Il Caffettino di Mario Moroni

India fa retromarcia sull’app di Stato preinstallata: privacy, concorrenza e cosa cambia per l’Europa

Il governo indiano ha ritirato l’obbligo di preinstallare un’app ufficiale su tutti gli smartphone venduti nel Paese dopo una tempesta di critiche su privacy, concorrenza e libertà digitale. Una notizia che non riguarda solo Nuova Delhi: tocca i produttori globali, il mercato dei dati e, soprattutto, i precedenti che potrebbero arrivare anche in Europa. In questo articolo spieghiamo cosa è successo, perché la decisione conta e quali segnali dobbiamo monitorare nei prossimi mesi.

India: stop all’app governativa preinstallata

Nei mesi scorsi in India era avanzata l’ipotesi di imporre ai produttori di smartphone la preinstallazione di un’app governativa su tutti i dispositivi. La motivazione ufficiale: maggiore “consapevolezza” e servizi digitali più accessibili ai cittadini. Il risultato concreto, però, sarebbe stato un canale privilegiato dentro milioni di telefoni per raccogliere dati e attivare funzioni a livello di sistema, con un impatto diretto sulla privacy e sulla concorrenza.

Dopo un’ondata di critiche da attivisti, industria e utenti, il governo ha fatto marcia indietro. Secondo quanto riportato da TechCrunch, la retromarcia arriva in seguito a un backlash intenso che ha messo in luce il rischio di un precedente pericoloso: se uno Stato può imporre un’app di sistema, fino a dove può spingersi nella raccolta di informazioni o nel condizionare l’ecosistema mobile?

Perché lo stop non chiude il dossier

La notizia è buona, ma non definitiva. La stessa fonte segnala che alcuni obblighi “paralleli” restano sul tavolo. Ad esempio, per le piattaforme di usato e permuta (un mercato enorme in India) è prevista la convalida dei dispositivi tramite un database centrale di codici IMEI. Inoltre, il Ministero delle Telecomunicazioni starebbe testando API che consentirebbero alle aziende di inviare informazioni su clienti e device direttamente allo Stato. In pratica: niente app preinstallata, ma un’infrastruttura tecnica che può diventare una backdoor formale.

L’Internet Freedom Foundation, organizzazione per i diritti digitali con sede a Nuova Delhi, ha definito la retromarcia uno sviluppo positivo, invitando però alla prudenza. Il timore è che si passi da un controllo “visibile” (l’app che tutti vedono) a un controllo “silenzioso” (flussi di dati via API e integrazioni di rete più difficili da verificare).

Le poste in gioco: privacy, concorrenza e sovranità digitale

Dispositivo come porta d’ingresso ai dati

Negli ultimi dieci anni l’attenzione si è concentrata su cookie, tracker e piattaforme social. Ma la vera partita si sposta sempre più in basso nello stack: firmware, app di sistema, servizi preinstallati e integrazioni con gli operatori. A quel livello, le tutele del consenso diventano più fragili e l’utente ha meno strumenti per difendersi. Un’app governativa “di default” rende opaca la linea tra servizio pubblico e sorveglianza, con il rischio di normalizzare l’idea che lo Stato debba stare dentro il telefono per “funzionare meglio”.

Concorrenza e neutralità del device

Obbligare un’app preinstallata crea un vantaggio ingiusto rispetto a soluzioni concorrenti (private o open source). È un tema antitrust: chi occupa lo spazio di default cattura attenzione, dati e relazioni con l’utente, spesso senza passare dal mercato. I produttori, poi, finiscono stretti tra richieste dei governi e regole globali: in India, secondo TechCrunch, alcuni brand non avrebbero neppure partecipato alle trattative, anche per non compromettere piani industriali strategici (come la produzione locale di chip).

Sicurezza pubblica vs sorveglianza sistemica

Gli argomenti ufficiali sono sempre gli stessi: sicurezza, servizi essenziali, lotta alle frodi. Legittimi obiettivi, ma che vanno centrati con strumenti proporzionati e verificabili. Un’API governativa integrata nella filiera dei device può essere utile per combattere i telefoni rubati o per certificare la provenienza di un dispositivo usato; può diventare pericolosa se si allarga a identificatori persistenti, incrocio dati su larga scala e obblighi di invio automatico senza reale consenso. La linea è sottile, serve trasparenza e audit indipendenti.

Perché l’Europa deve guardare (subito) a questo caso

Per il mercato europeo, l’episodio indiano è uno stress test anticipato. Qui abbiamo GDPR, DSA e DMA: cornici che difendono utenti e competizione. Ma basta un’eccezione “per motivi di sicurezza” per scardinare il principio del consenso e aprire canali di raccolta dati fuori controllo. Il dibattito su “chat control” e scanning lato client ci ha già insegnato che, una volta creata l’infrastruttura, il perimetro d’uso tende a dilatarsi.

Le lezioni operative sono chiare:

  • Default non neutri: preinstallare significa indirizzare scelte e mercato. Un’app di Stato come default altera la competizione e riduce la libertà dell’utente.
  • Proporzionalità tecnica: se serve un controllo IMEI per l’usato, va limitato a quello, con logiche di minimizzazione e tracciabilità degli accessi. No a canaloni di dati multiuso.
  • Trasparenza e audit: API governative? Devono essere documentate, ispezionabili e soggette a audit indipendenti, con metriche pubbliche su richieste e finalità.
  • Opt-in reale e revocabile: nulla che tocchi i dati del dispositivo dovrebbe essere attivo senza consenso esplicito, informato e reversibile.
  • Removibilità e scelta: ogni componente non essenziale deve poter essere disinstallato. Il “bloatware di Stato” non fa eccezione.

C’è poi un tema industriale: l’India è un hub produttivo sempre più strategico per gli OEM. Se il Paese lega investimenti, supply chain e conformità digitale, la leva politica diventa pesante. L’Europa, per non subirla, deve puntare su standard chiari e reciprocità: niente scorciatoie sulla privacy in cambio di una catena di fornitura più economica.

La nuova “internet dei dispositivi”

Non siamo più solo nell’era dei dati web. La prossima ondata riguarda i dati fisici che vivono nel telefono: sensori, biometria, reti vicine, app di sistema e servizi OEM. È qui che si giocheranno le battaglie dei prossimi anni. Un controllo a livello di sistema consente molto più di quanto si possa fare via browser: profilazione fine, correlazioni ambientali, identificazione persistente. E se l’accesso viene istituzionalizzato, l’utente perde visibilità e potere di scelta.

Questa transizione impone un cambio di mindset: le policy non devono guardare solo ai dati “online”, ma al dispositivo come infrastruttura critica. Le norme europee già lo suggeriscono, ma serviranno linee guida ancora più esplicite su firmware, preinstallazioni e interfacce di rete con gli Stati.

Cosa monitorare nei prossimi mesi

  • Il testo finale delle regole indiane: lo stop è politico, va visto cosa sarà scritto nei decreti e nei requisiti tecnici.
  • Le API del Ministero: documentazione pubblica, campi obbligatori, tempi di conservazione, finalità, audit.
  • IMSI/IMEI e mercato dell’usato: quali dati vengono verificati e da chi? C’è responsabilità chiara per accessi indebiti?
  • Posizione dei produttori: Apple, Samsung, Xiaomi e brand locali: che compromessi accetteranno su preinstallazioni e integrazioni di sistema?
  • Reazioni UE: eventuali linee guida su bloatware, removibilità e interoperabilità con servizi pubblici.
  • Trasparenza verso gli utenti: avvisi chiari, possibilità di opt-out e strumenti di controllo a bordo dispositivo.

In sintesi: la retromarcia indiana è un segnale forte, ma non la fine della storia. Se l’app preinstallata non passa, potrebbe passare l’infrastruttura. Ed è proprio lì, sotto la superficie, che si gioca la partita più importante per la nostra libertà digitale.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.