Android ha sempre vantato una caratteristica che lo distingue nettamente da iOS: la libertà di installare applicazioni da qualsiasi fonte, non solo dallo store ufficiale. Ma questa era sta finendo, almeno nella sua forma più permissiva. Google ha introdotto un nuovo sistema di verifica degli sviluppatori e un processo di sideloading che trasforma quello che prima era un semplice tap in un percorso a ostacoli deliberatamente scomodo.
Le nuove regole, annunciate formalmente a marzo 2026 e attese in rollout da agosto, ridisegnano completamente il modo in cui Android gestisce le app installate al di fuori del Play Store quando provengono da sviluppatori non verificati.
Come funziona il nuovo “advanced flow”
Chi vorrà installare un’app da uno sviluppatore non verificato da Google dovrà seguire un processo in sei passaggi, progettato per essere volutamente lento e impossibile da eseguire d’impulso:
- Abilitare le Opzioni Sviluppatore — niente più toggle veloci nascosti nei menu.
- Confermare di non essere sotto coercizione — Android chiederà esplicitamente se qualcuno ti sta guidando nel processo, una risposta diretta alle truffe telefoniche.
- Riavviare il telefono — per interrompere eventuali sessioni di screen sharing o accesso remoto usate dai truffatori.
- Attendere 24 ore — un blocco obbligatorio e non aggirabile. Google lo chiama “protective waiting period”.
- Autenticarsi con biometria o PIN — per confermare che sia davvero l’utente e non qualcun altro.
- Installare l’app — solo allora, con un’ulteriore avvertenza che l’app proviene da un sviluppatore non verificato.
Una volta completato il processo, l’utente può scegliere di abilitare il sideloading per sette giorni o a tempo indeterminato, potendo installare qualsiasi APK in quel lasso di tempo senza ripetere l’intera procedura.
Chi viene colpito davvero
Per la maggior parte degli utenti Android — quelli che vivono nell’ecosistema Play Store — non cambierà nulla. Il problema è per quelli che si trovano ai margini dell’ecosistema ufficiale, e sono molti più di quanto si pensi.
F-Droid e gli store alternativi sono i più esposti. F-Droid, il repository di app open source, è uno dei critici più acerrimi di queste modifiche. Il nodo centrale è il sistema di firma delle app: la stessa applicazione distribuita da store diversi non viene riconosciuta come identica da Android, e se lo sviluppatore non si registra nel sistema di verifica Google, ogni installazione richiederà l’advanced flow. Altre piattaforme come Aptoide, Samsung Galaxy Store, Xiaomi Mi Store e Huawei AppGallery potrebbero trovarsi in situazioni simili per le app dei loro sviluppatori non verificati.
Gli emulatori retro sono un caso particolarmente delicato. Molti sviluppatori di emulatori distribuiscono le versioni più aggiornate su GitHub o F-Droid, preferendo restare anonimi per ragioni legali (Nintendo, per fare un esempio noto, ha una lunga storia di azioni legali contro i progetti di emulazione). Emulatori come Dolphin, PPSSPP e altri che vivono fuori dal Play Store richiederanno ora il lungo percorso per ogni installazione. I progetti più strutturati come RetroArch, che hanno già una presenza su Play Store, sono relativamente al sicuro.
I tool di modding e root come Magisk, Shizuku, LSPosed e ReVanced Manager difficilmente si sottoporranno volontariamente alla verifica identità con Google — per ovvie ragioni. Chi è già nel mondo del rooting conosce ADB e Developer Options, quindi l’impatto pratico è limitato, ma per i nuovi utenti che vogliono avvicinarsi all’argomento le barriere si alzano.
App di utilità indipendenti come Termux (ambiente Linux su Android), NewPipe (client YouTube senza pubblicità), Bromite (fork di Chromium privacy-first) o App Manager non possono o non vogliono stare nel Play Store per ragioni di policy. Non smetteranno di funzionare, ma la loro scoperta e installazione diventerà più macchinosa.
App di messaggistica cifrata in contesti ad alto rischio. Signal e Telegram distribuiscono APK diretti sui propri siti per aggirare restrizioni regionali o blocchi degli store. Questo flusso diventa ora più complesso, e per gli utenti in paesi con accesso limitato al Play Store, le difficoltà aumentano esattamente dove sarebbe più importante minimizzarle.
Le motivazioni di Google
Google non ha torto nel motivare il cambiamento. Le truffe telefoniche che convincono le vittime a installare app malevole — spesso attraverso call center che simulano emergenze e guidano passo dopo passo il malcapitato nel disabilitare le protezioni — sono un problema reale e crescente. Il sistema del 2016, fatto di avvertimenti che si possono ignorare con un tap, non funziona quando c’è un truffatore dall’altro capo del telefono che ti urge a procedere.
Il blocco di 24 ore e il riavvio obbligatorio sono pensati esattamente per spezzare questa catena: tolgono l’urgenza su cui le truffe fanno leva e interrompono qualsiasi connessione remota in corso. “Volevamo che il processo fosse fastidioso, ma non impossibile,” ha dichiarato Sameer Samat, President of the Android Ecosystem, in un’intervista ad Android Authority.
La buona notizia è che esistono eccezioni. App distribuite a meno di 20 dispositivi (progetti hobby, strumenti scolastici, test interni) non richiedono la verifica completa dello sviluppatore. E una volta completato il processo di sblocco, l’utente può installare liberamente qualsiasi APK per sette giorni.
Un compromesso ragionevole?
9to5Google ha definito l’approccio di Google “vicino alla perfezione come compromesso ragionevole”: la libertà di sideloading non viene eliminata, ma viene messa dietro una porta con qualche lucchetto in più. La domanda è se quei lucchetti siano proporzionati al rischio o semplicemente un modo per rendere Android un po’ meno aperto senza ammetterlo esplicitamente.
Il 48% degli utenti che hanno risposto al sondaggio di Android Authority ha dichiarato che le nuove regole “rendono Android meno aperto e danneggiano i power user”. Solo il 18% le vede come un miglioramento netto per la sicurezza.
Le nuove regole entreranno in vigore da agosto 2026. Chi usa F-Droid, Termux o emulatori non certificati ha ancora qualche mese per adattarsi — o per sperare che i propri sviluppatori preferiti decidano di registrarsi nel sistema di verifica Google.
Fonti
- Android Authority — From F-Droid to emulators, here’s who’s hit hardest by Android’s new verification rules (25 marzo 2026)
- Android Authority — Android’s new sideloading rules are here, and they come with a 24-hour lock (19 marzo 2026)
- 9to5Google — Android isn’t killing sideloading, and Google found a near-perfect compromise (22 marzo 2026)