Quante volte ti è capitato di registrarti a una nuova app, inserire l’email e ritrovarti a fare la spola tra l’inbox e l’app per recuperare un codice OTP introvabile, finito magari nello spam? Google ha deciso che questo schema è ormai anacronistico. Con il Credential Manager API aggiornato e il lancio della nuova verified email credential, Android può ora verificare l’indirizzo email dell’utente in modo nativo, senza nessun codice da inserire e senza abbandonare l’app nemmeno per un secondo.
L’annuncio è arrivato il 22 aprile 2026 direttamente dal team Android Developers: Google emette ora una credenziale email crittograficamente verificata direttamente sui dispositivi Android, attingendo all’account Google dell’utente già presente sul telefono. La credenziale viene consegnata tramite il Credential Manager Digital Credential API, che è l’implementazione Android dello standard W3C Digital Credentials API.
Come funziona per l’utente
L’esperienza lato utente è volutamente elementare. Quando si avvia un flusso di registrazione, accade questo:
- L’app attiva la richiesta nel momento in cui l’utente tocca il campo email o il pulsante “Registrati”.
- Compare un bottom sheet nativo Android che mostra con chiarezza quali dati vengono richiesti (tipicamente l’indirizzo email verificato).
- L’utente tocca “Accetta e continua”.
- L’app riceve immediatamente i dati, senza nessun cambio di contesto.
Il risultato pratico è che la verifica email diventa un gesto solo: nessun codice da copiare, nessuna attesa, nessuna email dispersa nei filtri antispam. Per chi sviluppa app, il vantaggio è altrettanto significativo: si riducono drasticamente i drop-off durante l’onboarding, uno dei punti di abbandono più critici nel ciclo di vita di un’app.
Tre scenari d’uso principali
Google ha identificato tre casi d’uso prioritari per la nuova API:
- Registrazione account: si recupera l’email verificata nel momento esatto in cui l’utente tocca “Registrati”, con la possibilità di abbinarla subito alla creazione di una passkey per rendere i login successivi ancora più veloci.
- Recupero account: invece di costringere l’utente a scavare tra le email di recupero (spesso finite nello spam), si verifica l’identità tramite il dispositivo in modo silenzioso.
- Re-autenticazione per azioni sensibili: quando un’app deve confermare l’identità dell’utente prima di modificare dati critici, si può sostituire l’OTP con questa verifica a bassa frizione.
Cosa cambia davvero
Per anni la verifica email tramite OTP o magic link è stata un compromesso accettato per mancanza di alternative migliori. Funziona, ma è scomodo: interrompe il flusso, dipende dalla consegna delle email (non sempre tempestiva) e aumenta la probabilità che l’utente abbandoni prima di completare la registrazione.
Con questa soluzione, Google sposta la responsabilità della verifica dentro l’OS stesso. L’email viene attestata crittograficamente dall’account Google già autenticato sul dispositivo — il telefono, in pratica, diventa il garante. Questo non è solo un miglioramento di UX: è un cambio architetturale. Il Digital Credentials API è issuer-agnostic, il che significa che in futuro altri provider di identità potranno rilasciare le proprie credenziali verificate attraverso lo stesso canale. Google apre il corridoio, ma chiunque può entrare.
Vale la pena notare un limite attuale importante: la credenziale email emessa da Google funziona solo con account Google consumer regolari. Gli account Workspace e gli account supervisionati non sono ancora supportati. Google consiglia inoltre di auto-verificare automaticamente gli utenti con email @gmail.com, e di mantenere il flusso OTP tradizionale per i domini personalizzati non gestiti direttamente da Google — almeno per ora.
Per un confronto con il prodotto esistente: la nuova verified email è complementare a Sign in with Google, non alternativa. Se vuoi che l’utente acceda con un account Google federato, usi Sign in with Google. Se vuoi che l’utente si registri con username e password (o passkey) ma vuoi eliminare il fastidio della verifica OTP, usi la nuova API.
Per chi vuole saperne di più sull’evoluzione delle funzionalità di sistema di Android in questo ciclo di aggiornamenti, le novità di aprile 2026 stanno ridisegnando diversi touchpoint dell’esperienza utente, dal Wallet all’autenticazione.
In breve
- Google lancia la verified email credential tramite Credential Manager API su Android.
- Gli utenti non devono più inserire OTP o aprire magic link: la verifica avviene con un solo tap nativo.
- Tre scenari supportati: registrazione, recupero account, re-autenticazione per azioni sensibili.
- L’API è basata sullo standard W3C Digital Credentials ed è issuer-agnostic: futuri provider terzi potranno partecipare.
- Attualmente supporta solo account Google consumer (no Workspace, no account supervisionati).
- Complementare a Sign in with Google: i due approcci rispondono a esigenze diverse.