Google ha deciso di rivedere parzialmente la sua controversa policy sulla verifica obbligatoria dell'identità per gli sviluppatori Android, una misura che aveva scatenato forti critiche nella community open source e tra i sostenitori della libertà di sideloading. La società di Mountain View introdurrà un percorso dedicato agli "utenti esperti" che permetterà di installare applicazioni da sviluppatori non verificati, pur mantenendo l'impianto generale del sistema di verifica che entrerà in vigore tra il 2026 e il 2027. Si tratta di un significativo cambio di rotta rispetto all'annuncio originale di agosto 2024, che aveva fatto temere la fine dell'installazione libera di APK al di fuori del Play Store.
La policy originale prevedeva requisiti stringenti per tutti gli sviluppatori Android, indipendentemente dal fatto che distribuissero le loro app tramite il Google Play Store o attraverso repository alternativi e installazioni dirette. Il processo di verifica richiede agli sviluppatori di fornire nome legale, indirizzo, email e numero di telefono, con l'obbligo in alcuni casi di caricare documenti d'identità governativi. Una misura che Google giustifica con la necessità di contrastare app malevole e scam, ma che aveva sollevato preoccupazioni immediate tra progetti come F-Droid e iniziative come Keep Android Open.
L'ecosistema open source Android si era mobilitato contro questa decisione, argomentando che la verifica obbligatoria avrebbe di fatto eliminato la possibilità per individui e piccoli sviluppatori indipendenti di distribuire software liberamente. F-Droid, uno dei repository alternativi più utilizzati per app open source, aveva denunciato come la misura "ponesse fine alla capacità degli utenti di scegliere quale software eseguire sui dispositivi che possiedono", un principio fondamentale della filosofia Android.
La nuova soluzione proposta da Google prevede un "advanced flow" specificamente progettato per utenti con competenze tecniche avanzate. Questo percorso permetterà di installare software non verificato, ma includerà una serie di salvaguardie contro situazioni di coercizione o tentativi di scam, insieme a "avvisi chiari per assicurare che gli utenti comprendano pienamente i rischi coinvolti". L'implementazione tecnica di questo sistema non è ancora stata dettagliata, ma rappresenta una concessione importante rispetto alla rigidità iniziale della policy.
Google sta inoltre sviluppando un nuovo tipo di account sviluppatore dedicato a studenti e hobbysti, che non dovranno superare i requisiti completi di verifica ma potranno distribuire app solo su un numero limitato di dispositivi. Questa categoria mira a preservare l'aspetto educativo e sperimentale dell'ecosistema Android, permettendo a chi inizia a programmare di testare e condividere le proprie creazioni senza gli oneri amministrativi e di privacy richiesti dalla verifica completa.
Sameer Samat, presidente di Android, ha spiegato la logica dietro la policy su X: "Mantenere gli utenti al sicuro su Android è la nostra priorità assoluta. Gli scammer si affidano all'anonimato per scalare i loro attacchi. Attualmente, se blocchiamo un'app dannosa, possono semplicemente crearne una nuova e riprovare. La verifica ferma questo ciclo di 'whack-a-mole' richiedendo un'identità reale, rendendo molto più difficile e costoso distribuire ripetutamente app dannose". Samat ha riconosciuto che il feedback ricevuto dalla community è stato determinante per le modifiche: "Gli studenti hanno bisogno di un percorso per imparare, e gli utenti, specialmente i power user, vogliono assumersi più rischi in ciò che installano".
Il rollout della verifica obbligatoria seguirà una timeline graduata: 2026 per gli sviluppatori in Brasile, Indonesia, Singapore e Thailandia, con espansione globale prevista per il 2027. L'early access al sistema di verifica è stato lanciato nelle scorse ore, permettendo agli sviluppatori di iniziare volontariamente il processo. Per il mercato europeo, la tempistica globale dovrebbe applicarsi nel 2027, anche se le normative del Digital Markets Act potrebbero influenzare l'implementazione locale.
