccezione importante, perché senza ADB il nuovo modello avrebbe inciso pesantemente su debugging, ricerca sulla sicurezza e sviluppo indipendente.
Sicurezza vera o controllo della distribuzione?
La motivazione legata alla sicurezza ha basi concrete. Le truffe tramite APK esterni sfruttano spesso messaggi, social network o falsi operatori bancari per spingere l’utente a installare app che rubano credenziali, intercettano notifiche o abusano dei servizi di accessibilità. Legare un’app a un’identità reale rende queste operazioni più costose per i gruppi criminali. La verifica dell’identità, però, non garantisce che il codice sia sicuro. Google stessa la paragona a un controllo dei documenti, non a un’ispezione del contenuto. Uno sviluppatore verificato può comunque sbagliare, subire compromissioni o pubblicare app invasive. La misura riduce l’anonimato degli abusi, ma non sostituisce analisi statica, sandboxing, Play Protect, controllo dei permessi e buone pratiche da parte di chi usa lo smartphone.