Se segui il mondo Android da vicino come faccio io, avrai sicuramente notato che qualcosa di grosso sta per cambiare. Google ha annunciato la verifica obbligatoria degli sviluppatori per tutte le app Android, comprese quelle distribuite al di fuori del Play Store, e la registrazione apre ufficialmente a tutti proprio a marzo 2026. Si tratta di un cambiamento strutturale che nella mia esperienza non ha precedenti nella storia della piattaforma: per la prima volta, anche il sideloading e gli store alternativi come F-Droid, Amazon Appstore e Samsung Galaxy Store saranno soggetti al controllo diretto di Google.
La notizia ha generato una reazione fortissima: il 24 febbraio 2026, oltre 37 organizzazioni — tra cui la Electronic Frontier Foundation (EFF), la Free Software Foundation, F-Droid, Proton AG, Nextcloud, The Tor Project, Vivaldi, Fastmail e AdGuard — hanno pubblicato una lettera aperta indirizzata a Sundar Pichai, Larry Page, Sergey Brin e Vijaya Kaza chiedendo a Google di ritirare la policy. Per chi come me gestisce dispositivi Android, configura automazioni e tiene alla libertà dell’ecosistema open-source, è una questione che tocca da vicino il modo in cui usiamo i nostri dispositivi ogni giorno.
Cos’è la Verifica Obbligatoria degli Sviluppatori Android
Il programma di Android Developer Verification è stato annunciato da Google nell’agosto 2025 e prevede che tutte le app installate su dispositivi Android certificati debbano provenire da sviluppatori verificati che hanno completato un processo di identificazione con Google. Non si tratta di una semplice estensione delle regole del Play Store: questo requisito si applica anche alle app distribuite tramite store di terze parti e al sideloading diretto via APK.
Il processo di verifica richiede allo sviluppatore di:
- Pagare una tariffa una tantum di 25 dollari
- Fornire un documento d’identità rilasciato dal governo
- Creare un profilo di pagamento Google
- Accettare i Termini e Condizioni di Google
- Dimostrare la proprietà delle signing key delle proprie app
- Dichiarare gli identificativi dei pacchetti (package name) attuali e futuri
Per gli sviluppatori che già pubblicano sul Google Play Store, cambia poco: Google ha reso obbligatoria la verifica dell’identità per il Play Store dal 2023, e circa il 98% delle app esistenti verrà registrato automaticamente. Il vero impatto è su chi distribuisce app al di fuori del Play Store.
Timeline della Verifica: da Marzo 2026 al Rollout Globale
Ho ricostruito la timeline ufficiale e vi mostro come si sviluppa il piano di Google:
- Ottobre 2025: accesso anticipato (early preview) per i primi sviluppatori
- Novembre 2025: il programma entra in preview estesa
- Marzo 2026: la registrazione si apre a tutti gli sviluppatori tramite la nuova Android Developer Console
- Settembre 2026: entra in vigore l’enforcement obbligatorio in Brasile, Indonesia, Singapore e Thailandia — le app di sviluppatori non verificati vengono bloccate
- 2027 in poi: rollout globale progressivo
La finestra tra marzo e settembre 2026 — appena sette mesi — è considerata da molti critici troppo breve, specialmente per progetti open-source come F-Droid che distribuiscono centinaia di app da sviluppatori indipendenti sparsi in tutto il mondo.
Perché Google Dice di Farlo: la Giustificazione sulla Sicurezza
Google giustifica il programma con dati sulla sicurezza piuttosto significativi: secondo l’azienda, le app installate tramite sideloading hanno una probabilità 50 volte maggiore di contenere malware rispetto a quelle del Play Store. Nel 2024 Google ha bloccato 2,36 milioni di app che violavano le policy e ha bannato 158.000 account sviluppatore.
L’idea di base — identificare chi sviluppa le app per rendere più difficile ai malintenzionati di tornare dopo una rimozione — ha una sua logica. Google la paragona al controllo documenti in aeroporto: si verifica l’identità del viaggiatore, non il contenuto dei bagagli.
Nella mia esperienza di sysadmin, capisco bene il valore della accountability nello sviluppo software. Ma il problema, come vedremo, è che questo sistema va ben oltre il concetto di sicurezza e si estende al controllo dell’intero ecosistema. Se ti interessa come gestisco la sicurezza sui dispositivi Android, ho parlato approfonditamente di come controllare i permessi delle app e rimuovere quelle pericolose in un articolo precedente.
La Lettera Aperta: 37+ Organizzazioni Contro Google
Il 24 febbraio 2026, la coalizione Keep Android Open — guidata dal membro del board di F-Droid Marc Prud’hommeaux — ha pubblicato una lettera aperta formale indirizzata alla leadership di Google. I firmatari includono nomi di peso assoluto nel mondo della tecnologia e dei diritti digitali:
- Electronic Frontier Foundation (EFF)
- Free Software Foundation (FSF)
- F-Droid
- Proton AG (ProtonMail, ProtonVPN)
- Nextcloud
- The Tor Project
- Vivaldi
- Fastmail
- Codeberg
- Article 19
- AdGuard
- Software Freedom Conservancy
La lettera è stata anche inviata in copia alle autorità antitrust di diverse giurisdizioni, inclusa la Commissione Europea e il Dipartimento di Giustizia degli Stati Uniti.
Le Principali Obiezioni della Coalizione
I punti chiave della lettera aperta toccano questioni fondamentali per chiunque lavori nell’ecosistema Android:
1. Estensione illegittima del controllo di Google. I firmatari sostengono che la policy estende l’autorità di gatekeeping di Google oltre il proprio marketplace, imponendosi su canali di distribuzione dove Google non ha alcun ruolo operativo legittimo. Come scrivono nella lettera: gli sviluppatori che scelgono di non usare i servizi di Google non dovrebbero essere costretti a registrarsi presso Google e a sottomettersi al suo giudizio.
2. Barriere per sviluppatori indipendenti. La registrazione obbligatoria impone oneri burocratici, economici e di privacy a sviluppatori con risorse limitate, ricercatori e accademici. Per i progetti open-source gestiti da volontari, queste barriere possono essere insormontabili.
3. Rischi per la privacy e la sorveglianza. La richiesta di documenti d’identità governativi e la centralizzazione dei dati degli sviluppatori in un unico database Google sollevano preoccupazioni serie sulla sorveglianza e sulla possibilità di identificare — e potenzialmente silenziare — singoli sviluppatori.
4. Meccanismi di sicurezza già esistenti. La piattaforma Android include già molteplici meccanismi di sicurezza che non richiedono una registrazione centralizzata: protezioni a livello OS, sistema dei permessi, avvisi per il sideloading, Google Play Protect e certificati di firma degli sviluppatori.
5. Preoccupazioni antitrust. Google controlla contemporaneamente il sistema operativo dominante e il marketplace di app dominante. Estendere i requisiti di verifica a tutti i dispositivi certificati — non solo alle installazioni dal Play Store — consolida ulteriormente questo controllo.
L’Impatto su F-Droid e il Mondo Open-Source
Da utente e sostenitore di F-Droid, questa è la parte che mi preoccupa di più. F-Droid è un repository di app Android free e open-source che rappresenta un’alternativa fondamentale al Play Store per chi tiene alla privacy e alla libertà del software. La nuova policy rappresenta una minaccia esistenziale per il suo modello di distribuzione.
F-Droid distribuisce centinaia di app create da sviluppatori indipendenti in tutto il mondo, molti dei quali operano in modo anonimo o pseudonimo per motivi legittimi. La policy di Google costringerebbe tutti a:
- Fornire documenti d’identità a un’azienda privata
- Accettare termini e condizioni definiti unilateralmente
- Pagare una tariffa
- Delegare a Google il potere di bloccare le proprie app su tutti i dispositivi certificati
Come ha scritto F-Droid nel suo post di annuncio della lettera aperta, Google ha rifiutato ripetute richieste di fornire informazioni concrete su quale forma avrà il cosiddetto “advanced flow” per utenti esperti, rendendo impossibile valutare se esista davvero un’alternativa praticabile. Questo argomento si collega direttamente a quanto ho scritto riguardo alla configurazione di DNS privato e protezione dal tracciamento su Android: la privacy non è un optional, è un diritto.
L'”Advanced Flow” per Utenti Esperti: Promesse Senza Dettagli
Dopo il backlash iniziale, Google ha annunciato che avrebbe previsto un percorso dedicato per studenti e hobbisti (con account speciali e limitazioni sul numero di dispositivi) e un “advanced flow” per utenti esperti che vogliono installare app da sviluppatori non verificati.
All’inizio sembrava una concessione ragionevole, ma nella pratica la situazione è diversa. Il flusso avanzato promesso non è apparso nelle beta di Android 16 né in quelle di Android 17. Google non ha fornito dettagli tecnici su come funzionerà, quando sarà disponibile, né se sarà effettivamente accessibile senza frizioni eccessive.
Come ha commentato Marc Prud’hommeaux di F-Droid, l’incertezza rende impossibile considerare l'”advanced flow” come una soluzione praticabile per preservare la libertà del software, e finché non sarà dimostrato e verificato dalla community, va considerato inesistente. Se vuoi approfondire le novità di Android 17 Cinnamon Bun, ne ho parlato in un articolo dedicato.
Cosa Non Viene Toccato: AOSP, LineageOS e GrapheneOS
Un dettaglio tecnico importante che va chiarito: la policy non si applica ai build AOSP alternativi come LineageOS, GrapheneOS e /e/OS. Questi sistemi operativi non sono “certificati” da Google e quindi non rientrano nel perimetro dell’enforcement.
Questo significa che chi usa una custom ROM de-Googlizzata potrà continuare a installare app liberamente. Tuttavia, questa è una scappatoia per una nicchia molto ristretta di utenti tecnicamente esperti, e non rappresenta una soluzione per il 95%+ dei dispositivi Android nel mondo che sono certificati con i servizi Google.
Le Implicazioni Antitrust: DMA, DOJ e la Contraddizione di Google
La lettera aperta arriva in un momento in cui Google è già sotto pressione antitrust da più fronti. La Commissione Europea, con il Digital Markets Act (DMA), e il Dipartimento di Giustizia degli Stati Uniti stanno già esaminando il comportamento dominante della piattaforma.
La contraddizione è evidente: da un lato Google è stata costretta dai tribunali ad aprire il proprio sistema di pagamento; dall’altro, con la verifica centralizzata degli sviluppatori, sta consolidando un controllo ancora più profondo sull’intero ecosistema Android. Come hanno fatto notare più osservatori, la verifica dell’identità consente a Google un enforcement retroattivo contro qualsiasi sviluppatore, ovunque nell’ecosistema.
Prud’hommeaux ha dichiarato di aver già contattato regolatori brasiliani, funzionari antitrust statunitensi in quattro stati e organi di policy dell’UE. Al momento non è stata aperta alcuna indagine formale, ma l’interesse regolamentare è reale. Per un approfondimento sulle normative che impattano il mondo tech europeo, vi consiglio il mio articolo su come rendere un server Plesk conforme alla direttiva NIS2: la questione della compliance normativa sta diventando sempre più centrale.
Cosa Significa per Noi Utenti e Sviluppatori: la Mia Analisi
Da sysadmin e sviluppatore che utilizza quotidianamente sia il Play Store che il sideloading, vi dico cosa penso praticamente di questa situazione:
Se sei uno sviluppatore Play Store, per ora non cambia quasi nulla. Google ha già i tuoi dati di verifica dal 2023 e registrerà automaticamente i package name delle tue app.
Se distribuisci app fuori dal Play Store — tramite F-Droid, il tuo sito web, o store alternativi — la scadenza di settembre 2026 è reale e concreta. Devi valutare se registrarti nella nuova Android Developer Console o se la tua base utenti può migrare verso build AOSP non certificati.
Se sei un utente Android consapevole che installa app da fonti alternative, è il momento di informarsi. Dopo settembre 2026, nei paesi pilota, le app non verificate saranno bloccate sui dispositivi certificati. In un articolo precedente ho parlato di come verificare se il proprio dispositivo è infetto dal malware Keenadu: la sicurezza è importante, ma deve essere gestita con strumenti che non sacrifichino la libertà dell’utente.
Se tieni alla privacy, considera seriamente alternative come GrapheneOS o LineageOS, che restano fuori dal perimetro della policy. Ho configurato diversi dispositivi con queste ROM e, per un utente mediamente esperto, il setup non è impossibile. Ne ho parlato anche nel contesto delle automazioni Android con Tasker.
FAQ
La verifica obbligatoria degli sviluppatori Android elimina il sideloading?
Non tecnicamente. Google afferma che il sideloading resterà possibile, ma solo con app provenienti da sviluppatori verificati. In pratica, le app da sviluppatori non registrati saranno bloccate sui dispositivi Android certificati a partire da settembre 2026 nei paesi pilota (Brasile, Indonesia, Singapore, Thailandia) e globalmente dal 2027. Un flusso avanzato per “utenti esperti” è stato promesso ma non ancora implementato.
Cosa deve fare uno sviluppatore che distribuisce solo tramite F-Droid o il proprio sito?
A partire da marzo 2026, dovrà registrarsi nella nuova Android Developer Console, pagare 25 dollari, fornire un documento d’identità governativo, accettare i Termini e Condizioni di Google e dichiarare i package name delle proprie app. In alternativa, potrà continuare a distribuire liberamente solo su build AOSP non certificati come GrapheneOS o LineageOS. La coalizione Keep Android Open invita gli sviluppatori a non registrarsi e a contestare la policy.
I dispositivi con ROM personalizzate come GrapheneOS o LineageOS sono colpiti?
No. La policy si applica esclusivamente ai dispositivi Android certificati, ovvero quelli che includono i Google Play Services e le app Google preinstallate. Le ROM AOSP-based che non hanno la certificazione Google non rientrano nell’enforcement. Tuttavia, questi dispositivi rappresentano una percentuale molto piccola del mercato globale.
Perché EFF e F-Droid si oppongono se la policy serve a combattere il malware?
Le 37+ organizzazioni firmatarie riconoscono l’importanza della sicurezza, ma sostengono che Android possiede già meccanismi di protezione efficaci (Play Protect, sistema dei permessi, firma degli sviluppatori). Ritengono che la registrazione centralizzata conferisca a Google un potere eccessivo: la capacità di bloccare qualsiasi app su qualsiasi dispositivo certificato, estendendo il proprio controllo oltre il marketplace di proprietà verso canali di distribuzione indipendenti.
Quali sono le scadenze che devo tenere a mente?
Marzo 2026: apertura della registrazione a tutti gli sviluppatori. Settembre 2026: enforcement obbligatorio in Brasile, Indonesia, Singapore e Thailandia — le app non verificate saranno bloccate. 2027: inizio del rollout globale. Se sei uno sviluppatore che distribuisce fuori dal Play Store, hai circa sei mesi per decidere come procedere.
Conclusione: la Verifica Obbligatoria Android Segna un Punto di Non Ritorno?
La verifica obbligatoria degli sviluppatori Android rappresenta il cambiamento più significativo nella storia della piattaforma dal punto di vista della distribuzione delle app. Google sostiene che sia una misura di sicurezza necessaria; la comunità open-source e i difensori dei diritti digitali la vedono come una presa di controllo centralizzata che tradisce il principio di apertura su cui Android è stato costruito.
Nella mia esperienza, la verità sta probabilmente nel mezzo: il problema del malware sideloaded è reale, ma la soluzione proposta da Google va ben oltre ciò che sarebbe necessario per affrontarlo, conferendo all’azienda un potere senza precedenti sull’intero ecosistema. Il fatto che nomi come EFF, FSF, Tor Project e Proton AG si siano uniti in una coalizione formale dovrebbe far riflettere chiunque lavori nel tech.
Vi consiglio di seguire da vicino keepandroidopen.org per gli sviluppi della campagna e di valutare attentamente le vostre opzioni sia come sviluppatori che come utenti. Se avete esperienze o opinioni su questa policy, vi invito a condividerle nei commenti: è un tema che ci riguarda tutti.