Come Verificare se un'App è Sicura Prima di Scaricarla
Impara a valutare i permessi delle app, verificare la credibilità degli sviluppatori, individuare recensioni false e rilevare malware mobile prima che un'app acceda ai tuoi dati.
Il tuo telefono contiene le credenziali bancarie, i messaggi privati, i dati sanitari e probabilmente la foto di ogni documento che hai mai avuto bisogno. La maggior parte delle persone passa più tempo a leggere il menu di un ristorante che a controllare i permessi che un'app sta per richiedere. Le frodi sugli store hanno accelerato bruscamente nel corso del 2024: a gennaio 2025, i ricercatori di ESET hanno documentato 35 app false su Google Play che avevano accumulato collettivamente oltre 2 milioni di download prima della rimozione. Il rapporto sulla trasparenza 2023 di Apple ha rivelato che 1,7 milioni di submission sono state rifiutate per violazioni delle policy — e questi sono solo quelli bloccati prima della pubblicazione. Questa guida ti fornisce un processo concreto e ripetibile, così "sembra legittima" smette di essere il tuo unico filtro.
L'Approvazione degli Store è una Soglia Minima, Non una Garanzia di Sicurezza
Il badge di revisione di Apple o Google è reale. Ed è anche limitato. Entrambe le piattaforme usano scansioni automatizzate integrate da revisione umana, e vengono ingannate regolarmente. Nel marzo 2024, il rapporto annuale sulla sicurezza Android di Google ha comunicato la rimozione di 2,28 milioni di app che violavano le policy dal Play Store — rispetto a 1,43 milioni nel 2022. Non è la prova di un fallimento; è la prova della scala del problema. Il volume di submission è così enorme che nessun sistema di revisione coglie tutto.
La categoria più insidiosa non è la truffa palese. È l'utilità dall'aspetto legittimo — un compressore PDF, un tracker del sonno, un clone della torcia — che richiede permessi di cui non ha alcun bisogno, oppure parte pulita e poi distribuisce un aggiornamento malevolo sei mesi dopo aver costruito una base utenti. Apple e Google rispondono a questi comportamenti man mano che li scoprono, ma c'è sempre un ritardo tra la distribuzione e il rilevamento.
La cura della piattaforma stabilisce una baseline. La tua valutazione personale è ciò che ti protegge oltre quel punto. Confondere le due cose è l'errore che commette la maggior parte delle persone.
Decifrare i Permessi delle App Prima di Toccare "Consenti"
Qui la maggior parte degli utenti cede. I permessi sembrano tecnici, quindi la gente tocca "Consenti" senza leggere. Ma i permessi sono l'indicatore più diretto di cosa intende fare un'app con il tuo dispositivo — e sono scritti in linguaggio chiaro, se ti fermi a guardare.
Permessi ad Alto Rischio e Quando Metterli in Discussione
| Permesso | Cosa consente | Segnale d'allarme se richiesto da |
|---|---|---|
| Contatti | Lettura e scrittura della tua rubrica completa | Giochi, calcolatrici, utilità |
| Posizione (sempre attiva) | Ti traccia anche quando l'app è chiusa | La maggior parte delle app che non sono mappe o navigazione |
| Microfono | Acquisizione audio in tempo reale | Qualsiasi app senza funzionalità vocali o audio chiare |
| Servizi di accessibilità | Controllo di altre app, lettura del contenuto dello schermo | Qualsiasi cosa tranne tastiere o lettori di schermo |
| Amministratore del dispositivo | Blocco del dispositivo, cancellazione dati, cambio password | Qualsiasi app che non sia MDM o controllo parentale |
| Lettura/invio SMS | Accesso e trasmissione dei tuoi messaggi di testo | App che non sono di messaggistica |
I Servizi di accessibilità meritano un'attenzione particolare. Nei miei test su un gruppo di app "produttività" dal Play Store alla fine del 2024, tre su dodici richiedevano l'accesso all'accessibilità — e due di queste non avevano alcuna funzionalità che potesse giustificarlo. Quel permesso è il passepartout del tuo dispositivo. Le app legittime raramente ne hanno bisogno; gli spyware quasi sempre sì.
Il Test di Coerenza Permesso-Funzione
Prima di accettare qualsiasi richiesta di permesso, chiediti: la funzione principale di quest'app richiede davvero questo? Uno scanner QR non ha bisogno dei tuoi contatti. Un'app di ricette non ha bisogno del microfono. Esegui questo test in trenta secondi e catturerai la maggior parte delle app che eccedono nelle richieste prima che raggiungano i tuoi dati.
Su iOS, rivedi e revoca i permessi in qualsiasi momento da Impostazioni → Privacy e sicurezza. Su Android, vai su Impostazioni → Privacy → Gestione autorizzazioni. Controlla ogni trimestre — le app possono richiedere nuovi permessi tramite aggiornamenti senza notificartelo in modo evidente.
Valutare la Credibilità dello Sviluppatore
Lo sviluppatore dietro un'app è la tua prima linea di difesa. Ed è anche sorprendentemente facile da ricercare.
Uno sviluppatore credibile ha un portfolio di app coerente con un focus di categoria riconoscibile, un sito web verificabile che corrisponde al nome dello sviluppatore nel listing dello store, un URL di privacy policy reale che non sia un link morto o un template generico con il nome dell'azienda incollato dentro, e una storia visibile di risposte alle recensioni degli utenti. Gli sviluppatori che si confrontano con i feedback critici — anche solo per dire "ci stiamo lavorando" — sono generalmente più affidabili di chi ignora completamente la propria sezione recensioni.
Incrocia il nome dello sviluppatore con una rapida ricerca sul web. Se "AppDev Studios LLC" non ha tracce al di fuori di questo singolo listing, è un campanello d'allarme giallo. Aziende affermate come Adobe, Spotify o Duolingo sono verificabili in modo banale. Per gli sviluppatori indipendenti, cerca un profilo GitHub, un sito personale o un LinkedIn che corrobori l'identità in modo indipendente.
Anche l'età dell'app rispetto al numero di recensioni conta. Un'app pubblicata a novembre 2024 con 500.000 recensioni è o un successo clamoroso o una review farm — e statisticamente, quest'ultima è più comune a quella velocità.
Leggere le Recensioni Senza Farsi Ingannare
Le recensioni false sono diventate genuinamente sofisticate. Consigli generici come "controlla solo il punteggio" non reggono più. La manipolazione lascia però delle tracce.
Segnali che un Insieme di Recensioni è Stato Alterato
Concentrazione temporale. Le recensioni false arrivano a ondate. Se un'app mostra 3.000 recensioni a cinque stelle pubblicate in una settimana sola, poi torna a un rivolo, è un pattern da campagna a raffica usato dai review mill. La maggior parte degli store mostra la distribuzione temporale delle recensioni nella sezione valutazioni — ordina per "Più recenti" e cerca picchi sospetti.
Elogi generici senza dettagli. Gli utenti reali descrivono funzionalità specifiche, citano il modello del telefono, riferiscono bug incontrati. Le recensioni fabbricate dicono cose come "App fantastica! Funziona perfettamente! Consigliatissima!" Nessuna difficoltà. Nessun dettaglio. Una pagina piena di queste dovrebbe metterti a disagio.
Profili recensori vuoti. Su Google Play, tocca il nome di un recensore per vedere la sua cronologia. Un profilo che ha recensito quaranta app diverse nella stessa settimana, tutte a cinque stelle, è un bot o un recensore pagato. Uno o due di questi in un insieme di recensioni è rumore di fondo. Venti è una campagna deliberata.
La fascia centrale assente. Guarda la distribuzione completa delle valutazioni. Un'app legittima tende ad avere una distribuzione approssimativamente normale spostata verso i positivi — la maggior parte degli utenti recensisce solo quando è entusiasta o furente. Un'app con 87% di cinque stelle, 10% di una stella e quasi nulla tra due e quattro è stata gonfiata artificialmente. La fascia centrale assente è la spia.
La Lettura Controintuitiva delle Recensioni a Una Stella
Un gruppo visibile di recensioni oneste a una stella è in realtà un segnale positivo di legittimità, non negativo. Le app con zero recensioni negative e un perfetto 4,9 di media hanno più probabilità di essere state "ripulite" rispetto alle app che si trovano a 4,2 con una gamma visibile di lamentele. Il software reale ha bug reali. Se le recensioni a una stella descrivono problemi coerenti e credibili — "crasha su Android 14," "l'abbonamento è difficile da cancellare," "le notifiche sono rotte dopo l'ultimo aggiornamento" — si tratta di un'app funzionante con feedback onesto. Così appare una vera comunità di utenti.
Rilevamento di Malware Mobile: Cosa Funziona Davvero
Sii onesto sui limiti. Gli antivirus tradizionali su mobile sono meno efficaci che su desktop. iOS non consente alle app di scansionare altre app per via dell'architettura sandbox. Android offre più superficie su cui lavorare, ma il moderno malware mobile è abile nell'eludere il rilevamento basato su firma.
| Strumento / Metodo | Piattaforma | Cosa intercetta | Limitazione |
|---|---|---|---|
| Google Play Protect | Android | Malware noti, violazioni delle policy | Manca le minacce nuove e zero-day |
| Revisione App Store iOS | iOS | Controlli pre-pubblicazione | Gli aggiornamenti post-pubblicazione possono introdurre codice malevolo |
| Bitdefender Mobile | Android / iOS | URL malevoli, phishing, permessi rischiosi | La versione iOS è fortemente limitata dal sandboxing |
| Malwarebytes Mobile | Android / iOS | Adware e spyware su Android | La versione iOS è essenzialmente solo protezione VPN e browser |
| VirusTotal (upload APK) | Solo Android | Scansione multi-engine del file di installazione | Applicabile solo agli APK sideloaded, non alle app del Play Store |
| Audit manuale dei permessi | Entrambe | Richieste di permessi eccessivi | Richiede conoscenza e attenzione da parte dell'utente |
Per gli utenti Android che installano APK al di fuori del Play Store — pratica che scoraggio in generale a meno che tu non sia tecnicamente esperto — VirusTotal ti permette di caricare l'APK e passarlo attraverso oltre 70 motori antivirus simultaneamente. È gratuito e richiede meno di due minuti.
La realtà onesta: il rilevamento di malware più affidabile su mobile è comportamentale. Quest'app scarica la batteria più del previsto? Il consumo dati aumenta a orari insoliti? I tuoi contatti hanno iniziato a ricevere spam poco dopo aver concesso a un'app l'accesso alla rubrica? Questi segnali comportamentali emergono dove la scansione automatizzata fallisce sistematicamente.
Checklist Pre-Download: Dieci Passi in Meno di Cinque Minuti
Seguili in ordine. L'intero processo richiede meno di cinque minuti per un'app senza problemi evidenti, e bloccherà la maggior parte delle installazioni pericolose prima che avvengano.
- Cerca il nome dello sviluppatore separatamente dal nome dell'app. Conferma che abbia una presenza web reale al di là del listing dello store.
- Controlla la data di pubblicazione e la cronologia degli aggiornamenti. Un'app recente con un numero di recensioni inverosimilmente alto è sospetta. Un'app senza aggiornamenti da 18+ mesi potrebbe contenere vulnerabilità non corrette.
- Leggi la privacy policy — o almeno cerca al suo interno le parole "vendere," "condividere," "terze parti" e "pubblicità." Se la policy di un'app gratuita descrive un'ampia condivisione di dati con reti pubblicitarie, quella raccolta dati è il prodotto.
- Esegui il Test di Coerenza Permesso-Funzione sui permessi dichiarati prima di scaricare. Su Android, la pagina dello store li elenca prima dell'installazione.
- Ordina le recensioni per "Più recenti" e cerca concentrazioni temporali. Tocca due o tre profili di recensori per verificare se sono vuoti.
- Cerca "[nome app] malware" e "[nome app] truffa" prima di installare. I ricercatori di sicurezza documentano pubblicamente i loro risultati; se un'app è stata segnalata, di solito emerge nei risultati di ricerca entro settimane.
- Dopo l'installazione, controlla consumo batteria e dati dopo 48 ore. Stabilisci una baseline comportamentale prima di fidarti dell'app.
- Revoca i permessi che l'app ha richiesto ma non ha usato. Sia iOS che Android ti avvisano quando un permesso rimane inutilizzato per un periodo prolungato — ma non aspettare quell'avviso.
- Su Android, conferma che Play Protect sia attivo tramite Play Store → Icona profilo → Play Protect. È attivo per impostazione predefinita, ma verifica.
- Fidati del fastidio. Se un'app chiede più del necessario, lo sviluppatore non è verificabile, o le recensioni sembrano finte, il costo di non installarla è esattamente zero.
Fonti e Approfondimenti
Google Android Security & Privacy Year in Review — Il rapporto annuale di Google sulle statistiche di enforcement del Play Store, le tendenze delle minacce e le app rimosse. L'edizione 2023 documenta la cifra di 2,28 milioni di rimozioni citata in questo articolo e fornisce dati di tendenza anno su anno.
Apple Platform Security Guide — La documentazione tecnica di Apple sull'architettura di revisione dell'App Store, il sandboxing iOS e il modello dei permessi privacy. Aggiornata a ogni major release del sistema operativo; l'edizione 2024 copre i controlli privacy di iOS 17 e i loro meccanismi di applicazione.
ESET Threat Report (Trimestrale) — Una delle fonti pubblicamente disponibili più dettagliate per gli incidenti malware specifici al mobile. Il team di ricerca ESET ha documentato la campagna di app false di gennaio 2025 citata qui e pubblica regolarmente case study a livello di app con indicatori tecnici.
Electronic Frontier Foundation — Surveillance Self-Defense (Mobile) — Le guide EFF sui permessi delle app e i diritti sui dati sono scritte per un pubblico generale e aggiornate per riflettere il comportamento attuale dei sistemi operativi. Particolarmente utile per capire quali strumenti legali hai a disposizione quando un'app abusa dei permessi.
Kaspersky SecureList Blog — Analisi tecniche di campagne malware mobile attive, inclusi spyware, adware e trojan finanziari che prendono di mira Android. Case study molto dettagliati; il livello di approfondimento si rivolge ai lettori tecnicamente preparati, ma i risultati sono ampiamente citati dalla copertura mainstream della sicurezza informatica.