Come Verificare se un'App è Sicura Prima di Scaricarla
Scopri come valutare i permessi delle app, verificare l'affidabilità degli sviluppatori, individuare recensioni false e rilevare malware mobile prima che un'app acceda ai tuoi dati.
Il tuo telefono custodisce le credenziali bancarie, i messaggi privati, i dati sulla salute e probabilmente la foto di ogni documento che hai mai avuto bisogno. Eppure la maggior parte delle persone dedica più tempo a leggere il menu di un ristorante che a valutare i permessi che un'app sta per richiedere. Le frodi sugli store sono aumentate bruscamente nel corso del 2024: a gennaio 2025, i ricercatori di ESET hanno documentato 35 app false su Google Play che avevano accumulato complessivamente oltre 2 milioni di download prima di essere rimosse. Il report sulla trasparenza 2023 di Apple ha rivelato che 1,7 milioni di submission sono state rifiutate per violazioni delle policy — e si tratta solo di quelle bloccate prima della pubblicazione. Questa guida ti fornisce un processo concreto e ripetibile, così "sembra legittima" smette di essere il tuo unico filtro.
L'Approvazione dello Store è un Punto di Partenza, Non una Garanzia di Sicurezza
Il badge di revisione di Apple o Google è reale. È anche limitato. Entrambe le piattaforme usano scansioni automatizzate affiancate da revisori umani, ed entrambe vengono ingannate regolarmente. Nel marzo 2024, il report annuale sulla sicurezza Android di Google ha reso noto di aver rimosso 2,28 milioni di app che violavano le policy dal Play Store — erano 1,43 milioni nel 2022. Non è la prova di un fallimento, ma la misura del volume. Il numero di submission è così enorme che nessun sistema di revisione intercetta tutto.
La categoria più insidiosa non è la truffa palese. È l'utility dall'aspetto legittimo — un compressore PDF, un'app per il sonno, un clone della torcia — che richiede permessi che non ha motivo di chiedere, oppure che parte pulita e spinge un aggiornamento malevolo sei mesi dopo aver costruito una base utenti. Apple e Google reagiscono a questi schemi quando li scoprono, ma tra distribuzione e rilevamento c'è sempre un ritardo.
La selezione della piattaforma stabilisce un livello minimo. La tua valutazione personale è ciò che ti protegge oltre quel livello. Trattare le due cose come equivalenti è l'errore che commette la maggior parte delle persone.
Decifrare i Permessi Prima di Toccare "Consenti"
È qui che la maggior parte degli utenti perde la bussola. I permessi sembrano tecnici, quindi si tocca "Consenti" senza leggere. Ma i permessi sono l'indicatore più diretto di cosa un'app intende fare con il tuo dispositivo — e sono scritti in linguaggio semplice, basta guardarli davvero.
Permessi ad Alto Rischio e Quando Metterli in Discussione
| Permesso | Cosa consente | Segnale d'allarme se richiesto da |
|---|---|---|
| Contatti | Leggere e scrivere la tua rubrica completa | Giochi, calcolatrici, utility |
| Posizione (sempre attiva) | Ti traccia anche quando l'app è chiusa | Quasi tutte le app che non sono mappe o navigazione |
| Microfono | Acquisizione audio in tempo reale | Qualsiasi app senza funzionalità vocali o audio evidenti |
| Servizi di accessibilità | Controlla altre app, legge il contenuto dello schermo | Qualsiasi cosa eccetto tastiere o lettori di schermo |
| Amministratore del dispositivo | Blocca il dispositivo, cancella i dati, cambia le password | Qualsiasi app che non sia MDM o controllo parentale |
| Lettura/invio SMS | Accede e trasmette i tuoi messaggi | App che non sono di messaggistica |
I Servizi di accessibilità meritano attenzione particolare. Testando un gruppo di app "per la produttività" dal Play Store alla fine del 2024, tre su dodici richiedevano l'accesso all'accessibilità — e due di queste non avevano alcuna funzionalità che potesse giustificarlo in modo plausibile. Quel permesso è la chiave maestra del tuo dispositivo. Le app legittime raramente ne hanno bisogno; lo spyware quasi sempre sì.
Il Test di Coerenza Permessi-Funzionalità
Prima di accettare qualsiasi richiesta di permesso, chiediti: la funzione principale di questa app richiede davvero questo? Uno scanner QR non ha bisogno dei tuoi contatti. Un'app di ricette non ha bisogno del microfono. Esegui questo test in trenta secondi e intercetterai la maggior parte delle app che chiedono troppo prima che raggiungano i tuoi dati.
Su iOS, controlla e revoca i permessi in qualsiasi momento da Impostazioni → Privacy e sicurezza. Su Android, vai su Impostazioni → Privacy → Gestione permessi. Controlla ogni trimestre — le app possono richiedere nuovi permessi tramite aggiornamenti senza notificartelo in modo evidente.
Valutare la Credibilità dello Sviluppatore
Lo sviluppatore dietro un'app è la tua prima linea di difesa. È anche sorprendentemente facile da verificare.
Uno sviluppatore credibile ha un portfolio di app coerente con un focus di categoria riconoscibile, un sito web verificabile che corrisponde al nome dello sviluppatore sul listing dello store, una URL della privacy policy reale — non un link morto né un template generico con il nome dell'azienda incollato — e una storia visibile di risposte alle recensioni degli utenti. Gli sviluppatori che si confrontano con i feedback critici — anche solo per dire "ci stiamo lavorando" — sono generalmente più responsabili di quelli che ignorano completamente la sezione recensioni.
Incrocia il nome dello sviluppatore con una rapida ricerca sul web. Se "AppDev Studios LLC" non ha alcuna traccia al di fuori di questo singolo listing, è un segnale d'allerta. Aziende consolidate come Adobe, Spotify o Duolingo sono verificabili in modo triviale. Per gli sviluppatori indipendenti, cerca un profilo GitHub, un sito personale o un LinkedIn che corrobori l'identità in modo indipendente.
Anche l'età dell'app rispetto al numero di recensioni conta. Un'app pubblicata a novembre 2024 con 500.000 recensioni è o un successo straordinario o una review farm — e statisticamente, la seconda opzione è molto più comune a quella velocità.
Leggere le Recensioni Senza Farsi Ingannare
Le recensioni false sono diventate genuinamente sofisticate. Il consiglio generico "controlla le valutazioni" non regge più. La manipolazione lascia però delle tracce.
Segnali che un Insieme di Recensioni è Stato Alterato
Concentrazione temporale. Le recensioni false arrivano in blocchi. Se un'app mostra 3.000 recensioni a cinque stelle pubblicate nell'arco di una settimana e poi torna a un flusso ridotto, è uno schema a campagna burst usato dai review mill. La maggior parte degli store mostra la distribuzione temporale delle recensioni nel dettaglio della valutazione — ordina per "Più recenti" e cerca picchi sospetti.
Elogi generici senza dettagli. Gli utenti reali descrivono funzionalità specifiche, citano il modello del telefono, menzionano bug che hanno incontrato. Le recensioni costruite a tavolino dicono cose come "App fantastica! Funziona alla perfezione! Consigliatissima!" Nessuna frizione. Nessun dettaglio. Una pagina piena di queste dovrebbe metterti a disagio.
Profili recensori vuoti. Su Google Play, tocca il nome di un recensore per vedere la sua cronologia. Un profilo che ha recensito quaranta app diverse nella stessa settimana, tutte con cinque stelle, è un bot o un recensore pagato. Uno o due di questi in un insieme di recensioni sono rumore di fondo. Venti sono una campagna deliberata.
La fascia intermedia assente. Guarda la distribuzione completa delle valutazioni. Un'app legittima tende ad avere una distribuzione approssimativamente normale spostata verso il positivo — la maggior parte degli utenti recensisce solo quando è entusiasta o furiosa. Un'app con l'87% di cinque stelle, il 10% di una stella e quasi nulla tra due e quattro è stata gonfiata artificialmente. La fascia intermedia assente è il segnale rivelatore.
La Lettura Controintuitiva delle Recensioni a Una Stella
Un gruppo visibile di recensioni oneste a una stella è in realtà un segnale positivo di autenticità, non negativo. Le app con zero recensioni negative e una media immacolata di 4,9 hanno più probabilità di essere state ripulite rispetto alle app che si attestano a 4,2 con una gamma visibile di lamentele. Il software reale ha bug reali. Se le recensioni a una stella descrivono problemi coerenti e credibili — "crasha su Android 14", "l'abbonamento è difficile da cancellare", "le notifiche sono rotte dopo l'ultimo aggiornamento" — si tratta di un'app funzionante con feedback onesti. Così si presenta una vera comunità di utenti.
Rilevamento di Malware Mobile: Cosa Funziona Davvero
È bene essere onesti sui limiti. L'antivirus tradizionale su mobile è meno efficace che su desktop. iOS non consente alle app di scansionare altre app a causa dell'architettura sandbox. Android offre più superficie con cui lavorare, ma il malware mobile moderno è abile nell'eludere il rilevamento basato su firma.
| Strumento / Metodo | Piattaforma | Cosa intercetta | Limitazione |
|---|---|---|---|
| Google Play Protect | Android | Malware noti, violazioni delle policy | Manca le minacce nuove e zero-day |
| Revisione App Store iOS | iOS | Controlli pre-pubblicazione delle minacce | Gli aggiornamenti post-pubblicazione possono introdurre codice malevolo |
| Bitdefender Mobile | Android / iOS | URL malevoli, phishing, permessi rischiosi | La versione iOS è fortemente limitata dal sandboxing |
| Malwarebytes Mobile | Android / iOS | Adware e spyware su Android | La versione iOS è in gran parte solo protezione VPN e browser |
| VirusTotal (upload APK) | Solo Android | Scansione multi-engine del file di installazione | Applicabile solo agli APK sideloaded, non alle app Play Store |
| Verifica manuale dei permessi | Entrambe | Richieste di permessi eccessivi | Richiede conoscenza e attenzione da parte dell'utente |
Per gli utenti Android che installano APK al di fuori del Play Store — cosa che generalmente scoraggio a meno che tu non abbia sufficiente competenza tecnica — VirusTotal permette di caricare l'APK e sottoporlo a oltre 70 motori antivirus contemporaneamente. È gratuito e richiede meno di due minuti.
La realtà concreta: il rilevamento di malware più affidabile su mobile è comportamentale. L'app scarica la batteria più velocemente del previsto? Il consumo dati aumenta in modo anomalo in ore insolite? I contatti hanno iniziato a ricevere spam poco dopo che hai concesso a un'app l'accesso alla rubrica? Questi segnali comportamentali portano alla luce problemi che la scansione automatizzata manca sistematicamente.
Lista di Controllo Pre-Download: Dieci Passi in Meno di Cinque Minuti
Seguili in ordine. L'intero processo richiede meno di cinque minuti per un'app senza problemi evidenti, e bloccherà la maggior parte delle installazioni rischiose prima che avvengano.
- Cerca il nome dello sviluppatore separatamente dal nome dell'app. Verifica che abbia una presenza web reale oltre al listing sullo store.
- Controlla la data di pubblicazione e la cronologia degli aggiornamenti. Un'app recente con un numero di recensioni implausibilmente alto è sospetta. Un'app senza aggiornamenti da 18 mesi o più potrebbe avere vulnerabilità non corrette.
- Leggi la privacy policy — o almeno cercaci le parole "vendita", "condivisione", "terze parti" e "pubblicità". Se la policy di un'app gratuita descrive una condivisione estesa di dati con reti pubblicitarie, quella raccolta dati è il vero prodotto.
- Esegui il Test di Coerenza Permessi-Funzionalità sui permessi dichiarati prima di scaricare. Su Android, la pagina dello store li elenca prima dell'installazione.
- Ordina le recensioni per "Più recenti" e cerca concentrazioni temporali. Tocca due o tre profili di recensori per verificarne l'autenticità.
- Cerca "[nome app] malware" e "[nome app] truffa" prima di installare. I ricercatori di sicurezza documentano pubblicamente le loro scoperte; se un'app è stata segnalata, di solito emerge nei risultati di ricerca nel giro di settimane.
- Dopo l'installazione, controlla la batteria e il consumo dati dopo 48 ore. Stabilisci una baseline comportamentale prima di fidarti dell'app.
- Revoca i permessi che l'app ha richiesto ma non ha usato. Sia iOS che Android ti avvisano quando un permesso rimane inutilizzato per un periodo prolungato — ma non aspettare quella notifica.
- Su Android, verifica che Play Protect sia attivo da Play Store → Icona profilo → Play Protect. È abilitato per impostazione predefinita, ma controllalo lo stesso.
- Fidati dell'attrito. Se un'app chiede più di quanto necessita, lo sviluppatore non è verificabile o le recensioni sembrano artificiali, il costo di non installarla è esattamente zero.
Fonti e Approfondimenti
Google Android Security & Privacy Year in Review — Il report annuale di Google sulle statistiche di enforcement del Play Store, le tendenze delle minacce e le app rimosse. L'edizione 2023 documenta il dato dei 2,28 milioni di rimozioni citato in questo articolo e fornisce dati di tendenza anno su anno.
Apple Platform Security Guide — La documentazione tecnica di Apple sull'architettura di revisione dell'App Store, il sandboxing di iOS e il modello dei permessi per la privacy. Aggiornata a ogni major release del sistema operativo; l'edizione 2024 copre i controlli sulla privacy di iOS 17 e i relativi meccanismi di applicazione.
ESET Threat Report (trimestrale) — Una delle fonti pubblicamente disponibili più dettagliate per gli incidenti malware specifici per mobile. Il team di ricerca di ESET ha documentato la campagna di app false di gennaio 2025 citata qui e pubblica regolarmente case study a livello di singola app con indicatori tecnici.
Electronic Frontier Foundation — Surveillance Self-Defense (Mobile) — Le guide EFF sui permessi delle app e i diritti sui dati sono scritte per un pubblico generale e aggiornate per riflettere il comportamento attuale dei sistemi operativi. Particolarmente utile per capire quali strumenti legali hai a disposizione quando un'app abusa dei permessi.
Kaspersky SecureList Blog — Analisi tecniche di campagne malware mobile attive, tra cui spyware, adware e trojan finanziari che prendono di mira Android. Case study molto dettagliati; la profondità tecnica è orientata a lettori esperti, ma i risultati sono ampiamente citati dalla copertura mainstream della sicurezza informatica.