Il giro di vite è stato annunciato direttamente da Google. La lotta al «sideloading» riscrive dunque il concetto stesso del robottino verde, che sin dall’inizio si è proposto sul mercato come sistema operativo «open»
Per anni è stata una delle libertà più amate dagli utenti Android: poter scaricare un’app da qualsiasi fonte, senza passare dal Play Store, semplicemente installando un file APK trovato online. Una pratica nota come sideloading, simbolo di un sistema aperto, opposto alla chiusura di iOS. Ma quella libertà, almeno nella forma che conoscevamo, sta per finire. Google ha annunciato che dal prossimo anno le app distribuite tramite sideload dovranno essere firmate da sviluppatori verificati. Stop quindi all’anonimato, la condizione che ha permesso negli ultimi anni la diffusione di malware, truffe e versioni modificate di app famose. Non sarà più possibile installare applicazioni da sconosciuti: chi vorrà distribuire un’app dovrà «metterci la faccia», con un’identità certificata. Un cambiamento epocale, che apre un dibattito: sicurezza o libertà? E cosa resterà dell’anima open di Android?
La frase che cambia tutto
L’annuncio arriva con un post di Suzanne Frey, Vice President Trust & Growth di Google, che spiega la filosofia dietro la decisione: «Non dovresti dover scegliere tra un sistema aperto e uno sicuro. Integrando la sicurezza nel cuore di Android, abbiamo dimostrato che entrambe le cose sono possibili. Ma le minacce evolvono e dobbiamo evolvere anche noi.» Poi la stoccata: «Abbiamo visto come i malintenzionati sfruttino l’anonimato per impersonare sviluppatori legittimi e creare app false e convincenti. La portata di questa minaccia è significativa: la nostra analisi ha rilevato una quantità di malware 50 volte superiore proveniente da fonti esterne rispetto alle app su Google Play.» Tradotto: il sideload è diventato il canale preferito dei criminali informatici. Ed è qui che Google ha deciso di intervenire.
Che cos’è il sideload e perché è stato importante
Per chi non vive di tecnologia, il concetto è semplice: il sideload è l’installazione di app al di fuori del Play Store. Un’operazione banale su Android: scarichi un file APK, lo apri, dai il consenso e il gioco è fatto. Una libertà che ha fatto la fortuna del sistema operativo di Google, attirando sviluppatori indipendenti e utenti smanettoni. Questa apertura ha permesso la nascita di store alternativi, come APK Mirror, ma anche la diffusione di app vietate sullo store ufficiale per motivi legali, etici o commerciali. In Europa, addirittura, il Digital Markets Act ha consacrato questa libertà, imponendo ai big tech di non bloccare il sideload. Ma, come sempre, la medaglia ha due facce. Il sideload è anche la porta d’ingresso del malware. E negli ultimi anni è diventato un problema enorme.
Quando si scarica un’app dal Play Store, dietro c’è un sistema di controlli, sandbox e analisi del codice. Quando la si scarica da un sito qualunque, si entra in un territorio senza regole. E i criminali digitali adorano il caos. Negli ultimi anni sono aumentati i casi di app clonate, che imitano quelle ufficiali per rubare dati bancari, password e carte di credito. Alcune sono indistinguibili dall’originale: stesso logo, stesse schermate. Ma dietro, un codice maligno che fa sparire i risparmi.
Secondo Google, il rischio di trovare malware in un’app sideloaded è 50 volte superiore rispetto al Play Store.
Cosa cambia dal prossimo anno
E qui entra in gioco la novità: non verrà vietato il sideload, ma verrà imposto un vincolo. Chi distribuisce un’app infatti dovrà essere uno sviluppatore verificato e ciò significa che gli utenti potranno ancora scaricare APK da siti esterni, ma solo se l’app è firmata da un profilo registrato. La verifica richiede dati reali: nome e cognome, indirizzo legale, telefono, email. Per le aziende, anche il D-U-N-S Number (identificativo internazionale). Chi non è verificato, sparisce dal radar. Google lo spiega con un paragone efficace: «È come il controllo dei documenti in aeroporto: verifichiamo chi sei, non cosa porti in valigia.» La società non analizzerà il contenuto dell’app, né il codice, bensì si limita a certificare l’identità di chi la pubblica. Se domani un’azienda subisce un danno per colpa di un’app pirata, saprà a chi rivolgersi.
Per registrarsi come sviluppatore verificato, basta pagare 25 dollari. Una cifra simbolica, che serve soprattutto a scoraggiare i falsi account. Gli studenti e gli hobbisti saranno esentati dal pagamento, ma dovranno comunque fornire un’identità verificabile. Una mossa che riduce le truffe, ma che rischia di penalizzare la community indipendente, quella fatta di sviluppatori solitari che creano app utilissime nel tempo libero. Un esempio? L’app non ufficiale per il registro elettronico Spaggiari, sviluppata da un ragazzo italiano. Aveva 50.000 download e recensioni entusiaste. Poi la decisione drastica: «Google ora richiede di mostrare un indirizzo completo e un numero di telefono sulla pagina pubblica della mia app. Per me è un problema di privacy. Aprire un account aziendale è troppo complicato. Così ho rimosso l’app, nonostante il successo.» Con la nuova policy, un’app così non potrà più essere installata neppure manualmente, a meno che il creatore accetti di farsi identificare.
Il colpo alla pirateria
Ma c’è un’altra conseguenza, forse non dichiarata: questa mossa è un siluro alle app pirata e alle versioni modificate di app famose. Pensiamo a Revanced (l’erede di YouTube Vanced), che permette di guardare YouTube senza pubblicità. O alle versioni «premium sbloccate» di Spotify, senza pagare l’abbonamento. O ancora agli emulatori per vecchie console, spesso distribuiti in canali grigi. Finora questi progetti vivevano di anonimato. Domani dovranno esporsi.
Chi rischierà una causa legale milionaria per un’app che elimina la pubblicità da YouTube? Probabilmente nessuno. Non è un caso che, tra le righe, Google lo ammetta: «Gli sviluppatori dovranno fornire dati reali e verificati, come già avviene sul Play Store. Questo migliorerà la sicurezza, ma anche la responsabilità legale».
La stretta sarà comunque graduale, ma il calendario è chiaro:
- ottobre 2025 accesso anticipato alla console di autenticazione per alcuni sviluppatori;
- marzo 2026 apertura a tutti;
- settembre 2026 primo blocco nei Paesi con più frodi (Brasile, Indonesia, Singapore, Thailandia);
- 2027 rollout globale.
Per gli utenti europei non cambierà subito molto, anche perché il Digital Markets Act obbliga a mantenere la possibilità di installare app da fonti alternative. Ma attenzione: libertà sì, ma con regole ferree.
Google comunque insiste sul fatto che Android resta un sistema aperto. Lo ribadisce nel comunicato ufficiale: «Gli sviluppatori avranno la stessa libertà di distribuire le app direttamente agli utenti tramite sideload o store alternativi. Crediamo che un sistema aperto debba funzionare così: preservando la scelta e migliorando la sicurezza.» La realtà, però, è più complessa. La barriera dell’identificazione cambierà l’ecosistema. Non sparirà la possibilità tecnica di installare APK, ma scomparirà il far west che ha reso Android il paradiso di modder e hacker. In nome della sicurezza, l’open world diventa una zona sorvegliata.
In ogni caso, per chi scarica tutto dal Play Store, nulla. Per chi ama sperimentare con app di terze parti, emulatori, mod di giochi, la storia è diversa. Non sarà impossibile, ma sarà molto più difficile. E soprattutto, chi sviluppa dovrà uscire dall’ombra. Per gli utenti meno esperti, probabilmente è una buona notizia: meno rischi di trojan e phishing. Per gli smanettoni, è la fine di un’epoca.
Per non perdere le ultime novità su tecnologia e innovazione
iscriviti alla newsletter di Login
29 agosto 2025
© RIPRODUZIONE RISERVATA