Android bloccherà il sideloading? Cosa cambia davvero dal 2026

Aggiornamento importante — Android 2026 · Aggiornato: 22 giugno 2026

Date e dettagli soggetti a modifiche da parte di Google.

Dal 30 settembre 2026 Google inizia a richiedere la verifica dell'identità degli sviluppatori per le app distribuite fuori dal Play Store. Se usi solo il Play Store, non cambia nulla. Se installi APK da fonti esterne, le app di sviluppatori non registrati potranno richiedere un percorso avanzato con controlli aggiuntivi. Se invece sviluppi app per test, studio o hobby, Google prevede un account gratuito a distribuzione limitata fino a 20 dispositivi autorizzati. In Italia la misura arriva nel 2027, senza data ancora confermata.

Fonte della notizia

Google ha annunciato il piano di verifica sviluppatori nell'agosto 2025, con calendario di rollout dettagliato a marzo 2026. La fase di accesso anticipato per gli sviluppatori è già attiva su Android Developer Console.

Trasparenza

Questo articolo è informativo: non contiene link affiliati. L'obiettivo è spiegare con chiarezza cosa cambia, senza allarmismo e senza minimizzare.

In breve

Google introduce la verifica obbligatoria dell'identità per gli sviluppatori che distribuiscono app fuori dal Play Store sui dispositivi Android certificati. Il sideloading non viene eliminato, ma le app non registrate richiederanno percorsi alternativi come ADB o il nuovo Advanced Flow. Il rollout parte il 30 settembre 2026 in Brasile, Indonesia, Singapore e Thailandia. L'espansione globale è prevista dal 2027, Italia inclusa, ma senza una data nazionale ufficiale già comunicata.

Primo blocco

30 SET 2026 Brasile, Indonesia, Singapore, Thailandia. Rollout globale nel 2027.

Attesa forzata

24 ore Per installare un'app non verificata tramite "flusso avanzato".

Limite hobbisti

20 Dispositivi massimi per gli account gratuiti a distribuzione limitata, pensati per studenti, hobbisti e test interni.

Per quasi 20 anni installare un APK su Android è stata una questione di due tocchi: attivare "origini sconosciute" e via. Dal 30 settembre 2026 questo non sarà più vero ovunque, e la direzione presa da Google riguarda anche chi non installerà mai un APK in vita sua — perché cambia cosa significa "Android aperto".

✍️ Rocco Caiazza — Fondatore di ScelgoIo | Giugno 2026

Android sideloading 2026: cosa cambia davvero con la verifica sviluppatori

Gestisco da anni un negozio dove vendiamo anche smartphone Android, e una delle domande più frequenti dei clienti più esperti è sempre la stessa: "posso installare quello che voglio o no?" Per due decenni la risposta è stata semplicemente sì. Con l'annuncio della verifica sviluppatori (developer verification), quella risposta sta cambiando — non per tutti subito, ma per tutti, prima o poi.

In questa guida spiego cosa cambia esattamente, quando, perché, e cosa puoi fare se usi regolarmente app installate fuori dal Play Store — store alternativi come F-Droid o Aurora Store, APK da siti di sviluppatori indipendenti, o porting come la Google Camera modificata per smartphone non Pixel.

Indice rapido

• Cosa cambia con la verifica sviluppatori
• Quando arriva in Italia
• Chi viene colpito davvero
• Domande frequenti

📌 Usi solo il Play Store? Niente cambia. Scarichi APK da fonti esterne? Preparati a controlli aggiuntivi, possibile attesa e nuove verifiche per gli sviluppatori.

01

Cos'è cambiato e perché Google lo fa

Il cambiamento si chiama developer verification (verifica sviluppatore). In sostanza, ogni app distribuita fuori dal Play Store dovrà essere collegata a un'identità reale e verificata: nome legale, indirizzo, email, numero di telefono e, in alcuni casi, un documento ufficiale. Le aziende devono fornire anche un identificativo univoco (DUNS) e dimostrare la proprietà del proprio sito tramite Google Search Console.

Per i tecnici: come funziona la verifica a livello di firma

Lo sviluppatore deve registrare il package name dell'app e dimostrarne la proprietà con un APK firmato dalla propria chiave privata. Questo crea un legame diretto tra l'identità dello sviluppatore e ogni singola app pubblicata — anche fuori da Google Play. La chiave privata resta sempre in possesso dello sviluppatore: Google verifica la firma, non richiede di consegnarla.

In parole semplici

Google stessa paragona questa misura a un controllo documenti in aeroporto: non viene esaminato il contenuto del bagaglio (il codice dell'app), ma solo l'identità di chi lo porta. Uno sviluppatore verificato può comunque pubblicare codice con bug o app invasive — la verifica non garantisce la qualità, solo la tracciabilità.

Il motivo dichiarato: la sicurezza

Google giustifica la misura con dati specifici. Secondo un'analisi pubblicata da Google sul blog ufficiale Android Developers, il sideload genera oltre 90 volte più malware rispetto al Play Store. Inoltre, Google afferma che oltre il 98% del malware mobile globale colpisce dispositivi Android, e gran parte di questi attacchi sfrutta proprio APK scaricati da fonti non verificate, spesso tramite messaggi di phishing o false notifiche bancarie.

Le truffe più comuni seguono uno schema preciso: un messaggio o una telefonata convince la vittima a installare un'app che si finge un servizio legittimo (banca, corriere, supporto tecnico), ma che in realtà ruba credenziali, intercetta notifiche o abusa dei permessi di accessibilità per controllare il dispositivo. Legare ogni app a un'identità reale rende più costoso e rischioso per i criminali ripetere questo schema, perché diventa più facile risalire a chi ha pubblicato l'app malevola.

02

Cosa cambia davvero per chi usa Android

Qui sta il punto che la maggior parte degli articoli allarmistici non spiega bene: il livello di impatto dipende da cosa installi. Non tutte le app fuori dal Play Store sono trattate allo stesso modo.

Se usi solo Play Store: cambia poco o nulla

Per la stragrande maggioranza degli utenti, che installa tutto dal Play Store, la quotidianità non cambia in modo percepibile. Le app di grandi sviluppatori già verificati — Netflix, WhatsApp, Spotify — continuano a installarsi normalmente anche se distribuite fuori da Google Play, perché questi sviluppatori sono già identificati.

Se installi APK occasionalmente: il "flusso avanzato"

Se hai bisogno di installare un'app da uno sviluppatore non verificato, Google ha previsto una via d'uscita chiamata Advanced Flow (flusso avanzato), disponibile da agosto 2026. Funziona così:

1

Attiva modalità sviluppatore Da cercare e attivare nelle impostazioni di sistema. Durata stimata: circa 2 minuti.

2

Conferma consapevolezza 1-2 schermate di avviso che richiedono di confermare di agire in autonomia.

3

Attendi 24 ore Periodo di attesa previsto da Google prima che l'installazione possa procedere.

4

Scegli permesso temporaneo o permanente Autorizzazione valida 7 giorni oppure definitiva, con ulteriori conferme.

È importante notare un dettaglio tecnico: questa procedura è una tantum, non va ripetuta per ogni singola app una volta completata la prima volta. Google giustifica l'attesa di 24 ore come misura specificamente anti-truffa: serve a interrompere lo schema in cui un malintenzionato guida la vittima al telefono, in tempo reale, facendole superare ogni avviso di sicurezza sotto pressione psicologica.

Se sei sviluppatore indipendente, studente o hobbista

Questo è uno dei punti più discussi. Chi sviluppa app senza scopo commerciale, o le distribuisce gratuitamente tramite il proprio sito o GitHub, deve comunque registrarsi su Android Developer Console — una piattaforma distinta dalla Play Console, pensata apposta per chi non pubblica sul Play Store.

Per la distribuzione completa, gli sviluppatori devono verificare la propria identità e registrare i package name delle app presso Android Developer Console. Chi pubblica già su Google Play potrebbe avere completato parte della verifica tramite Play Console; chi distribuisce solo fuori dal Play Store può usare Android Developer Console, dove Google indica una quota di 25 dollari (USD) per l'account a distribuzione completa, destinata a coprire i costi amministrativi. Per studenti e hobbisti, Google offre invece un account gratuito a distribuzione limitata: consente di condividere l'app con un massimo di 20 dispositivi che gli utenti finali hanno autorizzato esplicitamente, senza costo e senza obbligo di documento d'identità. È un compromesso pensato per progetti scolastici, test interni o circoli ristretti di utenti — non per chi vuole distribuire un'app a un pubblico ampio senza passare dal Play Store.

Il punto controverso: progetti open source storici come F-Droid distribuiscono app compilandole con un sistema diverso dalla firma diretta dello sviluppatore. Le nuove regole non sono pienamente compatibili con questo modello, e la comunità open source ha espresso preoccupazioni concrete sul futuro di questo tipo di distribuzione decentralizzata.

03

Dove e quando arriva il blocco — il calendario reale

Uno degli errori più comuni che ho letto in giro è presentare questa misura come se scattasse ovunque nello stesso momento. Non è così: il rollout è scaglionato su più fasi e più anni.

Data	Cosa succede	Chi è coinvolto
Ottobre 2025	Apertura programma di accesso anticipato	Sviluppatori che vogliono testare in anticipo
Marzo 2026	Verifica disponibile per tutti gli sviluppatori	Tutti gli sviluppatori, registrazione volontaria
Agosto 2026	Debutto del flusso avanzato (Advanced Flow)	Utenti che vogliono installare app non verificate
30 settembre 2026	Primi blocchi attivi sui dispositivi certificati	Brasile, Indonesia, Singapore, Thailandia
2027	Espansione globale del blocco	Resto del mondo, inclusa l'Italia (data non confermata)

Calendario basato sugli annunci ufficiali Google e sulle analisi tecniche pubblicate da testate specializzate. Le date possono essere soggette a modifiche da parte di Google.

Per chi si chiede perché si parta da questi quattro Paesi specifici: Brasile, Indonesia, Singapore e Thailandia sono indicati da Google come i mercati con il tasso più alto di frodi tramite sideload. È una scelta che segue i dati sul danno reale, non un test casuale.

L'Italia non è tra i primi — ma arriverà

Per chi vive in Italia, la buona notizia (relativa) è che la misura non arriva il 30 settembre 2026. Google ha confermato che l'espansione globale, che include il nostro Paese, è prevista nel corso del 2027, senza una data ufficiale ancora comunicata. Questo lascia tempo a sviluppatori e utenti italiani per adattarsi, ma non significa che la misura non arriverà.

04

Chi viene colpito davvero da questa misura

Al di là delle dichiarazioni ufficiali su sicurezza e anti-truffa, ci sono categorie specifiche di utenti che sentiranno il cambiamento in modo molto più diretto di altre.

Modder e app modificate

Progetti di modding e app modificate, spesso distribuiti fuori dai canali ufficiali, potrebbero essere tra i più esposti alle nuove regole, soprattutto se gli sviluppatori non intendono registrarsi o collegare l'app a un'identità verificata.

Chi installa porting GCam

Un caso molto concreto: chi compra uno smartphone Xiaomi o Samsung e installa una versione modificata della Google Camera estratta da un Pixel, per migliorare la qualità foto. Questo tipo di app non passa quasi mai dal Play Store ed è esattamente il tipo di sideload che viene reso più macchinoso.

Sviluppatori open source

F-Droid e Aurora Store sono due casi distinti. F-Droid compila e firma le app con un proprio sistema, diverso dalla firma diretta dello sviluppatore originale — un modello poco compatibile con le nuove regole. Aurora Store, che funge da client alternativo al Play Store, dipende invece dalle app già presenti su Google Play e ne è meno toccato. Per chi pubblica su F-Droid, le soluzioni discusse dalla comunità includono reproducible builds verificabili e repository con firma propria registrata su Developer Console.

Aziende con app interne

Le aziende che distribuiscono app gestionali interne ai propri dipendenti, fuori dal Play Store, dovranno fornire numero DUNS e verificare il proprio sito tramite Search Console — un livello di burocrazia che prima non esisteva per uso strettamente interno.

Cosa non viene toccato

È altrettanto importante dire cosa non cambia. L'installazione tramite ADB (Android Debug Bridge) — lo strumento ufficiale che sviluppatori e utenti avanzati usano collegando il telefono al computer — resta disponibile senza il vincolo della verifica sviluppatori. Bisogna però attivare le Opzioni sviluppatore e il debug USB, operazioni che richiedono consapevolezza tecnica e non avvengono mai per errore o per pressione di terzi durante una telefonata.

Cosa significa per chi vende o supporta dispositivi Android

Per chi, come me, lavora a contatto con clienti che acquistano smartphone Android, la misura ha un risvolto pratico da conoscere. I dispositivi devono essere certificati Google Play Protect per ricevere i Google Play Services con la verifica sviluppatori attiva — un dettaglio rilevante per chi vende dispositivi di marche meno note o reimportati, dove la certificazione non sempre è garantita. Anche il supporto clienti cambia: chi installa app gestionali interne per un'azienda dovrà capire se ricade nella distribuzione completa o in quella limitata, prima di trovarsi con dispositivi bloccati durante un aggiornamento.

05

Il dibattito: sicurezza reale o stretta verso il modello Apple?

Qui la questione si fa più complessa, e mi sembra giusto presentare entrambi i lati senza schierarmi a metà articolo.

Il lato della sicurezza è concreto. I numeri che Google cita — malware sideload oltre 90 volte più frequente secondo il blog ufficiale Android Developers, oltre il 98% del malware mobile concentrato su Android — descrivono un problema reale che chiunque lavori a contatto con clienti meno esperti ha visto succedere: persone convinte a installare app finte tramite SMS, telefonate o falsi messaggi bancari, con conseguenze concrete sui loro conti e dati personali.

Il lato della libertà perduta è altrettanto concreto. Android si è sempre differenziato da iOS esattamente per questa apertura: la possibilità di installare ciò che si vuole, da dove si vuole, senza l'approvazione di un singolo gatekeeper. Le nuove regole non sono inserite nel codice open source di Android (AOSP), ma nei Google Play Services — l'infrastruttura proprietaria di Google. Questo significa che il controllo non risiede nel sistema operativo aperto, ma in un livello che Google possiede e può modificare quando vuole, anche inasprendo ulteriormente le regole in futuro senza che gli utenti abbiano voce in capitolo.

La mia lettura: la motivazione di sicurezza è autentica, non è solo un pretesto. Ma il posizionamento tecnico della misura — nei Play Services proprietari, non nell'AOSP open source — dà a Google un potere che va oltre la singola misura annunciata oggi. È quel dettaglio, più della verifica in sé, che lascia perplessa la comunità più tecnica.

Quick checklist — 4 domande per capire se ti riguarda

Usi solo Play Store? Niente da fare, la misura non ti tocca.

Scarichi APK da fuori? Controlla se lo sviluppatore è già verificato.

Sei sviluppatore hobbista? Valuta di registrarti ora o preparati al limite di 20 dispositivi.

Sei un power user? ADB resta l'alternativa: attiva il debug USB solo quando serve davvero.

06

Cosa fare adesso, in pratica

Se sei un utente normale che installa tutto dal Play Store, non devi fare nulla: la misura non ti riguarda nella pratica quotidiana.

Se invece usi regolarmente APK da fonti esterne, store alternativi o porting non ufficiali, ecco i passi concreti da considerare:

1

Verifica le tue fonti abituali Controlla se gli sviluppatori delle app che usi (F-Droid, Aurora Store, siti diretti) si sono già registrati su Android Developer Console. Se lo sono, anche gli aggiornamenti futuri continueranno a installarsi senza intoppi.

2

Non aspettare l'ultimo momento Se vivi in Italia, il 2027 sembra lontano, ma se sei sviluppatore o gestisci una community di utenti, registrarsi in anticipo evita problemi quando la misura diventa attiva.

3

Valuta ADB se sei utente avanzato Se hai competenze tecniche, l'installazione tramite ADB resta una via che non richiede la verifica sviluppatori.

4

Non farti prendere dal panico Il sideloading non viene eliminato. Diventa più macchinoso per le app non verificate, ma resta possibile — con più passaggi e più attesa.

📚 Fonti ufficiali per approfondire

• Android Developer Verification — pagina ufficiale Google con guida completa
• Annuncio rollout marzo 2026 — blog ufficiale Android Developers
• Guida Android Developer Console — registrazione e verifica identità
• Calendario ufficiale del rollout — date e Paesi coinvolti

Per la posizione della comunità F-Droid sul tema della firma, si può consultare il forum e i canali ufficiali del progetto.

07

Domande frequenti

Il sideloading viene eliminato del tutto su Android? +

No. Google ha chiarito più volte che la possibilità di installare app fuori dal Play Store resta. Cambia il processo: le app da sviluppatori non verificati richiedono il superamento del "flusso avanzato", con attesa di 24 ore e conferme multiple. Le app da sviluppatori già verificati continuano a installarsi senza frizioni aggiuntive.

Quando arriva il blocco in Italia? +

Non c'è ancora una data ufficiale. Google ha confermato che l'Italia rientra nell'espansione globale prevista per il 2027, dopo il primo rollout di settembre 2026 limitato a Brasile, Indonesia, Singapore e Thailandia. La data precisa per l'Italia non è stata ancora comunicata.

Devo registrarmi se sviluppo app solo per hobby? +

Se distribuisci l'app fuori dal Play Store, dovrai usare Android Developer Console. Per studenti e hobbisti Google prevede un account gratuito a distribuzione limitata, senza fee e senza documento d'identità obbligatorio, con installazione fino a 20 dispositivi autorizzati. Per distribuire a un pubblico più ampio, invece, serve la registrazione completa dello sviluppatore, che prevede una quota di 25 dollari (USD).

L'installazione tramite ADB è colpita da queste regole? +

No, l'installazione tramite ADB (Android Debug Bridge) resta disponibile senza il vincolo della verifica sviluppatori. Richiede però di attivare manualmente le Opzioni sviluppatore e il debug USB sul dispositivo — un'operazione che richiede competenza tecnica e che non avviene mai per errore.

F-Droid e gli store alternativi continueranno a funzionare? +

In linea di principio sì, ma con complicazioni. Il modello di distribuzione di F-Droid non è pienamente compatibile con le nuove regole, perché le app vengono compilate e distribuite con un sistema diverso dalla firma diretta dello sviluppatore. La comunità open source ha espresso preoccupazioni concrete su come questo evolverà nella pratica.

Gli aggiornamenti delle app sideloadate funzionano ancora dopo la verifica? +

Sì, se l'app è collegata a uno sviluppatore verificato gli aggiornamenti continuano a installarsi normalmente, perché il sistema riconosce la firma già registrata. Il problema si presenta solo se lo sviluppatore non si è mai registrato: in quel caso ogni nuova versione dell'app può richiedere lo stesso percorso di verifica dell'installazione iniziale.

Cosa succede se uno sviluppatore cambia chiave di firma? +

Cambiare chiave di firma rompe il legame tra l'app esistente e quella nuova: il sistema la tratta come un'app diversa, non come un aggiornamento. Per questo gli sviluppatori sono incentivati a conservare la propria chiave privata con cura — perderla significa dover far reinstallare l'app da zero a tutti gli utenti, con tutti i passaggi di verifica richiesti per una nuova app.

Come faccio a sapere se uno sviluppatore è registrato? +

Al momento non esiste ancora uno strumento pubblico semplice per verificarlo prima dell'installazione: la verifica avviene direttamente sul dispositivo durante il processo di installazione, tramite il componente Android Developer Verifier. Se l'app appartiene a uno sviluppatore registrato, l'installazione procede senza il flusso avanzato; in caso contrario, il sistema lo segnala in quel momento.

Cosa succede ai dati e ai backup quando si cambia chiave di firma? +

Se la chiave cambia, il sistema non riconosce la nuova app come aggiornamento di quella vecchia, ma come un'app diversa. In pratica gli utenti potrebbero dover reinstallare l'app da zero e, se lo sviluppatore non ha previsto un meccanismo di migrazione dati, anche ripristinare manualmente impostazioni e contenuti salvati.

Rocco Caiazza Fondatore di ScelgoIo · Giugno 2026
Chi è Rocco →