Android, stretta sul sideloading: dal 30 settembre arriva la verifica obbligatoria degli sviluppatori

Google imporrà l'identità verificata per chi pubblica app Android. Il via dal 30 settembre 2026 in quattro Paesi pilota, in Italia e in Europa nel 2027. Il sideloading non sparisce, ma installare app fuori dal Play Store diventa più complicato. E monta la protesta del mondo open source.

Google ha deciso di cambiare una delle regole storiche di Android: la possibilità di installare qualsiasi applicazione, da qualsiasi fonte, senza chiedere il permesso a nessuno. Con il nuovo programma di verifica degli sviluppatori, ogni app installata su un dispositivo Android certificato dovrà essere riconducibile a uno sviluppatore con identità verificata da Google. La novità riguarda anche il cosiddetto sideloading, cioè l'installazione di app tramite file APK scaricati fuori dal Play Store o da store alternativi.

Il calendario è scaglionato. Secondo la documentazione ufficiale di Google, il requisito entra in vigore il 30 settembre 2026 in quattro Paesi pilota — Brasile, Indonesia, Singapore e Thailandia — per poi estendersi a livello globale nel corso del 2027. È in questa seconda fase che la stretta arriverà anche in Italia e in Europa.

Cosa cambia davvero per gli utenti

La prima cosa da chiarire: il sideloading non viene cancellato. Lo conferma Android Authority: i power user potranno ancora installare app da qualsiasi fonte scelgano. Quello che cambia è la frizione.

Le app firmate da sviluppatori verificati continueranno a installarsi normalmente. Le app di sviluppatori non registrati, invece, richiederanno un nuovo "flusso di sideloading avanzato" oppure l'uso di ADB (lo strumento per sviluppatori via computer). Questo percorso avanzato prevede passaggi aggiuntivi e un blocco temporale prima di poter completare l'installazione, con conferma tramite PIN o dati biometrici. In pratica: per la maggior parte degli utenti, nell'immediato non cambia nulla, ma con il progredire del rollout installare un'app "non riconosciuta" diventerà un'operazione volutamente più lenta.

Perché Google lo fa

La motivazione dichiarata è la sicurezza. Google sostiene che la stragrande maggioranza del malware su Android arrivi proprio dal sideloading di app provenienti da fonti non controllate. L'idea è quella di un "controllo all'ingresso": come in aeroporto si verifica un documento senza ispezionare il bagaglio, così la verifica certificherebbe chi pubblica l'app, non cosa contiene. Per non tagliare fuori chi sviluppa per passione, Google ha annunciato un account a distribuzione limitata, gratuito, che consente di distribuire un'app su un massimo di 20 dispositivi senza documento d'identità governativo.

Le critiche: "così Android non è più aperto"

La decisione ha scatenato la reazione del mondo open source. La campagna Keep Android Open, guidata dal repository F-Droid, parla di minaccia "esistenziale" per gli store alternativi e per la distribuzione indipendente di software (The New Stack). Il punto critico, per i contestatori, è che la registrazione centralizzata presso Google diventa obbligatoria per chiunque, anche per chi distribuisce app gratuitamente da una community o da una pagina web. Una lettera aperta è stata firmata, secondo i promotori, da decine di organizzazioni tra cui EFF, Free Software Foundation, KDE e Tor Project. Il timore di fondo è duplice: la fine dell'anonimato per gli sviluppatori e un ulteriore accentramento del controllo su cosa può girare sui nostri telefoni.

In sintesi

Fino al 2026 in Italia non cambia nulla. Dal 2027, salvo modifiche, installare app fuori dal Play Store da sviluppatori non verificati richiederà passaggi extra e attese. Il consiglio resta quello di sempre: scaricare app solo da fonti di cui ci si fida.