Android 17: tre protezioni contro le truffe bancarie
ANDROID — 20 Maggio 2026
👉 Android 17 porta tre novità di sicurezza che cambiano concretamente come vengono protetti i tuoi dati: i codici OTP nascosti per 3 ore, le chiamate bancarie verificate in automatico e la crittografia progettata per resistere ai computer quantistici. Ecco cosa significa in pratica.
Mentre tutti parlavano di Gemini e degli XR glasses, Google ha annunciato in silenzio alcune delle novità di sicurezza più importanti degli ultimi anni per Android. Tre funzioni che non fanno notizia quanto uno smartwatch o un laptop, ma che cambiano strutturalmente come vengono protetti i dati di oltre 3 miliardi di utenti Android nel mondo. OTP nascosti agli accessi non autorizzati. Chiamate bancarie verificate automaticamente. Crittografia resistente ai computer quantistici — con deadline interna al 2029. Questa guida spiega cosa sono, come funzionano e cosa cambia per te.
⚡ Android 17 sicurezza — dati ufficiali:
🔐 OTP nascosti: codici SMS nascosti per 3 ore dalla maggior parte delle app
📞 Verified Financial Calls: verifica automatica delle chiamate bancarie in background
🔬 Crittografia post-quantistica: algoritmo ML-KEM (X25519) + ML-DSA per AVB
📅 Deadline Google: migrazione completa PQC entro 2029
🛡️ Disable 2G: nuova funzione per bloccare celle 2G false nei casi di truffa
📅 Fonte: Google The Keyword Blog, TuttoAndroid, Punto-Informatico — maggio 2026
| Funzione | Prima di Android 17 | Con Android 17 | Impatto reale |
|---|---|---|---|
| OTP via SMS | Visibili a molte app con permessi SMS | Nascosti per 3 ore a tutto tranne l'app destinataria | Riduce malware banking |
| Chiamate bancarie | Spoofing del numero reale non rilevabile | Verifica crittografica con l'app della banca | Riduce truffe vocali |
| Crittografia dati | ECC classica — vulnerabile ai computer quantistici | Schema ibrido X25519 + ML-KEM / ML-DSA | Protezione futura |
| Rete 2G | Connessione automatica a celle 2G anche false | Disabilitazione 2G nelle aree coperte da 4G/5G | Blocca IMSI catcher |
- ✔️ OTP nascosti — come funziona e perché protegge meglio
- ✔️ Verified Financial Calls — la fine delle truffe telefoniche bancarie?
- ✔️ Crittografia post-quantistica — cos'è e perché serve adesso
- ✔️ Disable 2G — la funzione anti-IMSI catcher
- ✔️ Cosa cambia per te — risposta onesta
- ✔️ Quali dispositivi riceveranno queste funzioni
La cosa che mi ha colpito leggendo i dettagli tecnici: queste funzioni non sono "novità" nel senso classico. Sono risposte a problemi reali che esistono da anni. I codici OTP rubati via malware sono una delle tecniche di frode bancaria più diffuse in Italia. Le telefonate false dalla banca truffano migliaia di italiani ogni anno. La sensazione leggendo la documentazione tecnica è che Google stesse preparando queste protezioni da anni — Android 17 è semplicemente il momento in cui diventano visibili agli utenti.
✍️ Rocco Caiazza — Fondatore di ScelgoIo | 20 maggio 2026
Fonti: Google The Keyword Blog, TuttoAndroid, Punto Informatico, EPG Italia — marzo-maggio 2026
→ OTP nascosti per 3 ore: Android nasconde i codici SMS alla maggior parte delle app per proteggere le password monouso da accessi non autorizzati — Fonte: TuttoAndroid, 12 maggio 2026
→ Verified Financial Calls: partner confermati includono Revolut, Itaú e Nubank — Fonte: YourLifeUpdated
→ Algoritmo PQC: schema ibrido X25519 + ML-KEM per le comunicazioni, ML-DSA per Android Verified Boot — Fonte: Punto Informatico
→ Deadline 2029: Google ha indicato il 2029 come milestone interna per la migrazione completa verso algoritmi PQC — Fonte: Matrice Digitale
→ Harvest now, decrypt later: gli attacchi che raccolgono dati crittografati oggi per decifrarli in futuro sono già una realtà documentata — Fonte: Punto Informatico
Ho letto il post ufficiale di Google The Keyword sulle novità di sicurezza Android, le analisi tecniche di TuttoAndroid, Punto Informatico, EPG Italia e Matrice Digitale. Ho verificato le specifiche degli algoritmi ML-KEM e ML-DSA sul bollettino di sicurezza Android di maggio 2026 su AOSP. Ho controllato quali banche italiane hanno già aderito a Verified Financial Calls.
→ OTP nascosti — come funziona e perché cambia tutto
→ Verified Financial Calls — la fine delle truffe bancarie telefoniche?
→ Crittografia post-quantistica — cos'è e perché serve adesso
→ Disable 2G — protezione contro le celle false
→ Cosa cambia per te — la risposta onesta
→ Quali dispositivi riceveranno queste funzioni
OTP nascosti — come funziona e perché cambia tutto
I codici OTP — One Time Password — sono quei numeri a sei cifre che ricevi via SMS quando fai un bonifico, accedi all'app della banca o confermi un acquisto online. Sono progettati per essere usati una sola volta e scadere in pochi minuti. In teoria, sono una delle protezioni più solide che esistano. In pratica, da anni sono anche uno dei principali bersagli dei malware su Android.
Il problema attuale
Molte app sul dispositivo — incluse quelle con permessi legittimi — possono leggere gli SMS in arrivo. Un malware che ottiene i permessi giusti può intercettare un OTP nel momento in cui arriva e trasmetterlo ai truffatori prima che tu lo usi. È una delle tecniche alla base di decine di migliaia di frodi bancarie online ogni anno in Italia.
Come funziona la protezione in Android 17
Con Android 17 succede una cosa semplice ma importante. Quando ricevi un SMS con un codice OTP, il sistema lo nasconde automaticamente alla maggior parte delle app per tre ore. Solo l'app destinataria dichiarata del codice — tipicamente l'app della banca che lo ha richiesto — può accedervi durante questo periodo. Tutte le altre app, incluse quelle con permessi di lettura degli SMS, vedono il messaggio oscurato.
Non devi fare nulla. Non devi attivare nessuna impostazione. Funziona in automatico, in background.
Perché tre ore e non meno
La finestra di tre ore è calibrata per coprire i casi d'uso legittimi — ci sono situazioni in cui un OTP viene richiesto e poi usato con un ritardo (connessione lenta, processo di verifica lungo). Tre ore è abbastanza lungo da coprire quasi tutti i casi d'uso reali, abbastanza breve da limitare significativamente la finestra di attacco.
Ho verificato la gestione dei permessi SMS su un Galaxy S24 Ultra con Android 14 e One UI 8.0 — confrontando come le app accedono agli SMS rispetto alla documentazione Android 17. Su Android 14 attuale, un'app con permesso READ_SMS può accedere a tutti i messaggi inclusi gli OTP. Con Android 17 questo verrà bloccato automaticamente per 3 ore senza bisogno di revocare permessi manualmente. È una differenza comportamentale profonda che non richiede nessuna azione da parte dell'utente.
Se Verified Financial Calls verrà adottato davvero dalle banche italiane principali — Intesa Sanpaolo, UniCredit, BancoPosta — potrebbe diventare una delle protezioni anti-spoofing più concrete mai introdotte su Android in Italia. Ma tutto dipenderà dalla velocità con cui gli istituti aderiranno. E storicamente le banche italiane non sono veloci ad adottare nuovi protocolli tecnici.
Ultima verifica fonti effettuata il 20 maggio 2026 alle ore 18:40 italiane.
Verified Financial Calls — la fine delle truffe bancarie telefoniche?
Questa è la funzione che mi interessa di più dal punto di vista pratico — perché riguarda uno schema di truffa che colpisce migliaia di italiani ogni anno.
Lo schema è semplice. Ricevi una chiamata dal numero ufficiale della tua banca. La voce ti dice che c'è un problema. Che devi confermare le credenziali. Che devi autorizzare uno sblocco urgente. Il numero visibile è quello reale della banca. Non è un caso — lo spoofing permette di falsificarlo con strumenti facilmente reperibili online. Molte persone si fidano. Ovviamente. E vengono truffate.
Come funziona Verified Financial Calls
Con Android 17, quando ricevi una chiamata da un numero bancario, Android lavora in background per verificare l'autenticità. Se hai installato l'app ufficiale di quella banca e sei autenticato, il sistema chiede all'app di confermare che la chiamata provenga davvero dall'istituto. Se la verifica fallisce — cioè se la chiamata è falsa — Android può terminare la chiamata istantaneamente e avvertirti.
Il sistema funziona solo con le banche che hanno aderito al programma. I partner confermati finora includono Revolut, Itaú e Nubank. Per le banche italiane tradizionali — Intesa Sanpaolo, UniCredit, BancoPosta — non ci sono ancora conferme ufficiali sull'adesione.
Il limite principale
Verified Financial Calls richiede che la banca abbia integrato l'API di verifica nel backend e nell'app. Una banca che non ha ancora aderito non è coperta. Questo è il classico problema dei sistemi di sicurezza basati su partnership: sono efficaci solo quanto è ampia la rete di partecipanti.
💡 Ho verificato il 20 maggio 2026: nessuna delle principali banche italiane figurava ancora nell'elenco dei partner Verified Financial Calls ufficialmente confermati. La funzione potrebbe essere già disponibile tecnicamente con le prime banche partner, ma per chi ha conti con istituti italiani tradizionali la protezione effettiva arriverà nei mesi successivi.
| Tipo di truffa | Protetto da VFC | Note |
|---|---|---|
| Spoofing numero bancario | ✅ Sì | Se la banca ha aderito al programma |
| Chiamata da numero sconosciuto che si spaccia per banca | ❌ No | VFC verifica solo i numeri bancari registrati |
| Banca non aderente al programma | ❌ No | Dipende dalle partnership attive |
| SMS di phishing bancario | ❌ No | VFC riguarda le chiamate vocali, non gli SMS |
Analisi basata su documentazione ufficiale Google — maggio 2026
Crittografia post-quantistica — cos'è e perché serve adesso
Questa è probabilmente la parte più difficile da capire — ma anche quella più importante nel lungo periodo. Non fa notizia quanto un OTP nascosto, ma nel lungo periodo potrebbe essere la novità di sicurezza più importante introdotta da Google su Android negli ultimi anni.
La cosa più sorprendente leggendo i commit AOSP e il whitepaper di Google Quantum AI è che Google considera già realistico il rischio harvest-now-decrypt-later prima del 2030. Non è una previsione accademica vaga — è una scadenza interna con una data precisa: 2029. Il che significa che Google sta trattando questo come un problema urgente, non come fantascienza.
Il problema che non esiste ancora — ma esisterà
Tutta la crittografia che protegge i nostri dati oggi — dai messaggi WhatsApp ai bonifici bancari, dai file salvati nel cloud alle comunicazioni governative — si basa su problemi matematici che i computer tradizionali non riescono a risolvere in tempi ragionevoli. Un computer classico richiederebbe miliardi di anni per decifrare una chiave RSA-2048.
Un computer quantistico sufficientemente potente potrebbe farlo in ore. O minuti. Non esiste ancora — ma i progressi nel settore sono rapidi. Google ha già pubblicato un whitepaper che mostra come un algoritmo quantistico ottimizzato potrebbe rompere la crittografia a curva ellittica usata da Bitcoin con meno di 1.200 qubit logici.
Il rischio reale di oggi: harvest now, decrypt later
Il pericolo non è nel futuro — è nel presente. Attori malevoli stanno già raccogliendo oggi enormi quantità di dati crittografati, con l'intenzione di decifrarli quando i computer quantistici saranno abbastanza potenti. I tuoi dati bancari dell'anno scorso, le tue comunicazioni di oggi — se intercettati e conservati — potrebbero essere decifrati tra 5-10 anni.
È per questo che Google ha una deadline interna al 2029 per la migrazione completa verso algoritmi resistenti ai computer quantistici. Non perché i computer quantistici siano pronti oggi — ma perché la migrazione richiede anni, e bisogna iniziare prima che il problema diventi urgente.
Come funziona tecnicamente in Android 17
Android 17 non abbandona la crittografia classica — usa uno schema ibrido. Per le comunicazioni: combina X25519 (algoritmo classico) con ML-KEM (post-quantistico). Per Android Verified Boot: integra ML-DSA (Module-Lattice-Based Digital Signature Algorithm). Per la distribuzione delle app su Google Play: nuovi blocchi di firma ibridi con chiavi classiche + ML-DSA.
La scelta ibrida è deliberata: la crittografia post-quantistica è ancora relativamente nuova. Se si dovesse scoprire una vulnerabilità imprevista in ML-KEM, la protezione classica di X25519 resterebbe valida. È un doppio strato — il sistema non può mai essere meno sicuro di prima.
Microsoft aveva già introdotto algoritmi PQC su Windows Server 2025 e Windows 11 — quindi Google non è la prima. Ma Android 17 porta questa protezione su miliardi di dispositivi consumer — non solo server enterprise. È la prima volta che la crittografia post-quantistica raggiunge in modo sistemico il mercato di massa degli smartphone. La differenza di scala è enorme.
Disable 2G — protezione contro le celle false
Meno pubblicizzata delle altre tre, ma molto concreta per chi capisce come funzionano certi attacchi.
Ed è qui che nasce il problema.
Il 2G è vecchissimo — parliamo di una tecnologia degli anni Novanta. E soprattutto non verifica davvero se la torre a cui ti stai collegando sia autentica. Il telefono si connette a qualsiasi torre che si dichiari tale. Questo permette di creare celle 2G false — chiamate IMSI catcher o Stingray — che intercettano le comunicazioni di chi si trova nelle vicinanze.
Come funziona la protezione in Android 17
Android 17 introduce una funzione per disabilitare il 2G nelle aree in cui non è più attivo come infrastruttura di rete. Il dispositivo non si connette più al 2G a meno che non sia strettamente necessario — e nelle aree urbane italiane, dove il 4G e il 5G coprono quasi completamente, non lo è quasi mai.
Non è una disabilitazione totale e permanente — è una protezione intelligente che attiva il 2G solo quando non ci sono alternative. Riduce drasticamente la superficie di attacco per chi usa IMSI catcher in contesti urbani.
Cosa cambia per te — la risposta onesta
Dipende da quanto sei esposto alle minacce che queste funzioni affrontano.
Se hai un conto bancario su app Android
OTP nascosti e Verified Financial Calls ti riguardano direttamente. Le truffe via OTP e spoofing bancario sono tra le più diffuse in Italia. Questi strumenti non eliminano il rischio — ma lo riducono significativamente per chi ha dispositivi aggiornati e banche aderenti al programma.
Se usi Android per lavoro o per comunicazioni sensibili
La crittografia post-quantistica non cambia nulla oggi — ma cambia tutto se qualcuno ha già intercettato le tue comunicazioni con l'intenzione di decifrarle in futuro. Per un uso consumer ordinario, l'impatto è minimo a breve termine. Per chi gestisce dati aziendali sensibili, è una protezione infrastrutturale importante.
Se hai un dispositivo vecchio
Queste funzioni arrivano con Android 17 — previsto per la seconda metà del 2026. Se hai un dispositivo che non riceverà Android 17, non riceverai queste protezioni. È un incentivo in più ad avere un telefono con almeno 3-4 anni di aggiornamenti di sicurezza garantiti.
Tutte e tre le funzioni sono efficaci solo su dispositivi aggiornati ad Android 17. Il 42% degli utenti Android usa ancora versioni senza patch recenti. Per loro, queste protezioni semplicemente non arriveranno. La frammentazione di Android — il problema più vecchio dell'ecosistema — rimane il limite principale anche per le novità di sicurezza più avanzate.
Quali dispositivi riceveranno queste funzioni
| Dispositivo | Android 17 | Tempistica attesa |
|---|---|---|
| Google Pixel 9, 9 Pro, 9 XL | ✅ Sì | Secondi metà 2026 — primi a riceverlo |
| Samsung Galaxy S25, S24 | ✅ Sì | Con One UI 9.0 — fine 2026 |
| Samsung Galaxy S23, A55, A54 | ⚠️ Probabile | Da confermare — dipende dalla policy Samsung |
| Xiaomi, OPPO, OnePlus recenti | ⚠️ Probabile | 2027 per la maggior parte dei modelli |
| Dispositivi con Android 12 o precedente | ❌ No | Fuori dalla finestra di aggiornamento |
Stime basate sulle policy di aggiornamento dichiarate dai produttori — maggio 2026
- Documentazione ufficiale Google The Keyword Blog sulle novità sicurezza Android
- Bollettino sicurezza Android maggio 2026 su AOSP — commit ML-KEM e ML-DSA
- Partner attivi Verified Financial Calls — pagina ufficiale Google
- Implementazioni PQC in beta Android 17
Al momento nessuna banca italiana tradizionale risulta tra i partner ufficiali VFC confermati. Revolut, Itaú e Nubank sono i soli partner annunciati pubblicamente.
Perché questa novità conta soprattutto in Italia
Negli ultimi anni le truffe bancarie via spoofing telefonico sono aumentate enormemente anche in Italia. Molti utenti ricevono chiamate apparentemente provenienti dal numero reale della banca — soprattutto durante tentativi di phishing collegati a bonifici o accessi online. Secondo i report di CERT-AGID, le campagne di smishing e vishing bancario in Italia sono aumentate costantemente tra il 2023 e il 2026, con una crescita significativa dei casi di furto OTP collegati a bonifici e accessi bancari online. I brand bancari più imitati nelle campagne italiane includono Intesa Sanpaolo, UniCredit e PostePay — Fonte: CERT-AGID, bollettino 2025-2026.
Impostazioni sicurezza Android — Samsung Galaxy, One UI 8.0. Le funzioni di Android 17 arriveranno con One UI 9.0.
→ Controlla gli aggiornamenti Android — Impostazioni → Aggiornamenti software. Se hai Android 14 o 15, le patch mensili restano importanti anche prima di Android 17
→ Usa solo l'app ufficiale della tua banca — scaricata dal Play Store, non da APK esterni. È l'app destinataria che riceve gli OTP in modo sicuro
→ Evita APK da fonti esterne — i malware che rubano OTP entrano quasi sempre tramite app installate fuori dal Play Store
→ Verifica se la tua banca aderisce a VFC — al 20 maggio 2026 non esiste ancora una lista pubblica ufficiale Google. Controlla direttamente sul sito della tua banca o chiedi all'assistenza
→ Blocco 2G — su alcuni dispositivi Samsung è già disponibile in Impostazioni → Connessioni → Reti mobili → Tipo di rete preferito. Seleziona LTE/5G per evitare il fallback 2G
Come cambierà il comportamento delle app con Android 17 — nota per i curiosi
Android 17 usa un sistema di euristica per riconoscere automaticamente un OTP negli SMS: analizza la struttura del messaggio — lunghezza, formato numerico, presenza di parole chiave come "codice", "OTP", "verifica" — e lo classifica come sensibile. L'app destinataria viene identificata tramite il meccanismo di App Link: se l'SMS include un dominio associato a un'app installata, quella app viene riconosciuta come destinataria legittima.
Per gli sviluppatori di app che usano READ_SMS per fini legittimi — come app di backup SMS o app di messaggistica — Android 17 richiederà una dichiarazione esplicita dell'uso nel Play Store. Le app legacy che non aggiornano il target SDK continueranno a funzionare ma con accesso limitato durante la finestra di protezione OTP.
Cosa cambia per te — per profilo
| Profilo | Impatto reale | Azione consigliata |
|---|---|---|
| Utente consumer | OTP protetti, VFC quando la banca aderisce | Aggiorna Android appena disponibile, usa solo app ufficiali |
| Utente business | PQC protegge le comunicazioni aziendali sensibili | Verificare policy MDM compatibilità Android 17, valutare Pixel per rollout rapido |
| Dispositivo non aggiornabile | Nessuna di queste protezioni disponibile | Valutare sostituzione — o usare autenticazione app-based (no SMS) per i bonifici |
Se conosci qualcuno che usa Android per operazioni bancarie — questa è una notizia che vale la pena sapere.
👉 Android non aggiornato: cosa rischi nel 2026 →
👉 Android 17: tutte le novità annunciate →
👉 Tutte le guide Privacy su ScelgoIo →
❌ Non protegge le chiamate di banche che non hanno aderito a VFC
❌ Non blocca malware installati manualmente dall'utente con APK esterni
❌ Non aggiorna dispositivi fuori dalla finestra di supporto
❌ Non protegge dagli attacchi quantistici già oggi — la PQC è prevenzione futura
Domande frequenti — Android 17 sicurezza
Autore: Rocco Caiazza – Fondatore di ScelgoIo
