GrapheneOS: la guida completa per installarlo e configurarlo, anche se parti da zero

Hai sentito parlare di GrapheneOS e vuoi capire di cosa si tratta davvero. Oppure hai già deciso di installarlo ma non sai da dove iniziare. O forse sei semplicemente stufo di avere uno smartphone che sa più di te di quanto tu voglia.

In tutti e tre i casi, sei nel posto giusto.

Questa guida ti accompagna dall’inizio alla fine: dall’installazione vera e propria fino alla configurazione quotidiana, passando per le funzionalità più interessanti del sistema e per i consigli pratici che di solito si scoprono solo dopo settimane di uso. Non serve essere informatici. Serve solo un po’ di pazienza e la voglia di capire come funzionano le cose.

Cos’è GrapheneOS e perché esiste

Prima di mettere le mani sul telefono, vale la pena capire cosa stai installando e perché qualcuno si è preso la briga di costruirlo.

GrapheneOS è un sistema operativo per smartphone basato su Android, ma con una differenza fondamentale: è progettato da zero con l’obiettivo di ridurre al minimo la raccolta di dati e massimizzare la sicurezza del dispositivo. Non è un Android “modificato” nel senso amatoriale del termine — è un progetto serio, sviluppato da un team internazionale di ingegneri, completamente open source e aggiornato con una frequenza che fa invidia a molti produttori di smartphone commerciali.

L’obiettivo dichiarato degli sviluppatori è uno solo: ridurre la superficie d’attacco. In parole semplici, rendere lo smartphone il bersaglio più difficile possibile per chiunque voglia accedervi senza permesso — che si tratti di un’app curiosa, di un malintenzionato con accesso fisico al dispositivo, o di un’azienda che raccoglie dati in background.

Ma GrapheneOS non è per tutti nel senso che non è adatto a chi vuole installarlo e dimenticarsene. Richiede una configurazione iniziale e una certa consapevolezza di come funzionano le cose. In cambio, ti dà qualcosa che nessun iPhone e nessun Android classico può offrirti: il controllo reale su cosa succede dentro il tuo smartphone.

Perché proprio un Google Pixel?

GrapheneOS funziona esclusivamente su dispositivi Google Pixel. Questo può sembrare controintuitivo — installare un sistema alternativo su un telefono Google — ma c’è una ragione precisa.

I Pixel sono gli unici smartphone Android che permettono di sbloccare il bootloader, installare un sistema operativo alternativo e poi ribloccare il bootloader con il nuovo sistema. Questo dettaglio tecnico è fondamentale: significa che lo smartphone può funzionare con tutte le protezioni hardware attive anche con GrapheneOS installato, al pari di un telefono con il sistema originale.

Nessun altro produttore Android offre questa possibilità. Per questo i Pixel sono l’unica scelta compatibile.

Cosa ti serve prima di iniziare

Prima di partire, assicurati di avere tutto il necessario. L’installazione in sé è semplice, ma farsi trovare impreparati a metà del processo è frustrante.

L’hardware

Un Google Pixel (dalla serie 6 in poi è consigliata, ma funziona anche su modelli precedenti supportati). Verifica la lista aggiornata dei dispositivi compatibili sul sito ufficiale di GrapheneOS. La compatibilità viene aggiornata periodicamente man mano che nuovi modelli vengono aggiunti o vecchi modelli escono dal supporto.
Il cavo originale del Pixel (USB-C / USB-C). Se usi un computer senza porta USB-C, ti servirà un cavo USB-C / USB-A di alta qualità — non il primo che trovi nel cassetto. Cavi scadenti causano errori di installazione che sembrano inspiegabili. Questo è il problema più comune tra chi ha difficoltà con l’installazione.
Un secondo dispositivo per l’installazione: puoi usare un altro smartphone Android (con almeno Android 12) oppure un computer. In questa guida useremo lo smartphone, che è il metodo più accessibile. Se scegli il computer, il processo è identico ma il bottone extra Reconnect device non comparirà.
Batteria carica: sia il Pixel che il secondo dispositivo devono avere almeno il 50% di batteria. Un’interruzione improvvisa durante il flash non è fatale — il sistema può essere ripristinato — ma è una seccatura evitabile.

Il software

Se usi un computer, tieni presente che il browser che usi per l’installazione deve essere basato su Chromium. Funzionano Google Chrome, Brave (con lo scudo disattivato), Microsoft Edge e Chromium. Non funziona Firefox né altri browser basati su Firefox. Non usare la modalità in incognito e, su Linux, evita versioni snap o flatpak del browser.

Il computer deve avere almeno 32 GB di spazio libero e 2 GB di RAM, con un sistema operativo aggiornato tra quelli supportati: Windows 10/11, macOS Monterey o superiore, le principali distribuzioni Linux (Debian, Ubuntu, Arch) oppure ChromeOS.

Su Windows potrebbe essere necessario installare i Google USB Drivers per far riconoscere il Pixel in modalità Fastboot. Li trovi sul sito ufficiale di Android. Su macOS e Linux di solito non serve nulla di aggiuntivo.

Una cosa importante prima di tutto

L’installazione di GrapheneOS cancella completamente tutti i dati presenti sul Pixel. Se stai usando il telefono e hai dati da salvare, fai un backup prima di iniziare. Non c’è modo di recuperare i dati dopo l’installazione. Se il Pixel è nuovo di confezione, non c’è nessun problema: puoi procedere subito.

L’installazione passo per passo

Iniziamo. Tieni il Pixel e il secondo dispositivo (o il computer) vicini a te, con entrambi i dispositivi carichi.

Fase 1 — Configurazione iniziale del Pixel

Accendi il Pixel per la prima volta (o dopo un reset di fabbrica). Ti apparirà la procedura guidata di configurazione iniziale di Android. L’obiettivo qui è arrivare alla schermata principale nel modo più rapido possibile, senza configurare nulla. Serve solo un minuto di sistema operativo originale per sbloccare un’impostazione.

Nella procedura guidata:

Seleziona la lingua (puoi scegliere l’italiano)
Salta la configurazione WiFi: non connettere il telefono a internet
Salta la SIM: non inserire la scheda
Salta il metodo di sblocco: nessun PIN, nessuna impronta
Salta l’account Google: nessun accesso
Salta tutte le app e funzionalità aggiuntive

L’obiettivo è arrivare alla schermata iniziale con le icone delle app, e non importa quanto sia spoglia. Tutto verrà cancellato tra poco.

Fase 2 — Sblocco delle opzioni sviluppatore

Ora che sei nella schermata principale, vai in Impostazioni → Informazioni sullo smartphone → Numero build.

Tocca ripetutamente la scritta Numero build per sette volte consecutive. Dopo il quinto o sesto tocco, il sistema inizierà a mostrarti un contatore. Dopo il settimo, comparirà un messaggio che ti avvisa di aver sbloccato le opzioni sviluppatore.

Questo è un modo nascosto che Google ha integrato in tutti gli Android per attivare funzionalità avanzate. Non fa nulla di dannoso — sblocca semplicemente un menu aggiuntivo nelle impostazioni.

Fase 3 — Attivazione dello sblocco OEM

Torna nelle impostazioni principali e vai in Impostazioni → Sistema → Opzioni sviluppatore. Cerca la voce Sblocco OEM e attivala.

Se non hai impostato nessun blocco schermo, si attiva subito. Se hai un PIN, te lo chiederà.

Nota: se questa voce risulta grigia e non attivabile, significa che il telefono non è connesso a internet. Connettilo al WiFi, attendi eventuali aggiornamenti di sistema, poi esegui un reset di fabbrica e ripeti la procedura dall’inizio. È un passaggio di sicurezza di Google che richiede che il dispositivo abbia effettuato almeno una connessione.

Il bootloader: cosa è e perché conta

Prima di procedere con il passaggio successivo, vale la pena capire cos’è il bootloader. È il programma che si avvia per primo quando accendi lo smartphone, ancor prima del sistema operativo. Puoi pensarlo come il BIOS di un computer: quello schermo che appare per un secondo prima che il sistema si carichi.

Su tutti gli smartphone in commercio, il bootloader è bloccato di fabbrica: non permette di avviare un sistema operativo diverso da quello originale. Questo è un meccanismo di sicurezza pensato per impedire installazioni non autorizzate.

I Pixel sono gli unici smartphone Android che permettono di sbloccare il bootloader, installare un sistema alternativo e poi ribloccare il bootloader con il nuovo sistema installato. Questo secondo blocco è cruciale: significa che GrapheneOS funziona con tutte le protezioni hardware attive, esattamente come farebbe Android originale. Su nessun altro smartphone Android questo è possibile in modo così completo.

Tenere il bootloader sbloccato durante l’uso quotidiano ha degli svantaggi concreti:

Alcune app bancarie si rifiutano di funzionare (controllano lo stato del bootloader per ragioni di sicurezza)
Il Verified Boot non è attivo: questa funzione verifica l’integrità del sistema operativo ad ogni avvio, impedendo ai malware di sopravvivere ai riavvii
Un malintenzionato con accesso fisico al dispositivo potrebbe installare qualsiasi software

Ecco perché il quarto e ultimo passaggio dell’installazione consiste nel ribloccare il bootloader. Con GrapheneOS installato e bootloader ribloccato, hai il meglio dei due mondi: un sistema alternativo e tutte le protezioni hardware attive.

Fase 4 — Accesso alla modalità Fastboot

Spegni il Pixel. Prima di riaccenderlo, tieni premuto il tasto volume giù e, senza rilasciarlo, premi il tasto di accensione. Continua a tenere premuto il volume giù finché non appare la schermata della modalità Fastboot.

In questa modalità il touchscreen non funziona. Ci si sposta tra le voci usando i tasti volume su e giù, e si conferma con il tasto di accensione. La schermata mostra alcune informazioni sul dispositivo e una voce Start in alto.

Il Pixel è ora pronto per l’installazione.

Fase 5 — Installazione via browser (il metodo più semplice)

Prendi il secondo smartphone Android e apri il browser Chrome (o Brave con scudo disattivato). Naviga all’indirizzo:

https://grapheneos.org/install/web

Questo è il Web Installer ufficiale di GrapheneOS. È uno strumento sviluppato direttamente dal team di GrapheneOS e automatizza l’intera procedura che altrimenti andrebbe eseguita manualmente da terminale. Nessun altro sistema operativo alternativo offre qualcosa di paragonabile.

Attenzione alla traduzione automatica: se usi la traduzione della pagina in italiano, alcune voci vengono tradotte in modo scorretto. Per esempio, “Unlock bootloader” diventa “Scarica il bootloader di sblocco”. Meglio lasciare la pagina in inglese o usarla come riferimento visivo tenendo presente questa avvertenza.

Collega i due smartphone con il cavo USB-C / USB-C.

Nella pagina del Web Installer troverai quattro bottoni da premere in sequenza. Premi ciascuno solo dopo che il precedente ha completato il suo compito.

Bottone 1 — Unlock bootloader

Premi il bottone. Apparirà un elenco di dispositivi collegati al tuo smartphone: seleziona il Google Pixel e tocca Connetti. Poi conferma l’accesso al dispositivo.

Ora passa al Pixel: usa i tasti volume per spostare il cursore sulla voce Unlock the bootloader e conferma premendo il tasto di accensione. Il Pixel si riavvierà automaticamente e tornerà nella schermata Fastboot.

Dovrai riconnetterlo al Motorola: il browser sul secondo smartphone ti mostrerà di nuovo il popup per selezionare il dispositivo. Connettiti nuovamente.

Bottone 2 — Download release

Premi il secondo bottone. Il browser scaricherà il sistema operativo GrapheneOS. Vedrai una barra di progresso. Dipende dalla velocità della connessione, ma in genere ci vogliono pochi minuti.

Bottone 3 — Flash release

Questo è il cuore dell’installazione. Premi il bottone e attendi. Il Web Installer eseguirà automaticamente il flash del sistema operativo sul Pixel.

Quando si installa usando uno smartphone (invece di un computer), compare un bottone aggiuntivo durante il processo: Reconnect device. Va premuto ogni volta che appare, selezionando di nuovo il Pixel nel popup. Questo avviene più volte durante il flash, perché il Pixel si riavvia in fasi diverse.

Tieni d’occhio il testo sotto i bottoni: ti indica in tempo reale cosa sta succedendo. L’installazione è completata quando leggi qualcosa simile a:

Flashed [nome-dispositivo]-[data].zip to the device.

Bottone 4 — Lock bootloader

L’ultimo passaggio. Premi il bottone, poi sul Pixel usa i tasti volume per selezionare Lock the bootloader e conferma. Il Pixel si riavvierà un’ultima volta.

Quando si avvia, vedrai un avviso giallo che segnala la presenza di un sistema operativo alternativo. È normale, comparirà ad ogni accensione e non va rimosso. Non significa che qualcosa è andato storto — è semplicemente il segnale visivo che il bootloader è bloccato con GrapheneOS installato (e non il sistema originale di Google).

Congratulazioni. GrapheneOS è installato.

Problemi durante l’installazione?

Capita. Ecco le cause più comuni:

Cavo di scarsa qualità: è il problema numero uno. Usa il cavo originale del Pixel o uno certificato.
Porta USB sul computer che non funziona al 100%: prova un’altra porta, preferibilmente USB-A 3.0 o direttamente USB-C.
Driver non installati su Windows: Windows a volte non riconosce il Pixel in modalità Fastboot. Scarica e installa i Google USB Drivers dal sito ufficiale di Android.
Browser non aggiornato: verifica di usare l’ultima versione di Chrome o Brave.
Disattenzione nel seguire la guida ufficiale: ogni passaggio è importante. Se un’operazione non viene confermata sul Pixel, il processo si blocca.

Se nonostante tutto il problema persiste, la community ufficiale (in inglese) su discuss.grapheneos.org e il gruppo Telegram non ufficiale italiano (@GrapheneOSITA) sono i posti migliori dove chiedere aiuto.

Il primo avvio: cosa fare subito

Al primo avvio di GrapheneOS, ti apparirà una procedura guidata semplice e veloce. Nessuna Privacy Policy da accettare, nessun account da creare, nessuna lista infinita di funzionalità da attivare.

Imposti la rete WiFi, l’orario, un paio di preferenze e sei operativo.

L’impostazione più importante del primo avvio

Nell’ultima schermata della procedura guidata, troverai una spunta su Disable OEM unlocking (o Disattiva sblocco OEM). Lasciala attiva. È la stessa impostazione che hai sbloccato all’inizio della procedura — ora va rimessa al suo posto.

Tenerla attiva significa che nessuno potrà sbloccare il bootloader del tuo telefono senza prima inserire il PIN corretto. In pratica, anche se qualcuno avesse accesso fisico al tuo Pixel, non potrebbe installare nulla senza conoscere il tuo codice.

Verifica l’integrità dell’installazione (opzionale ma consigliato)

Ogni volta che il Pixel si avvia, nell’avviso giallo compare un lungo codice alfanumerico. Puoi confrontarlo con quello dichiarato sul sito ufficiale di GrapheneOS per il tuo modello. Per il Pixel 8a, per esempio, il codice è:

096b8bd6d44527a24ac1564b308839f67e78202185cbff9cfdcb10e63250bc5e

Per una verifica più completa, GrapheneOS include l’app Auditor già installata. Apri l’app sul Pixel e usala insieme a un secondo dispositivo (che può aver scaricato Auditor dal Play Store) per una verifica crittografica dell’autenticità del sistema.

Panoramica: com’è GrapheneOS appena installato

La prima cosa che noti aprendo GrapheneOS per la prima volta è il minimalismo quasi aggressivo. Sfondo nero, pochissime icone, nessun Google Play Store, nessuna app di Google. Sembra un telefono a metà.

Non è un difetto — è una scelta precisa degli sviluppatori. GrapheneOS fornisce lo stretto necessario per far funzionare lo smartphone. Tutto il resto lo decidi tu: quali app installare, quale account usare (se vuoi usarne uno), come organizzare le cose.

Questo approccio ha un vantaggio enorme: non hai nulla da rimuovere. Nei telefoni normali, arrivi con decine di app preinstallate che non hai scelto, che girano in background, che raccolgono dati. Qui parti da zero.

Le funzionalità che rendono GrapheneOS unico

GrapheneOS non è semplicemente “Android senza Google”. È un sistema operativo che ha aggiunto, modificato e rafforzato decine di componenti rispetto ad Android standard. Ecco le più importanti per l’uso quotidiano.

Permesso di rete per ogni singola app

Su un Android normale, ogni app installata può connettersi a internet senza che tu lo sappia. È così che funziona la raccolta di dati: l’app raccoglie informazioni sul tuo utilizzo e le invia ai server dell’azienda in background.

Su GrapheneOS puoi revocare il permesso di rete a qualsiasi app, anche prima di averla configurata. Puoi usare un’app in modalità completamente offline, oppure configurarla con internet attivo e poi staccarla. Il controllo è totale.

Permesso per sensori, microfono, fotocamera a livello di sistema

Nel pannello delle notifiche (la tendina in alto) puoi aggiungere pulsanti rapidi per disattivare microfono, fotocamera e sensori a livello di sistema. Questo significa che anche se un’app ha già il permesso per accedere al microfono, quando premi quel pulsante non lo sentirà niente — il sistema operativo stesso blocca l’accesso hardware.

È una protezione che va oltre i normali permessi delle app.

Controllo granulare dei contatti e dei file

Hai un’app che vuole accedere alla tua rubrica ma non ne hai capito il motivo? Su GrapheneOS puoi mostrarle una rubrica vuota, oppure solo i contatti che decidi tu. Stesso discorso per i file: puoi concedere accesso solo a cartelle specifiche, non all’intero storage.

MAC address sempre casuale

Ogni volta che il tuo telefono si connette a una rete WiFi, invia un identificativo univoco chiamato MAC address. Normalmente, questo permette di tracciare il dispositivo nel tempo su reti diverse.

GrapheneOS non solo lo rende casuale per ogni rete (cosa che ormai fanno anche altri sistemi), ma lo rende casuale ad ogni connessione, anche alla stessa rete. Se ti connetti ogni giorno al WiFi di casa, ogni volta il tuo Pixel si presenta con un identificativo diverso.

WiFi e Bluetooth si spengono da soli

Quando esci di casa e ti disconnetti dal tuo router WiFi, il modulo WiFi si disattiva automaticamente dopo pochi minuti. Stessa cosa per il Bluetooth quando smetti di usarlo. Questo riduce la finestra di esposizione ad attacchi wireless e fa risparmiare batteria.

Impostazioni rapide non accessibili da schermo bloccato

Su molti Android è possibile attivare la modalità aereo, spegnere il WiFi o il Bluetooth anche senza sbloccare il telefono, semplicemente trascinando la tendina delle notifiche. Su GrapheneOS questo non è possibile: le impostazioni rapide sono protette dal blocco schermo.

Riavvio automatico quando non in uso

GrapheneOS può riavviarsi automaticamente dopo un periodo di inattività configurabile. Il motivo è tecnico ma importante: la prima volta che sblocchi il telefono dopo l’accensione, i tuoi dati vengono decifrati. Negli sblocchi successivi i dati rimangono in chiaro in memoria. Un riavvio automatico rimette tutto in stato cifrato, rendendo il dispositivo molto più difficile da analizzare in caso di accesso fisico non autorizzato.

Posizione casuale dei numeri per il PIN

Se attivi questa opzione, la tastiera numerica per inserire il PIN cambia disposizione a ogni sblocco. Chi ti osserva da dietro mentre inserisci il codice non può capire cosa stai premendo in base alla posizione del dito.

PIN di auto-reset

Per situazioni estreme: puoi configurare un secondo PIN che, invece di sbloccare il telefono, lo riavvia e cancella tutti i dati. Da usare con estrema cautela e solo se ne hai davvero bisogno.

Browser preinstallato tra i più sicuri su Android

Vanadium è il browser incluso in GrapheneOS. All’apparenza sembra Chrome (ha la stessa icona grigia), ma è stato modificato per aumentare la sicurezza: isola ogni sito web dagli altri, include un blocco pubblicitario integrato e riduce la quantità di dati inviati ai server di Google.

Foto e screenshot senza metadati sensibili

Le foto scattate con l’app fotocamera di GrapheneOS non contengono metadati EXIF con la tua posizione GPS, il modello del telefono o le impostazioni di scatto. Quando condividi una foto, non stai condividendo involontariamente informazioni su dove eri e con quale dispositivo.

Visualizzatore PDF sicuro

I PDF possono contenere codice eseguibile o link malevoli. Il visualizzatore PDF integrato in GrapheneOS li apre in un ambiente isolato, riducendo il rischio che un PDF infetto possa compromettere il sistema.

Le GAPPS in modalità sandbox: la funzionalità più importante

Una delle scelte più geniali di GrapheneOS riguarda le app di Google — le cosiddette GAPPS (Google Apps). Su un Android normale, le GAPPS sono installate a livello di sistema: hanno accesso completo a tutto ciò che succede sul telefono, girano in background 24 ore su 24 e raccolgono dati costantemente.

Su GrapheneOS puoi installare le GAPPS come app normali, senza privilegi di sistema. Funzionano come qualsiasi altra app — possono fare solo quello per cui hai dato esplicitamente il permesso.

Come installarle

Apri l’app App Store (già presente in GrapheneOS) e cerca Google Play Services. Premi Install. Verranno installati automaticamente tutti i componenti necessari: Google Play Services, Google Services Framework e Google Play Store. Ci vogliono alcuni minuti.

Una volta completata l’installazione, comparirà l’icona del Play Store. Puoi accedere con il tuo account Google e usarlo esattamente come su un telefono normale — con la differenza che le app di Google non hanno più accesso privilegiato al sistema.

Qualche accorgimento

Dopo aver installato le GAPPS, disattiva il risparmio energetico per Google Play Services. Le notifiche push di molte app passano attraverso Google Play Services, e se questo viene sospeso in background, le notifiche arrivano in ritardo o non arrivano.

Per farlo: Impostazioni → App → Mostra tutte le app → Google Play Services → Utilizzo della batteria → Consenti l’utilizzo in background.

Inoltre, quando accedi con il tuo account Google, le sincronizzazioni non partono in automatico come su un telefono normale. Dovrai attivare manualmente i permessi per la sincronizzazione dei contatti, del calendario e delle foto. GrapheneOS ti avviserà via notifica quando qualcosa ha bisogno di un permesso specifico.

Non vuoi usare il tuo account Google vero?

Puoi creare un account Google nuovo, non associato alla tua identità, da usare esclusivamente per il Play Store. La creazione funziona bene da una rete WiFi pubblica o privata non associata a te. Se provi da una VPN o da TOR, Google chiederà un numero di telefono per la verifica.

Multi-utente, spazio privato e profilo di lavoro

Una delle caratteristiche più potenti — e meno conosciute — di GrapheneOS è il suo sistema di compartimentazione. Puoi dividere il telefono in sezioni separate e indipendenti, ognuna con le proprie app, i propri dati e le proprie impostazioni.

Su Android standard questa funzionalità esiste ma è limitata. Su GrapheneOS è stata potenziata significativamente.

Il multi-utente

Come su un computer Windows, puoi avere più utenti sullo stesso smartphone. Ogni utente ha le proprie app, la propria rubrica, i propri file. Se sei in un utente, gli altri sono completamente inaccessibili — e questo vale anche per un ladro o per qualcuno che trovi il telefono acceso.

GrapheneOS porta il multi-utente ad un altro livello con alcune funzionalità esclusive:

Puoi ricevere una notifica nell’utente che stai usando quando un’app in un altro utente ha ricevuto una notifica (senza vederne il contenuto)
Puoi terminare la sessione di un utente con un singolo tocco — come spegnere un profilo senza spegnere il telefono
Puoi installare app nell’utente amministratore e renderle disponibili agli altri utenti senza doverle installare più volte
Puoi bloccare a un utente la possibilità di installare app autonomamente
Puoi creare fino a 32 utenti (contro i 4 di un Android standard)

Lo spazio privato

Introdotto da Android 15 in poi, lo spazio privato è un’area separata dall’utente principale che si apre con un PIN diverso. Le app nello spazio privato non compaiono nella schermata principale e possono essere “spente” con un singolo gesto — smettono di girare in background e non consumano batteria né inviano dati finché non le riattivi.

Il profilo di lavoro

Attivabile tramite app di terze parti come Shelter o Insular, crea un secondo spazio isolato con una sua icona (solitamente una cartella) che raggruppa le app “di lavoro”. Puoi attivarlo e disattivarlo rapidamente. Ha qualche possibilità in più rispetto allo spazio privato in termini di condivisione file tra i due profili.

Come configurare GrapheneOS: esempi pratici

La flessibilità di GrapheneOS può sembrare disorientante all’inizio. Ecco alcuni esempi concreti di configurazione, dal più semplice al più avanzato.

Configurazione 1 — Smartphone quasi normale (con GAPPS)

Vuoi un telefono che funzioni come un Android classico ma con più privacy e sicurezza sotto il cofano. Non vuoi cambiare le tue abitudini.

Come fare: installa le GAPPS dall’App Store, accedi con il tuo account Google e attiva le sincronizzazioni che ti servono. Installa dal Play Store le app Google che mancano. Scegli un launcher come Nova Launcher o Lawnchair per ricostruire l’aspetto familiare dei Pixel. Imposta WiFi e Bluetooth con spegnimento automatico. Fatto.

Hai ancora più sicurezza e meno raccolta di dati rispetto a un Android normale, senza cambiare nulla nel tuo modo di usare il telefono.

Configurazione 2 — Senza GAPPS (la via minimalista)

Non hai app che dipendono da Google Play Services. Vuoi uno smartphone completamente indipendente da Google.

Come fare: installa le app da F-Droid (app open source) e da Aurora Store (per le app closed-source senza account Google). Sincronizza contatti e calendario tramite CardDAV/CalDAV con un servizio come EteSync o Nextcloud. Usa il tuo cloud preferito per file e foto.

Configurazione 3 — GAPPS solo nello spazio privato (consigliata per uso comune)

Vuoi avere le app Google disponibili quando ne hai bisogno, ma non vuoi che girino in background tutto il giorno. Questa è probabilmente la configurazione più equilibrata per la maggior parte delle persone.

Come fare: nel profilo principale installa solo app che non richiedono le GAPPS. Nello spazio privato installa le GAPPS e tutte le app che ne dipendono (compresi i social, i giochi, le app di Meta, ecc.). Quando hai finito di usarle, chiudi lo spazio privato con un gesto: tutte quelle app smettono di esistere finché non lo riapri. Risparmio di batteria garantito, e la tua “Google life” è separata dal resto.

Configurazione 4 — Due utenti separati

Vuoi un isolamento completo tra le app Google e il resto. Crei due utenti: uno senza GAPPS per l’uso quotidiano, uno con GAPPS per quando ne hai bisogno. Cambi utente dal pannello delle notifiche in pochi secondi.

Il vantaggio aggiuntivo: con il multi-utente attivo, se il telefono viene rubato mentre è acceso, il ladro vede solo l’utente attivo in quel momento. Gli altri restano protetti da PIN separati.

Configurazione 5 — Multi-utente avanzato

Crei un utente “amministratore” che usi solo per installare e aggiornare le app, senza dati personali al suo interno. Crei uno o più utenti “operativi” per l’uso quotidiano, ai quali distribuisci le app dall’utente amministratore senza che possano installarne di nuove autonomamente. Separi ulteriormente le app finanziarie in un utente dedicato, accessibile solo quando ne hai bisogno.

Questo approccio riduce enormemente la superficie d’attacco dei malware: l’utente che usi tutti i giorni non ha accesso agli strumenti di sistema, non ha l’App Store, e non può fare danni sistemici anche se un’app si comporta in modo anomalo.

Da dove installo le app?

Su Android hai molta più libertà rispetto a iOS nel reperimento delle app. Puoi usare più fonti contemporaneamente a seconda dell’app che cerchi.

Google Play Store

Se hai installato le GAPPS e acceduto con un account Google, hai accesso al catalogo completo. È la scelta più semplice e quella con la maggiore compatibilità. Lo svantaggio è la privacy: Google sa quali app hai installato e quando le usi.

Aurora Store

Un client alternativo per il Play Store che ti permette di scaricare app senza un account Google. Si utilizza in modalità anonima. Alcune app scaricate da Aurora Store potrebbero non funzionare correttamente — in quel caso, scaricarle direttamente dal Play Store (anche con un account fittizio) di solito risolve il problema.

F-Droid

Un App Store alternativo che contiene solo app open source. Ideale per chi vuole ridurre la dipendenza da software proprietario. La selezione è più limitata, ma la qualità media delle app presenti è alta.

Obtanium

Un’app che ti permette di installare e aggiornare le app direttamente dai repository degli sviluppatori (GitHub, GitLab, ecc.). Ideale per app open source non presenti su F-Droid, o per chi vuole un controllo maggiore sulle versioni.

Migrare i dati dal vecchio smartphone

Migrare su GrapheneOS non è immediato come passare da un iPhone all’altro. Richiede un po’ di lavoro manuale, soprattutto se vuoi ridurre la dipendenza da Google.

Con account Google (il percorso più semplice)

Se installi le GAPPS e accedi con il tuo vecchio account @gmail, gran parte dei tuoi dati torna automaticamente: app dal Play Store, contatti, calendario, email, foto. Le impostazioni delle singole app e i dati salvati localmente non vengono ripristinati automaticamente, ma il grosso c’è.

Senza account Google (il percorso più laborioso)

Passa in rassegna ogni app sul vecchio smartphone e cerca la funzione di backup o esportazione nelle impostazioni. La maggior parte delle app crea un file di configurazione che puoi salvare in locale.

Per i contatti: l’app Rubrica del tuo vecchio telefono permette di esportarli in formato .vcf. Per il calendario Google: vai su calendar.google.com da un computer ed esporta da lì. Per le password salvate su Google: le trovi in Impostazioni → Google e puoi esportarle in formato .csv per importarle nel gestore password che preferisci.

Una volta raccolti tutti i file, collega i due smartphone con il cavo USB-C / USB-C. Il Pixel riconoscerà il vecchio telefono come storage esterno nell’app File. Copia tutto quello che ti serve.

Il backup su GrapheneOS

Sì, il backup è il punto dolente di GrapheneOS. Non esiste una soluzione tutto-in-uno come il backup iCloud o il backup Google One. Ma qualcosa c’è.

SeedVault — il backup integrato (con riserve)

GrapheneOS include SeedVault, un sistema di backup open source. Gli stessi sviluppatori di GrapheneOS ammettono che l’integrazione non è ottimale: non sempre riesce a salvare i dati di tutte le app. Ma è meglio di niente.

Come configurarlo:

Crea una cartella chiamata Backup nell’app File
Installa l’app AppList e generaci un elenco di tutte le app installate, poi salva il file nella cartella Backup
Connetti una chiavetta USB (in formato exFAT, almeno 128 GB)
Vai in Impostazioni → Sistema → Backup
Annota le 12 parole di recupero che ti vengono proposte e conservale in un posto sicuro. Senza di esse il backup è inutilizzabile
Seleziona la chiavetta come destinazione
Attiva le opzioni: Esegui backup delle mie applicazioni, Ripristino automatico, Backup delle app, Esegui backup dei miei file
Aggiungi la cartella Backup e le altre cartelle che vuoi salvare
Avvia il backup dai tre puntini in alto a destra

Se fallisce alla prima prova, riprova. Capita. È uno dei limiti noti del sistema.

Nota importante: il backup va eseguito per ogni utente separatamente. Se hai tre utenti, devi ripetere la procedura tre volte.

Per contatti, calendario e file

Per queste categorie, la soluzione più robusta è affidarsi a un servizio di sincronizzazione esterno tramite protocolli aperti (CardDAV per i contatti, CalDAV per il calendario). Servizi come EteSync, Nextcloud o Proton (che supportano questi protocolli) funzionano benissimo con GrapheneOS e non dipendono da Google.

Per i file e le foto, qualsiasi cloud che supporti un client Android funziona: Nextcloud, Proton Drive, Tresorit, o anche una chiavetta USB per chi preferisce non usare il cloud.

App consigliate per iniziare

GrapheneOS arriva con pochissime app preinstallate. Ecco una selezione ragionata per coprire le necessità più comuni, senza gonfiare inutilmente il telefono.

Aves — Galleria foto. L’app galleria preinstallata in GrapheneOS è datata. Aves è moderna, veloce e rispetta la privacy.

K-9 Mail — Client email. Gestisce più caselle email in una sola app e supporta la cifratura PGP per chi vuole andare oltre.

AntennaPod — Podcast. Open source, senza account, senza algoritmi. Cerchi un podcast sulla sovranità digitale? Inizia da lì.

NewPipe — YouTube senza pubblicità e senza account. Puoi anche disattivare i contenuti consigliati e i commenti, per un’esperienza più controllata e meno dipendente dall’algoritmo. Il lato negativo: non puoi mettere like né commentare.

VLC — Riproduttore multimediale. Riproduce qualsiasi formato video e audio. Stabile, affidabile, senza raccolta dati.

URLCheck — Prima di aprire un link sospetto, questa app ti mostra la struttura dell’URL, identifica i parametri di tracciamento e ti permette di decidere se procedere.

Read You — Lettore di feed RSS. Se vuoi costruirti un flusso di notizie senza affidarti ad algoritmi che decidono per te cosa leggere, questa è la risposta.

Fossify Voice Recorder — Registratore vocale semplice, open source, con avvio automatico della registrazione all’apertura dell’app.

OpenKeychain — Gestione chiavi PGP direttamente sullo smartphone. Si integra con K-9 Mail.

La regola d’oro: meno app installi, più sei al sicuro. Ogni app è una porta potenziale. Installane solo quelle di cui hai davvero bisogno.

Quando un’app non funziona

GrapheneOS applica protezioni di sicurezza più rigide rispetto ad Android standard. Alcune app, specie quelle bancarie, non sempre le gradiscono.

Ecco la procedura di debug in ordine:

1. Controlla i permessi. Alcune app non si avviano se non hanno il permesso Sensori attivo, anche se apparentemente non ne avrebbero bisogno.

2. Prova a installarla dal Play Store invece che da Aurora Store. Alcune app hanno controlli interni che le fanno rifiutare di funzionare se non provengono dal canale ufficiale.

3. Installa le GAPPS (se non le hai già). Molte app dipendono dai servizi Google per funzionare. A volte basta installare il Google Services Framework, senza l’intero pacchetto.

4. Usa la modalità di compatibilità exploit. Vai nelle informazioni dell’app (tieni premuta l’icona → Informazioni app) e attiva la voce Exploit protection compatibility mode. Se l’app funziona, puoi poi provare a disattivare selettivamente le singole protezioni per capire quale crea il conflitto — oppure lasciare il compatibility mode attivo e non pensarci più.

5. Accetta la limitazione. Alcune app semplicemente non funzionano su sistemi operativi alternativi, perché usano il Play Integrity API di Google per verificare che il dispositivo sia “certificato”. Non è un problema di GrapheneOS — è una scelta degli sviluppatori di quell’app. La community ha raccolto soluzioni specifiche per molte app bancarie: vale la pena cercare il nome della tua banca insieme a “GrapheneOS”.

Come avere foto di qualità professionale

L’app fotocamera preinstallata di GrapheneOS (Secure Camera) fa foto buone ma non sfrutta al massimo le capacità hardware dei Pixel. Per questo, puoi installare la Pixel Camera ufficiale di Google.

GrapheneOS la supporta esplicitamente: gli sviluppatori hanno previsto che venga usata in modo sicuro e le permettono di accedere all’hardware necessario per elaborare le immagini. Puoi anche revocarle il permesso di rete — funzionerà lo stesso.

L’unica mancanza: Pixel Camera si aspetta che Google Foto sia installata per mostrare l’anteprima dell’ultima foto scattata. Se non vuoi installare Google Foto, c’è una piccola app chiamata Gcam Photos Preview che risolve questo specifico problema.

Gli aggiornamenti: non ignorarli

GrapheneOS viene aggiornato molto frequentemente — spesso più volte al mese. Questo non è un fastidio: è una delle sue qualità principali. Ogni aggiornamento corregge falle di sicurezza che, su un sistema meno aggiornato, resterebbero aperte.

Il processo è automatico e non invasivo: il sistema scarica l’aggiornamento in background e ti avvisa con una notifica quando è pronto per essere installato. Ti basta premere la notifica e il telefono si riavvia applicando l’aggiornamento.

Se l’aggiornamento dovesse avere problemi, GrapheneOS ripristina automaticamente la versione precedente. È un sistema a prova di errore.

Stesso discorso per le app: verifica periodicamente che si aggiornino, sia quelle dal Play Store che quelle da F-Droid o Obtanium.

Un telefono più silenzioso e meno dipendente

Una volta che hai installato tutto e configurato GrapheneOS come vuoi, hai un’opportunità rara: il telefono è una tela bianca. Puoi ridisegnare il tuo rapporto con la tecnologia da zero.

GrapheneOS nasce minimale. Senza notifiche non richieste, senza app che cercano la tua attenzione, senza contenuti selezionati da algoritmi. Se decidi di mantenerlo tale, avrai uno strumento molto più silenzioso rispetto a qualsiasi smartphone commerciale.

Qualche suggerimento pratico per mantenere il minimalismo:

Sfondo e colori: vai in Impostazioni → Sfondo e Stile, lascia lo sfondo nero e scegli la combinazione di colori monocromatica (bianco, grigio, nero). Meno colori = meno stimoli.

Schermata di blocco: vai in Impostazioni → Display → Schermata di blocco e disattiva Mostra sempre ora e informazioni, Solleva per attivare e Riattiva schermo per notifiche. L’obiettivo è che il telefono non accenda lo schermo da solo per cercare la tua attenzione.

Notifiche: vai in Impostazioni → Suoni e vibrazione e imposta il suono di notifica predefinito su Nessuno. Poi, per ogni app installata, configura manualmente le notifiche che ti servono davvero — e solo quelle.

Launcher alternativo: considera l’app Kvaesitso come launcher, configurato per mostrare solo le informazioni utili. Il pacchetto di icone Whicons completa l’estetica monocromatica.

Il risultato finale è uno smartphone noioso nell’aspetto e ricco nel funzionamento. Ed è esattamente quello che dovresti volere.

Domande frequenti

GrapheneOS funziona con le app bancarie?

Dipende dall’app. La maggior parte funziona, soprattutto con il bootloader bloccato e le GAPPS installate. Alcune potrebbero richiedere l’attivazione della modalità di compatibilità exploit. Poche potrebbero non funzionare del tutto. La community tiene una lista aggiornata di compatibilità per le principali app bancarie italiane ed europee.

Posso usare Android Auto?

Sì. Installa Android Auto dall’App Store di GrapheneOS. La configurazione consigliata è avere le GAPPS nello spazio privato e usare Android Auto da lì: lo spazio privato è raggiungibile dall’utente principale, quindi non devi cambiare utente per usarlo in auto.

Posso usare Google Pay?

Google Pay richiede la certificazione del dispositivo tramite Play Integrity API. Su GrapheneOS questa certificazione non è disponibile per impostazione predefinita, quindi Google Pay non funziona. È uno dei compromessi noti.

Come funziona la geolocalizzazione?

Funziona normalmente. GrapheneOS aggiunge la notifica di accesso alla posizione anche quando viene usata la localizzazione “a bassa precisione” (WiFi, Bluetooth, celle), non solo il GPS. Questo ti dà visibilità su tutte le richieste di posizione, non solo quelle GPS.

Posso usare il Trova il mio dispositivo di Google?

Sì, con qualche configurazione aggiuntiva. Installa l’app ufficiale Trova il mio dispositivo dal Play Store, dagli i permessi necessari e il permesso di amministrazione dispositivo. Concedi a Google Play Services il permesso di geolocalizzazione Consenti sempre. Funzionerà, anche se per la geolocalizzazione precisa potrebbe essere necessario rimuovere il proxy di GrapheneOS nelle impostazioni.

GrapheneOS supporta Wear OS o smartwatch Android?

No. I dispositivi Wear OS non sono supportati.

Risorse utili

Se vuoi approfondire oltre questa guida, ecco i riferimenti più utili:

Sito ufficiale di GrapheneOS: grapheneos.org — la fonte primaria per tutto
Guida ufficiale di installazione via browser: grapheneos.org/install/web
Guida ufficiale di installazione via terminale: grapheneos.org/install/cli (per chi preferisce il metodo manuale)
Forum ufficiale: discuss.grapheneos.org
Community italiana su Telegram: t.me/GrapheneOSITA
Blog LeAlternative 🇮🇹: lealternative.net/2023/04/12/grapheneos/
Videoguida installazione da macOS di Gianmarco 🇮🇹: gianmarco.gg/videos/grapheneosita/
Approfondimento tecnico 🇮🇹: turtlecute.org/graphene/

GrapheneOS e la filosofia della privacy: capire per usare meglio

Installare GrapheneOS è un gesto tecnico. Ma dietro c’è una questione più profonda che vale la pena capire, almeno nelle sue linee essenziali, perché influenza il modo in cui configurerai il sistema e le scelte che farai ogni giorno.

Il problema degli smartphone moderni

Lo smartphone è diventato, nel corso di circa quindici anni, il dispositivo più personale che esista. Contiene la tua rubrica, la tua corrispondenza, le tue foto, la tua posizione in tempo reale, le tue ricerche, i tuoi acquisti, il tuo calendario. È un ritratto esatto di chi sei, cosa fai, dove vai, con chi parli.

Questo ha un valore economico enorme per le aziende che costruiscono i sistemi operativi che lo fanno girare. Android è sviluppato da Google, un’azienda il cui modello di business si basa sulla raccolta e vendita di dati per la pubblicità mirata. iOS è sviluppato da Apple, che ha un approccio diverso ma non neutro.

Non è un complotto: è semplicemente come funziona il mercato degli smartphone. Il dispositivo è spesso venduto sottocosto o a un prezzo accessibile perché il vero prodotto non è il telefono — sei tu, i tuoi dati, la tua attenzione.

GrapheneOS parte da una premessa diversa: il telefono appartiene a chi lo usa, e chi lo usa decide cosa fare con i propri dati.

La differenza tra sicurezza e privacy

Questi due concetti vengono spesso confusi, ma sono distinti.

La sicurezza riguarda chi non dovrebbe avere accesso ai tuoi dati: criminali, hacker, persone con accesso fisico al dispositivo, malware. Un sistema sicuro rende difficile l’accesso non autorizzato.

La privacy riguarda chi potrebbe avere accesso legittimo ma non dovrebbe: app che raccolgono più dati del necessario, aziende che costruiscono profili comportamentali, sistemi di sorveglianza di massa.

Un iPhone con aggiornamenti recenti è abbastanza sicuro. Ma Apple raccoglie dati sull’utilizzo, e molte app sull’App Store fanno lo stesso. La sicurezza c’è; la privacy dipende molto da come si usa il dispositivo e da quali app si installano.

GrapheneOS affronta entrambe le dimensioni: rafforza la sicurezza con misure tecniche avanzate e riduce la raccolta di dati eliminando i componenti che la abilitano.

Il modello di rischio: non è paranoia, è consapevolezza

Uno dei concetti chiave nella sicurezza informatica è il modello di rischio (threat model). In pratica: da cosa ti vuoi proteggere? Contro cosa vale la pena mettere in campo determinate misure?

Una persona normale non ha bisogno delle stesse protezioni di un giornalista che lavora in un paese con un governo repressivo. Ma questo non significa che non valga la pena proteggersi affatto.

Alcune domande utili per definire il tuo modello di rischio:

Sei preoccupato principalmente dal tracciamento commerciale (app che raccolgono dati per la pubblicità)?
Ti preoccupa la possibilità che qualcuno con accesso fisico al tuo telefono possa estrarne i dati?
Vuoi semplicemente avere un sistema più aggiornato e meno esposto a vulnerabilità note?
Hai esigenze particolari legate al tuo lavoro o alla tua situazione personale?

A seconda delle risposte, la configurazione di GrapheneOS che ha senso per te cambierà. Chi vuole solo un sistema più sicuro e aggiornato può usarlo quasi come un Android normale. Chi vuole massima privacy richiede configurazioni più elaborate.

La bellezza di GrapheneOS è che supporta tutti e due gli estremi, e tutto quello che c’è in mezzo.

Sicurezza avanzata: le protezioni tecniche di GrapheneOS

Oltre alle funzionalità già descritte, GrapheneOS implementa una serie di miglioramenti tecnici al cuore del sistema operativo che lo rendono più resistente agli attacchi anche senza che l’utente debba configurare nulla. Questi operano “sotto il cofano” ma è utile conoscerli per capire perché GrapheneOS è considerato il sistema più sicuro disponibile per smartphone.

Rafforzamento dell’ambiente di esecuzione

GrapheneOS ha modificato il modo in cui le app vengono eseguite, aggiungendo protezioni contro una classe ampia di vulnerabilità. In pratica, rende più difficile per un malware sfruttare falle nel codice delle app per ottenere privilegi aggiuntivi o accedere ad altre parti del sistema.

Questo si traduce in un effetto pratico che noterai: alcune app — specialmente quelle più vecchie o quelle sviluppate male — potrebbero non funzionare su GrapheneOS, o funzionare solo dopo aver disattivato alcune protezioni. Non è un difetto. È il segno che quelle app facevano affidamento su comportamenti che su un sistema sicuro non sono permessi.

Isolamento rafforzato delle app

Su Android standard, le app sono già abbastanza isolate le une dalle altre. Su GrapheneOS questo isolamento è ulteriormente rafforzato. Diventa più complesso per un’app raccogliere identificatori univoci del dispositivo (come l’IMEI o il numero seriale) o comunicare in modo non autorizzato con altre app.

Questo ha un impatto diretto sulla privacy: molti sistemi di tracciamento pubblicitario si basano proprio su questi identificatori per costruire profili persistenti degli utenti. Rendendoli meno accessibili, GrapheneOS rende meno efficaci queste pratiche.

Proxy di sistema per le connessioni di rete interne

Android, anche senza le app di Google installate, contatta periodicamente i server di Google per operazioni di sistema: verificare la connessione internet, sincronizzare l’orario, ottenere dati di geolocalizzazione approssimativa. Queste connessioni di per sé sono innocue, ma permettono a Google di sapere che quel dispositivo è online.

GrapheneOS si interpone come proxy: le connessioni di sistema passano attraverso i server di GrapheneOS, che le inoltrano ai server di Google. In questo modo Google riceve le risposte alle sue richieste, ma non può associarle al tuo specifico dispositivo — vede solo le richieste aggregate di tutti i dispositivi GrapheneOS, mescolate insieme.

Gestione avanzata della memoria

GrapheneOS utilizza tecniche di gestione della memoria che rendono più difficile sfruttare vulnerabilità di tipo “buffer overflow” e simili. Queste sono tra le classi di vulnerabilità più comuni e sfruttate dai malware sofisticati. Renderle più difficili da sfruttare aumenta significativamente il livello di protezione contro attacchi sofisticati.

La vita quotidiana con GrapheneOS: cosa cambia davvero

Dopo qualche settimana di uso, GrapheneOS non sembra più strano. Le differenze rispetto a un Android normale si riducono a poche categorie.

Quello che funziona esattamente come prima

Telefonate e SMS
WhatsApp, Telegram, Signal e la maggior parte delle app di messaggistica
App di navigazione come Google Maps (installata dal Play Store) o OsmAnd (open source)
Spotify, Netflix, YouTube
La maggior parte delle app di produttività
Email con qualsiasi app client
Il browser (Vanadium o Chrome)
Le fotografie (con l’app Pixel Camera)

Quello che richiede una piccola configurazione aggiuntiva

Le app bancarie: la maggior parte funziona, alcune richiedono di attivare la modalità di compatibilità exploit. Poche richiedono anche le GAPPS installate.
Le notifiche push: funzionano, ma richiedono che Google Play Services abbia il permesso di girare in background.
Android Auto: funziona, ma va installato separatamente.
Le funzioni di accessibilità: richiedono di scaricare i motori STT e TTS dal Play Store.

Quello che non funziona (o funziona male)

Google Pay e i pagamenti NFC tramite servizi Google: non funzionano, perché richiedono la certificazione Play Integrity.
Alcune app di gaming che usano sistemi anti-cheat aggressivi: potrebbero non avviarsi.
Wear OS: i dispositivi indossabili con Wear OS non sono supportati.
Alcune funzionalità AI legate specificamente all’hardware Pixel: potrebbero funzionare parzialmente o per niente, a seconda del modello.

Nella pratica quotidiana, la differenza rispetto a un Android normale è molto più piccola di quanto si possa immaginare. La maggior parte delle persone che passa a GrapheneOS si accorge che quasi tutto funziona, e le poche cose che non funzionano sono spesso sostituibili con alternative.

Comprare un Pixel: quale modello scegliere?

Se stai acquistando un Pixel appositamente per GrapheneOS, ecco alcune considerazioni pratiche.

Il fattore supporto

GrapheneOS supporta solo i modelli per cui Google fornisce ancora aggiornamenti di sicurezza hardware. Quando Google smette di aggiornare un modello, GrapheneOS lo toglie dalla lista dei supportati. La durata del supporto si estende tipicamente per 5-7 anni dal lancio del dispositivo.

I modelli attualmente più recenti (Pixel 8, 8a, 8 Pro, 9, 9 Pro e varianti) hanno il supporto più lungo davanti a loro. Il Pixel 8a in particolare rappresenta un ottimo compromesso tra prezzo e prestazioni.

Versione internazionale vs. operatore

Acquista sempre la versione sbloccata (unlocked) del Pixel, non quella vincolata a un operatore telefonico. Alcune versioni operator-locked hanno il bootloader permanentemente bloccato e non è possibile installarci GrapheneOS.

Dove acquistare

Google Store, Amazon e i principali rivenditori di elettronica vendono versioni sbloccate. Verifica sempre che la confezione specifichi “unlocked” o “sbloccato”. Esistono anche negozi online specializzati che vendono Google Pixel già con GrapheneOS preinstallato e configurato, per chi preferisce non fare l’installazione da sé.

Considerazioni sulla privacy nell’uso quotidiano

Installare GrapheneOS è solo il primo passo. Il sistema ti dà strumenti potenti, ma l’uso che ne fai conta quanto le impostazioni di sistema.

Le app che installi

GrapheneOS non può proteggerti da un’app che hai scelto di installare e alla quale hai dato tutti i permessi. Se installi TikTok e gli dai accesso al microfono, alla fotocamera e ai tuoi contatti, TikTok li userà — su GrapheneOS come su qualsiasi altro sistema.

La differenza è che su GrapheneOS puoi decidere quali permessi dare e quali no, con granularità molto maggiore rispetto ad Android standard. Puoi installare TikTok nello spazio privato, senza permesso di rete, e usarlo solo offline per guardare video già scaricati. Puoi dargli accesso solo ad alcune foto specifiche invece dell’intera galleria.

Il controllo è tuo. Ma richiede consapevolezza.

La rete che usi

Un VPN può aggiungere un ulteriore strato di privacy nascondendo il tuo indirizzo IP al sito o all’app che stai usando. Non è una soluzione magica — il provider VPN vede il tuo traffico — ma sposta la fiducia da molti soggetti diversi a uno solo.

GrapheneOS permette di configurare VPN diverse per utenti diversi, o per app diverse all’interno dello stesso utente. Puoi avere le app bancarie che si connettono direttamente (senza VPN, perché la banca conosce già la tua identità e un IP straniero potrebbe bloccare l’accesso), mentre le altre app passano per una VPN.

I metadati delle comunicazioni

Anche usando Signal o app di messaggistica crittografata, alcune informazioni rimangono visibili: con chi parli, quando, con quale frequenza. Questi metadati sono spesso più rivelatori del contenuto stesso dei messaggi.

GrapheneOS non risolve il problema dei metadati — nessun sistema lo fa completamente. Ma ti dà gli strumenti per essere consapevole di quello che condividi e con chi.

Quando qualcosa va storto: risoluzione dei problemi comuni

Con l’uso quotidiano di GrapheneOS, prima o poi incontrerai qualche problema. Ecco i più comuni e come affrontarli.

Il telefono non si connette alla rete mobile

Verifica che la SIM sia inserita correttamente e che il profilo APN del tuo operatore sia configurato. Vai in Impostazioni → Rete e internet → Schede SIM → [il nome del tuo operatore] → Nomi punti di accesso. Se la lista è vuota, cerca online “APN [nome operatore] Android” e inserisci manualmente i dati.

Un’app mostra notifiche in ritardo

Quasi sempre è un problema di risparmio energetico. Vai nelle informazioni dell’app e disattiva le ottimizzazioni batteria per quella specifica app. Se le GAPPS sono installate, verifica che Google Play Services abbia il permesso di girare in background come descritto in precedenza.

Lo schermo diventa nero durante le chiamate

È il sensore di prossimità che funziona correttamente (spegne lo schermo quando il telefono è vicino al viso). Se il problema persiste anche lontano dal viso, vai in Impostazioni → Accessibilità e cerca le opzioni relative al sensore di prossimità durante le chiamate.

Un aggiornamento sembra bloccato

Gli aggiornamenti di GrapheneOS vengono scaricati in background. Se una notifica di aggiornamento rimane lì per molto tempo, verifica la connessione WiFi e assicurati di avere abbastanza spazio libero sullo storage. Puoi anche controllare manualmente andando in Impostazioni → Sistema → Aggiornamenti di sistema.

L’app della fotocamera non salva le foto

Verifica che l’app abbia il permesso di scrittura sullo storage. Se usi Pixel Camera invece di Secure Camera, verifica che abbia accesso alle cartelle necessarie. Riavvia l’app dopo aver modificato i permessi.

Mantenere GrapheneOS nel tempo

Installare GrapheneOS è un evento. Mantenerlo bene è un’abitudine. Ecco cosa fare nei mesi successivi all’installazione per continuare a beneficiare delle sue qualità.

Aggiornamenti di sistema: non rimandare

Ogni volta che compare la notifica di aggiornamento disponibile, installalo. Non aspettare giorni o settimane. Gli aggiornamenti di GrapheneOS contengono quasi sempre patch di sicurezza che correggono vulnerabilità note. Un sistema aggiornato è un sistema significativamente più difficile da compromettere.

Il processo è semplice: comparirà una notifica, premi su di essa, il sistema scarica e prepara l’aggiornamento (di solito in pochi minuti), poi ti chiede di riavviare. Il riavvio stesso impiega circa un minuto. Fine.

Rivedi i permessi delle app periodicamente

Con il tempo si accumula qualche app in più, qualche permesso che avevi concesso “temporaneamente” e dimenticato. Ogni due o tre mesi, vai in Impostazioni → Privacy → Gestione autorizzazioni e scorri le varie categorie. Per ogni app nella lista, chiediti: ha davvero bisogno di questo permesso? L’uso che faccio di questa app giustifica l’accesso che le ho dato?

Spesso scoprirai di aver dato permessi che non servono più, o che non avevi realizzato di aver concesso.

Backup regolari

Non aspettare di perdere il telefono per accorgerti che l’ultimo backup risale a mesi fa. Stabilisci una cadenza — una volta al mese è ragionevole per la maggior parte delle persone — e fai girare SeedVault con la chiavetta collegata. Poi verifica che il backup sia andato a buon fine controllando le notifiche.

Se hai dati particolarmente importanti (foto, documenti, conversazioni), considera una seconda copia su un cloud di tua scelta oltre al backup locale sulla chiavetta.

Tieniti informato

La community di GrapheneOS è attiva e aggiornata. Il forum ufficiale su discuss.grapheneos.org pubblica regolarmente note sulle nuove versioni, sui problemi noti e sulle soluzioni. Il gruppo Telegram italiano (@GrapheneOSITA) è un buon posto per chiedere aiuto in caso di problemi specifici.

Non serve leggere tutto ogni giorno. Ma ogni tanto dare un’occhiata alle note di rilascio delle ultime versioni ti aiuta a capire cosa è cambiato e se ci sono nuove funzionalità che potresti voler attivare.

Quando conviene reinstallare

GrapheneOS non richiede reinstallazioni periodiche come alcuni sistemi desktop. Ma ci sono situazioni in cui ha senso ripartire da zero:

Hai accumulato molti utenti e configurazioni che non usi più e il sistema sembra lento o confuso
Hai installato qualcosa di cui non ti fidi e vuoi essere sicuro di aver rimosso tutto
Stai vendendo o regalando il Pixel e vuoi lasciarlo pulito
Vuoi ricominciare con una configurazione diversa da quella che hai

In tutti questi casi, puoi semplicemente fare un reset di fabbrica da Impostazioni → Sistema → Opzioni di ripristino → Cancella tutti i dati. GrapheneOS rimane installato, ma tutto il contenuto viene cancellato. Riparti dalla procedura guidata iniziale.

L’installazione via terminale: per chi vuole il controllo totale

Questa guida ha trattato principalmente il metodo di installazione via Web Installer, che è il più semplice e accessibile. Ma esiste anche un metodo alternativo: l’installazione via riga di comando (terminale).

Perché sceglierlo? Due ragioni principali.

La prima è la fiducia: il Web Installer carica i file del sistema operativo dai server di GrapheneOS. Se per qualsiasi ragione preferisci non dipendere da quei server durante l’installazione, puoi scaricare i file tu stesso, verificarne l’autenticità tramite firme crittografiche e procedere manualmente.

La seconda è la trasparenza: il metodo da terminale mostra esattamente ogni comando eseguito. Non c’è nessuna “magia” dietro i bottoni — vedi tutto ciò che succede.

Il procedimento è descritto in dettaglio sul sito ufficiale: grapheneos.org/install/cli. Richiede familiarità con il terminale (il prompt dei comandi su Windows, il Terminal su macOS e Linux) e con l’installazione di strumenti come adb e fastboot. Non è complicato, ma richiede attenzione e la volontà di seguire ogni passaggio con precisione.

Per chi è alle prime armi, il Web Installer è la scelta migliore. Per chi vuole approfondire, il metodo da terminale è un ottimo secondo passo.

GrapheneOS non è solo privacy: è anche liberazione dall’eccesso

C’è un aspetto di GrapheneOS che viene spesso trascurato nelle guide tecniche: il suo impatto sul rapporto quotidiano con lo smartphone.

Gli smartphone moderni sono progettati per catturare e mantenere la nostra attenzione. Ogni notifica, ogni banner colorato, ogni vibrazione è pensata per riportarci sullo schermo. Le app di social media, i giochi, persino le app di messaggistica — tutte concorrono per il tempo che dedichiamo al telefono.

GrapheneOS nasce senza nulla di tutto questo. Non ci sono notifiche di sistema non richieste, non c’è un assistente vocale sempre in ascolto che ti suggerisce cose, non ci sono widget animati che cambiano costantemente. Quello che vedi sullo schermo l’hai messo tu.

Questo silenzio iniziale può sembrare disorientante. Siamo così abituati all’iperattività degli smartphone commerciali che uno smartphone “noioso” sembra quasi rotto.

Ma col tempo, molte persone che usano GrapheneOS riferiscono qualcosa di interessante: il telefono smette di essere il centro della giornata. Si usa quando serve, si mette via quando non serve. Non chiama la tua attenzione da solo.

È un effetto collaterale non intenzionale di un sistema pensato per la sicurezza e la privacy. Ma forse è uno dei benefici più concreti che puoi aspettarti dall’installazione.

Per concludere

GrapheneOS non è la scelta giusta per chi vuole un telefono plug-and-play senza dover capire come funziona. Ma è la scelta giusta per chi vuole riprendere il controllo di un dispositivo che, nel corso degli anni, è diventato il pezzo di tecnologia più invasivo che portiamo con noi ogni giorno.

Non serve diventare esperti di sicurezza informatica. Serve solo la volontà di dedicare qualche ora alla configurazione iniziale e la curiosità di esplorare le possibilità che questo sistema offre.

Puoi usarlo quasi come un Android normale, con tutte le app Google funzionanti. Puoi usarlo senza nessuna app Google. Puoi dividerlo in utenti separati per separare lavoro e vita privata, app affidabili e app meno affidabili, identità digitali diverse.

E man mano che lo usi, capirai che la domanda giusta non è “cosa mi manca rispetto al mio vecchio telefono?” ma “di cosa ho davvero bisogno?” Spesso la risposta è: molto meno di quello che pensavi.

GrapheneOS ti restituisce qualcosa che gli smartphone moderni tendono a portarti via senza che te ne accorga: il senso che il dispositivo lavori per te, e non il contrario.

Un passo alla volta

Se sei arrivato fin qui senza avere ancora installato GrapheneOS, non sentirti in obbligo di fare tutto in una volta. L’approccio migliore per molte persone è:

Fase 1: Installa GrapheneOS e configura le GAPPS con il tuo account Google. Usa il telefono come un Android normale per qualche settimana. Abituati all’interfaccia, esplora le impostazioni.
Fase 2: Inizia a esplorare le impostazioni di sicurezza e privacy che ti interessano. Attiva lo spegnimento automatico di WiFi e Bluetooth. Controlla i permessi delle app. Aggiungi i pulsanti rapidi per microfono e fotocamera.
Fase 3: Valuta se vuoi separare alcune app in uno spazio privato o in un secondo utente. Esplora alternative open source per qualche app che usi spesso.
Fase 4: Decidi quanto lontano vuoi spingere la degooglizzazione, e procedi secondo i tuoi tempi.

Non c’è un traguardo fisso. Ognuno trova il proprio equilibrio tra comodità e controllo. L’importante è che sia una scelta consapevole.

La scelta è tua — ed è esattamente di questo che si tratta.

Contribuire al progetto

GrapheneOS è un progetto open source costruito interamente da volontari e sviluppatori indipendenti. Non è finanziato da nessuna grande azienda, non ha investitori, non ha pubblicità. Sopravvive grazie alle donazioni della community e al lavoro di chi contribuisce con codice, documentazione e supporto ad altri utenti.

Se questo sistema ti è stato utile, considera di:

Donare direttamente: grapheneos.org/donate
Partecipare alla community: discuss.grapheneos.org, @GrapheneOSITA su Telegram
Aiutare altri utenti: rispondi alle domande nei gruppi, condividi la tua esperienza
Segnalare problemi: se trovi un bug o qualcosa che non funziona, segnalalo sul forum ufficiale

Ogni contributo, grande o piccolo, aiuta a mantenere questo progetto vivo e a migliorarlo per tutti.

Glossario essenziale

Se alcuni termini tecnici usati in questa guida ti hanno lasciato qualche dubbio, ecco un riferimento rapido.

AOSP — Android Open Source Project. La versione “base” di Android, senza le app e i servizi di Google. GrapheneOS è costruito sopra AOSP.

APK — Il formato dei file di installazione delle app Android. Come un file .exe su Windows.

App Store (di GrapheneOS) — Non è il Play Store di Apple. È l’app preinstallata su GrapheneOS che contiene le app di sistema sviluppate dal team di GrapheneOS, tra cui Vanadium, il lettore PDF e Google Play Services (da installare opzionalmente).

Aurora Store — Un client alternativo per il Google Play Store che permette di scaricare app senza un account Google, in modalità anonima.

Bootloader — Il programma che si avvia prima del sistema operativo. Determinare quale sistema operativo caricare è il suo compito principale. Nei Pixel può essere sbloccato e poi ribloccato.

CardDAV / CalDAV — Protocolli aperti per la sincronizzazione di rubrica e calendario. Permettono di sincronizzare questi dati con qualsiasi servizio compatibile senza dipendere da Google.

Cold storage / Cold wallet — In questo contesto: conservare dati (o chiavi crittografiche) su un dispositivo non connesso a internet.

exFAT — Un formato di file system adatto per chiavette USB di grandi dimensioni. Usalo quando formatti la chiavetta per il backup di GrapheneOS.

EXIF — Metadati incorporati nei file immagine. Possono contenere la posizione GPS, il modello del dispositivo, la data e l’ora dello scatto e molto altro.

F-Droid — Un App Store alternativo che contiene solo app open source gratuite.

Fastboot — Una modalità di avvio speciale dei dispositivi Android che permette di comunicare con il dispositivo tramite un computer per operazioni di basso livello, come l’installazione di un sistema operativo.

Flash — Nel contesto dell’installazione di sistemi operativi su smartphone, “fare il flash” significa scrivere il sistema operativo nella memoria del dispositivo.

GAPPS — Google Apps. Il pacchetto che comprende Google Play Store, Google Play Services e Google Services Framework. Questi tre componenti lavorano insieme per fornire le funzionalità Google sugli smartphone Android.

GSF — Google Services Framework. Il componente più “leggero” delle GAPPS, spesso sufficiente per far funzionare alcune app che normalmente richiedono l’intero pacchetto Google.

Hot wallet / Hot storage — Un dispositivo o un’app connessa a internet. In questo contesto si riferisce ai wallet di app mobili che sono sempre online.

KYC — Know Your Customer. Il processo di verifica dell’identità richiesto da molte piattaforme finanziarie e exchange. Implica fornire nome, documento d’identità e spesso un selfie.

MAC address — Un identificatore univoco assegnato alla scheda di rete di ogni dispositivo. GrapheneOS lo rende casuale a ogni connessione WiFi per impedire il tracciamento.

Multisig — Multi-firma. Una configurazione che richiede più firme (da dispositivi diversi) per autorizzare un’operazione. Usata per la massima sicurezza.

Obtanium — Un’app che permette di installare e aggiornare applicazioni direttamente dai repository GitHub degli sviluppatori.

OEM Unlock — Sblocco OEM. L’impostazione che permette di sbloccare il bootloader di un dispositivo Android. Va attivata prima di procedere con l’installazione di GrapheneOS.

Open source — Software il cui codice sorgente è pubblicamente disponibile e può essere esaminato, modificato e distribuito da chiunque. GrapheneOS è completamente open source.

Play Integrity API — Un sistema di Google che permette alle app di verificare se il dispositivo è “certificato” (cioè usa un sistema operativo approvato da Google). Alcune app lo usano per rifiutarsi di funzionare su sistemi alternativi.

Proxy — Un intermediario tra un client e un server. GrapheneOS usa un proxy per le connessioni di sistema verso Google, rendendo il dispositivo irriconoscibile.

Sandbox / Sandboxed — Un ambiente isolato in cui un programma viene eseguito, impedendogli di accedere a risorse al di fuori di quell’ambiente. Le GAPPS su GrapheneOS funzionano in modalità sandboxed.

SeedVault — Il sistema di backup integrato in GrapheneOS. Open source ma con limitazioni note riguardo alla capacità di salvare i dati di tutte le app.

Shelter / Insular — App di terze parti per attivare il profilo di lavoro su Android, incluso GrapheneOS.

STT / TTS — Speech-to-Text (voce a testo) e Text-to-Speech (testo a voce). I motori che abilitano funzioni come il riconoscimento vocale e la lettura ad alta voce.

Vanadium — Il browser preinstallato in GrapheneOS. Basato su Chromium, ma con miglioramenti di sicurezza aggiuntivi e un ad-blocker integrato.

Verified Boot — Una funzione di sicurezza che verifica l’integrità del sistema operativo ad ogni avvio. Attiva solo quando il bootloader è bloccato.

Web Installer — Il metodo di installazione di GrapheneOS via browser. Disponibile su grapheneos.org/install/web. Automatizza la procedura che altrimenti va eseguita manualmente da terminale.