Questa App è Sicura da Scaricare? Una Checklist Pratica

I malware mobili crescono rapidamente — le app più pericolose sembrano innocue. Impara a valutare i permessi, smascherare le recensioni false e individuare i segnali d'allarme negli store in meno di 2 minuti.

TLDR Prima di installare qualsiasi app, controlla i permessi richiesti, verifica la reputazione dello sviluppatore e analizza le recensioni in cerca di segnali di autenticità. La maggior parte delle app rischiose supera un'occhiata distratta, ma crolla sotto un'analisi di 90 secondi. Questa guida è quell'analisi — nessuna competenza tecnica richiesta.

Il flusso di installazione delle app è progettato per sembrare senza sforzo. Tocca, accetta, fatto. Quella rimozione dell'attrito è una scelta di prodotto deliberata — ed è esattamente il motivo per cui le rilevazioni di malware mobile hanno raggiunto 3,4 milioni di pacchetti malevoli solo su Android nel primo trimestre del 2024, secondo l'unità di threat intelligence di Kaspersky. La maggior parte di quelle app non erano falsità grossolane e ovvie. Si spacciavano per utilità torcia, scanner QR, servizi VPN gratuiti. La differenza tra un download sicuro e un incubo di raccolta dati dipende spesso da pochi controlli specifici. Controlli che richiedono meno tempo della lettura di una notifica push.

La Schermata dei Permessi Non È Solo Burocrazia

La maggior parte delle persone tocca "Consenti tutto" e va avanti. Comprensibile — le finestre di dialogo sembrano caselli autostradali, qualcosa da superare per arrivare alla destinazione vera. Ma quella schermata è il segnale più onesto che un'app ti darà mai sulle sue reali intenzioni.

I permessi si dividono in livelli. Su Android 13+, i permessi "normali" (accesso a internet, controllo delle vibrazioni) vengono concessi automaticamente all'installazione. I permessi "pericolosi" — posizione, fotocamera, microfono, contatti, SMS, archiviazione — richiedono l'approvazione esplicita dell'utente e sono quelli che vale la pena esaminare con attenzione. La domanda da porsi è semplicissima: questa app ha bisogno di questo permesso per svolgere il suo lavoro?

Un'app meteo che chiede la posizione? Ha senso. La stessa app che chiede accesso alla lista contatti e al microfono? Non ne ha bisogno per dirti che pioverà.

testo alternativo che descrive uno schermo di smartphone con finestre di dialogo per la richiesta di permessi di un'app

Cosa Segnala Davvero Ogni Permesso

Permesso	Uso Legittimo	Uso Sospetto
Posizione Precisa	Mappe, meteo locale, rideshare	Torcia gratuita, calcolatrice base, sfondi
Contatti	Messaggistica, app caller ID	Filtro foto, sveglia, visualizzatore PDF
Microfono	Chiamate voce/video, ricerca vocale	Giochi senza funzionalità vocali, lettore notizie
Fotocamera	Scanner QR, videochiamate	Utilità solo testo, gestione budget
Lettura/Invio SMS	App 2FA, messaggistica dedicata	Quasi tutto ciò che non è un'app di messaggistica
Servizio di Accessibilità	Lettori schermo, gestori di password	Il permesso più abusato dagli spyware

Quest'ultima riga merita seria attenzione. Le app con accesso al Servizio di Accessibilità possono leggere tutto ciò che appare sullo schermo, intercettare i tasti premuti e interagire con altre app al posto tuo. Gli usi legittimi esistono — TalkBack, LastPass, Tasker. Ma i trojan bancari amano questo permesso più di qualsiasi altro. GoldPickaxe, un trojan documentato da Group-IB all'inizio del 2024, ha sfruttato le funzionalità di accessibilità su varianti sia Android che iOS per raccogliere dati di riconoscimento facciale e intercettare messaggi SMS. Se un'app che non hai deliberatamente cercato per scopi di accessibilità lo richiede, la risposta è no, punto.

Warning Se un'app richiede il permesso al Servizio di Accessibilità e non è un lettore di schermo, un gestore di password o uno strumento di automazione che hai cercato specificamente, negalo immediatamente. Questo permesso può esporre le tue credenziali bancarie, i codici 2FA e le password sullo schermo a chiunque abbia scritto quell'app.

Un'ultima cosa: su Android, le app sideloaded — installate al di fuori del Play Store tramite file APK scaricati direttamente — bypassano completamente la scansione pre-installazione di Google. Rimani sugli store ufficiali, a meno che tu non abbia un motivo specifico e ben documentato per fare altrimenti.

Come Capire Se Uno Sviluppatore È Davvero Legittimo

Il nome dello sviluppatore in un'inserzione sullo store è una delle prime cose da verificare. Ed è una delle più facili da falsificare.

Una truffa ricorrente funziona così: un malintenzionato clona il nome e l'icona di un'app popolare, registra un account sviluppatore con un nome leggermente diverso e pubblica l'impostore. Google ha rimosso 2,28 milioni di app che violavano le policy dal Play Store nel 2023 — quel dato viene direttamente dal loro rapporto annuale sulla trasparenza — e non include quelle passate inosservate. Le app clone sono una fetta reale e persistente del problema, soprattutto in ambito bancario, criptovalute e strumenti di utilità.

L'ho verificato una volta cercando l'app mobile di una grande banca regionale su un vecchio dispositivo Android. Il terzo risultato nel Play Store era un clone: icona quasi identica, account sviluppatore vecchio di tre settimane, un nome aziendale diverso ma plausibile. Aveva 4,8 stelle. Vedremo tra poco perché quel numero è meno rassicurante di quanto sembri.

Verificare la Credibilità dello Sviluppatore: Procedura Passo Dopo Passo

Cerca il nome dello sviluppatore in modo indipendente. Non affidarti solo all'inserzione nello store. Inserisci il nome dello sviluppatore su Google aggiungendo "truffa" o "malware". Un'azienda legittima avrà una presenza web reale al di là del suo profilo sullo store.
Controlla quando è stato creato l'account sviluppatore e quante app ha pubblicato. Account nuovi che pubblicano app con milioni di download dichiarati meritano un esame extra. Su Google Play, l'inserzione mostra le altre app dello sviluppatore — se questa è l'unica ed è apparsa il mese scorso, indaga prima di procedere.
Verifica il sito web esterno dello sviluppatore. L'inserzione dovrebbe collegarsi a un sito reale con informazioni di contatto funzionanti. Un link sviluppatore che porta a una pagina vuota, un dominio parcheggiato o un sito Wix gratuito di un paragrafo è un segnale d'allarme concreto.
Cerca l'app sul sito ufficiale dell'organizzazione. Le grandi app — la tua banca, Spotify, la tua compagnia assicurativa — la menzionano o la collegano direttamente dal loro sito principale. Inizia da lì, non dai risultati di ricerca dello store.
Controlla il dominio dell'email di supporto. Se il contatto di supporto è un indirizzo Gmail o Hotmail e l'app dichiara 10 milioni di download, quella discrepanza vale la pena di essere indagata. Le organizzazioni di quella dimensione usano email con dominio brandizzato.
Verifica un indirizzo fisico. Non tutti i piccoli sviluppatori hanno un indirizzo ufficio, ma le app che gestiscono pagamenti o dati sanitari sono spesso obbligate per legge a divulgarne uno. La sua assenza in quelle categorie è significativa.

Tip Per qualsiasi app legata a banche, sanità, criptovalute o pagamenti — inizia il processo di download dal sito ufficiale del servizio, non dalla barra di ricerca dello store. Il sito dell'organizzazione ti collegherà alla loro inserzione verificata e confermata dall'editore.

Le Recensioni False Si Sono Sofisticate

Una valutazione di 4,6 stelle con 50.000 recensioni non è, di per sé, prova di qualità o sicurezza. Va detto senza giri di parole. La manipolazione delle recensioni è un settore fiorente. Un'analisi del 2022 di ricercatori dell'Università di Baltimora ha stimato che le recensioni false hanno influenzato 152 miliardi di dollari di decisioni d'acquisto dei consumatori a livello globale quell'anno — gli store di app sono pienamente inclusi in quel numero.

I segnali si sono evoluti. I primi farm di recensioni false producevano testi palesemente robotici: brevi, generici, stranamente formali. Ora usano testi generati dall'IA con vocabolario variato, strutture di frasi miste e persino una distribuzione simulata di recensioni a 3 e 4 stelle sparse per creare l'apparenza di autenticità. Non puoi fidarti del numero aggregato. Devi leggere le recensioni vere.

testo alternativo che descrive un confronto affiancato di recensioni autentiche e false negli store di app

Segnali che le Recensioni Sono False

Schemi a raffica. Ordina le recensioni per più recenti e cerca un grande cluster di voci a 5 stelle pubblicate nell'arco di pochi giorni. La crescita organica non ha l'aspetto di un picco verticale.
Testo identico o quasi identico tra recensori diversi. "Quest'app ha cambiato la mia vita e funziona alla perfezione!" che appare letteralmente o parafrasata in modo identico su cinque account in 48 ore è output di un farm copia-incolla.
Recensori senza altre recensioni e senza foto profilo. Su Google Play, puoi toccare il nome di un recensore per vedere la sua cronologia. Account con una sola recensione, nessun avatar e un nome generico vengono frequentemente acquistati da mulini di recensioni.
Un numero di stelle sproporzionato rispetto alle recensioni scritte. Una valutazione di 4,9 stelle con 80.000 recensioni ma solo 14 risposte scritte visibili è un segnale d'allarme. I conti non tornano se a votare fossero stati utenti reali.
Recensioni che non descrivono le funzionalità reali dell'app. Un gestore di password che riceve recensioni che elogiano la sua "qualità video incredibile" o la "bellissima interfaccia per navigare" suggerisce che le recensioni siano state scritte da bot o revisori pagati che non hanno mai toccato il prodotto.

Ecco il consiglio controintuitivo: un'app con 4,2 stelle e 1.800 recensioni dettagliate e miste è spesso più affidabile di una con 4,9 stelle e 100.000 uniformemente sospette. Le medie più basse non significano sempre peggio. A volte significano che persone vere hanno lasciato opinioni oneste.

Info Strumenti come Fakespot (disponibile come estensione browser) possono analizzare i pattern delle recensioni su alcune piattaforme, anche se la copertura degli store di app mobili è limitata. Per i controlli manuali, ordinare le recensioni per "Più critiche" o valutazione più bassa fa spesso emergere le esperienze utente più genuine — gli utenti realmente insoddisfatti scrivono in modo specifico su cosa è andato storto.

I Segnali d'Allarme dello Store che Probabilmente Stai Ignorando

Oltre ai permessi e alle recensioni, l'inserzione stessa contiene informazioni — se la leggi invece di assorbirla passivamente.

Errori di ortografia e grammatica nella descrizione. Gli sviluppatori legittimi — soprattutto quelli di una certa dimensione — fanno rileggere l'inserzione prima della pubblicazione. Descrizioni frammentate con frasi goffe, sintassi da traduzione automatica o sostantivi con maiuscole casuali sono un tratto comune delle app create in operazioni di frode a basso costo.

La data "Ultimo aggiornamento". Un'app che dichiara di offrire protezione di sicurezza in tempo reale, dati finanziari live o scansione attiva di malware, ma che non viene aggiornata dal 2021, non sta mantenendo ciò che promette. Le app funzionanti vengono aggiornate. Controlla la data e confrontala con ciò che l'app afferma di fare.

Discrepanza tra download e numero di recensioni. Se un'app mostra 10 milioni di download ma solo 800 recensioni, il rapporto è inverosimile. Gli utenti reali che interagiscono regolarmente con un'app tendono a lasciare recensioni a un tasso organico coerente. Un divario enorme indica di solito numeri di download gonfiati, conteggi di installazione falsificati da bot, o entrambe le cose.

Qualità e accessibilità dell'informativa sulla privacy. Ogni app che raccoglie dati degli utenti è legalmente obbligata, ai sensi del GDPR (in vigore da maggio 2018 in Europa) e del CCPA (in vigore da gennaio 2020 in California), a pubblicare un'informativa sulla privacy. Un link mancante è già una violazione. Ma un'informativa che esiste eppure recita solo "potremmo condividere i tuoi dati con terze parti non specificate per scopi commerciali" è tecnicamente conforme pur essendo praticamente inutile. Leggi almeno i primi due paragrafi — di solito impari ciò che ti serve sapere in quel tempo.

Divulgazioni sugli acquisti in-app che appaiono solo dopo l'installazione. Se un'app è elencata come "Gratuita" ma ti chiede immediatamente un abbonamento da 49,99 €/settimana prima che tu abbia usato anche solo una funzione, si tratta di un dark pattern — e in alcuni casi, di una truffa. Controlla la riga "Acquisti in-app" nell'inserzione dello store prima di scaricare.

Google Play vs. Apple App Store: Quale È Davvero Più Sicuro?

L'assunzione predefinita è che l'App Store sia intrinsecamente più sicuro perché Apple esamina manualmente ogni invio di app prima che vada live. Quella convinzione non è sbagliata — ma è significativamente incompleta.

Fattore	Google Play	Apple App Store
Processo di revisione app	Automatizzato + revisione umana post-pubblicazione	Revisione umana pre-pubblicazione + automatizzata
Sideloading	Consentito con modifica delle impostazioni	Limitato su iOS 17+ solo tramite notarizzazione
Velocità di rimozione malware	Più lenta in molti casi documentati	Generalmente più rapida dopo la scoperta
Prevalenza di app clone	Più alta — barriera di pubblicazione più bassa	Più bassa, ma non zero
Divulgazioni sui dati	Sezione "Sicurezza dei dati" dichiarata dallo sviluppatore	"Privacy Nutrition Labels" auto-dichiarate
Scansione sul dispositivo	Play Protect scansiona ~125 miliardi di app/giorno	Nessun scanner continuo equivalente sul dispositivo
Incidenti storici notevoli	Agent Smith (2019, ~25M dispositivi), Goldoson (2023, 60+ app infette)	XcodeGhost (2015, 4.000+ app), GoldPickaxe (2024, iOS + Android)

La lettura controcorrente: gli utenti iOS tendono a essere meno vigili nel valutare le app proprio perché si fidano del processo di revisione di Apple. Quella fiducia mal riposta li rende un bersaglio più morbido per una categoria specifica di attacchi — app che si comportano normalmente per settimane o mesi dopo il lancio, per poi ricevere un aggiornamento di configurazione lato server che attiva il comportamento malevolo una volta superata la finestra di revisione iniziale. I revisori di Apple possono valutare solo ciò che l'app fa al momento dell'invio.

Google Play Protect, nel frattempo, esegue una scansione continua sul dispositivo anche dopo che un'app è stata installata e approvata. Quel monitoraggio continuo è una differenza architetturale significativa nella protezione quotidiana, anche se la barriera iniziale alla pubblicazione su Android è dimostrabilmente più bassa.

Nessuna piattaforma è una garanzia. Sono dossi stradali, non muri.

testo alternativo che descrive una vista a schermo diviso della schermata principale di Google Play e Apple App Store

Checklist Pre-Installazione Rapida

Esegui questa procedura prima di installare qualsiasi app che gestirà dati sensibili — bancari, cartelle cliniche, messaggistica, password o qualsiasi cosa richieda credenziali di accesso.

Cerca il nome dell'app più "malware" o "truffa" — trenta secondi di verifica preventiva che la maggior parte delle persone salta completamente.
Verifica che il nome dello sviluppatore corrisponda all'organizzazione che ti aspetti, controllando al di fuori dello store.
Conferma che lo sviluppatore abbia altre app pubblicate e un account più vecchio di qualche settimana.
Leggi l'elenco dei permessi prima di toccare scarica — su Android, è visibile nell'inserzione dello store sotto "Permessi dell'app" senza installare nulla.
Scorri le recensioni a 1 stella cercando schemi ricorrenti legati a violazioni della privacy, addebiti imprevisti o accuse di furto di dati.
Controlla la data "Ultimo aggiornamento" — qualsiasi cosa legata alla sicurezza non aggiornata da 18+ mesi comporta un rischio elevato.
Segui il link all'informativa sulla privacy e leggi il paragrafo iniziale — verifica se si carica e se nomina specifici partner sui dati.
Controlla il rapporto download/recensioni — una nuova app con 5 milioni di download e 150 recensioni ha quasi certamente numeri gonfiati.
Per app finanziarie o sanitarie: inizia dal sito ufficiale dell'organizzazione, non dai risultati di ricerca dello store.
Dopo l'installazione, rivedi i permessi nelle impostazioni di sistema del dispositivo e revoca tutto ciò che non svolge una funzione chiara — su Android, vai su Impostazioni → Privacy → Gestione permessi; su iOS, Impostazioni → Privacy e sicurezza.

Tip Su Android, Impostazioni → Privacy → Gestione permessi mostra tutte le app organizzate per tipo di permesso. Puoi vedere a colpo d'occhio quali app hanno accesso alla fotocamera o al microfono e revocare singoli permessi senza disinstallare. Fai questo controllo sulle app che già hai — nella mia esperienza, la maggior parte delle persone trova almeno una sorpresa.

Fonti e Approfondimenti

Kaspersky Threat Intelligence Portal — Pubblica rapporti trimestrali sulle minacce mobili con conteggi di rilevamento reali organizzati per piattaforma, area geografica e famiglia di malware. Fonte primaria per le statistiche attuali sul volume di malware Android e i dati di tendenza.

Google Play Store Transparency Report — Analisi annuale delle app rimosse da Google Play, motivi di rimozione per categoria e statistiche aggregate di scansione di Play Protect. Fonte primaria, direttamente da Google.

Apple Platform Security Guide — Documentazione di Apple sul processo di revisione dell'App Store, i requisiti di notarizzazione e l'architettura di sicurezza sul dispositivo. Utile per capire esattamente cosa copre la revisione di Apple al momento dell'invio rispetto al runtime.

FTC Consumer Information (consumer.ftc.gov) — Guida pratica su truffe di app mobili, addebiti di abbonamento non autorizzati e come segnalare app fraudolente. Scritta per il consumatore generale, non per un pubblico tecnico.

Zimperium Global Mobile Threat Report — Analisi annuale del settore sulle minacce specifiche ai dispositivi mobili, tassi di targeting del phishing e tendenze delle vulnerabilità su iOS e Android. Pubblicato da un'azienda di sicurezza mobile, quindi leggilo con quel contesto commerciale in mente, ma i dati sottostanti sono costantemente ben citati.