Gli utenti che montano custom ROM su Android sanno bene quale sia il loro problema: l'app IO, il portafoglio digitale italiano e la maggior parte delle applicazioni bancarie rimangono completamente inaccessibili. Non è una limitazione tecnica della ROM alternativa, bensì una scelta deliberata dei servizi Google, i quali verificano l'«integrità» del dispositivo prima di autorizzare l'esecuzione di determinate funzioni. Il meccanismo si chiama Google Play Integrity e funziona come un filtro: interroga i server della multinazionale americana per controllare se il sistema operativo sia una versione originale certificata. Se la risposta è negativa, l'applicazione semplicemente si rifiuta di funzionare o disabilita le sue features sensibili.
Ora però, dall'Europa arriva una risposta organizzata. Un consorzio internazionale guidato da Volla Systeme, azienda tedesca specializzata nella produzione di smartphone Android senza alcun servizio Google, ha avviato lo sviluppo di UnifiedAttestation, una soluzione completamente open source pensata per aggirare l'imposizione di Google. Al progetto partecipano anche Murena, sviluppatrice della ROM /e/OS, il francese Iodé e la svizzera Apostrophy. L'iniziativa ha attirato l'attenzione di un produttore europeo che preferisce restare anonimo, di un grande costruttore asiatico, della fondazione tedesca UBports e persino di alcuni sviluppatori di applicazioni governative provenienti dalla Scandinavia.
Il consorzio ha identificato quello che definisce un vero e proprio «paradosso della sicurezza»: viene richiesta una certificazione di affidabilità proprio all'azienda il cui ecosistema si intende evitare. In altre parole, per provare che un sistema alternativo sia sicuro, bisogna chiederlo a Google, creando una dipendenza logica insanabile. UnifiedAttestation intende spezzare questo circolo vizioso articolandosi su tre pilastri: un servizio a livello di sistema operativo che le applicazioni possono interrogare con poche linee di codice per verificare se il dispositivo soddisfa determinati criteri di sicurezza; un servizio di validazione distribuito che accerta l'autenticità del certificato del sistema operativo su ogni singolo device; una suite di test pubblica e trasparente per certificare un sistema operativo su specifici modelli di hardware. I membri del consorzio si controlleranno e certificheranno reciprocamente, instaurando un processo di peer review che renderà la fiducia verificabile e tracciabile anziché concentrata nelle mani di una sola società.
L'implicazione più significativa riguarda proprio la situazione italiana. Se le applicazioni della pubblica amministrazione, a cominciare da IO gestita da PagoPA, adottassero questo nuovo standard, gli utenti delle custom ROM non vedrebbero più bloccate funzioni critiche come l'accesso ai documenti dell'IT Wallet. In teoria, anche una ROM alternativa potrebbe essere certificata come sufficientemente sicura per accedere a contenuti sensibili. Il cambiamento rappresenterebbe una frattura nell'egemonia americana sulla gestione della fiducia digitale, trasformandola in un processo europeo basato su principi di trasparenza e controllo distribuito. La domanda cruciale rimane: il panorama delle applicazioni italiane sarà disposto ad abbandonare Google Play Integrity per una soluzione decentralizzata e meno controllabile?
