LA GUIDA OPERATIVA

Sviluppo di mobile app: come proteggere codice, dati e utenti

Home Soluzioni aziendali
Indirizzo copiato

Un’app mobile sicura nasce da un processo progettuale attento e ben pianificato. Security e privacy by design devono essere considerati requisiti funzionali: è l’unico modo per proteggere codice, dati e utenti nel contesto più dinamico e strategico che le aziende sfruttano quotidianamente

Pubblicato il 15 apr 2025
Riccardo Poffo

Head of Operations, Mobisec

Sviluppo sicuro di mobile app

Lo sviluppo di applicazioni mobile richiede oggi un approccio costante alla sicurezza per proteggere dati e utenti, oltre che garantire la resilienza del software nel tempo.

L’approccio più efficace è quello strutturato secondo i principi del Secure Software Development Life Cycle (SSDLC), integrando la sicurezza fin dalle prime fasi del progetto ma stando attenti poi a certi dettagli che sono propri delle app mobile e che si allontanano da un classico sviluppo web o desktop.

Sicurezza e privacy by design: il punto di partenza

Un’app mobile sicura nasce da un processo progettuale attento e ben pianificato. Security e privacy by design devono essere considerati requisiti funzionali, con una programmazione del progetto che preveda fin dall’inizio:

  1. l’identificazione e la classificazione dei dati trattati, per essere conformi alla normativa GDPR;
  2. la definizione di misure tecniche e organizzative di protezione dei dati e del codice, una best practice ereditata dallo standard ISO 27001;
  3. la mappatura dei rischi attraverso attività di threat modeling, utili a identificare superfici d’attacco e scenari d’attacco;
  4. la selezione di tecnologie, librerie e fornitori affidabili, valutando la sicurezza dell’intera supply chain software.

Applicazione dello standard MASVS

Lo OWASP MAS (Mobile Application Security) rappresenta il riferimento più completo per chi si prefigge l’obiettivo di sviluppare app sicure. Strutturato in tre diversi capitoli, segue gli aspetti di sicurezza delle app dalla progettazione ai test di sicurezza.

Il capitolo MASVS (Mobile Application Security Verification Standard) consente di validare i requisiti di sicurezza su aspetti come architettura, gestione delle credenziali, protezione dei dati, comunicazione sicura e difesa contro reverse engineering.

L’applicazione coerente di MASVS, integrata con l’identificazione delle debolezze dei componenti listate nel Mobile Application Security Weakness Enumeration (MASWE) e con i test basati sul Mobile Application Security Testing Guide (MASTG), permette di costruire processi ripetibili e misurabili, anche in contesti di sviluppo continuo.

Resilienza e capacità di investigazione post-incidente

Oltre alla prevenzione, è importante progettare l’app affinché sia in grado di supportare attività di risposta e investigazione in caso di incidente.

Logging sicuro, tracciamento dell’integrità del device (rooting) e della presenza di strumenti utilizzati dagli hacker per cercare falle applicative, sono aspetti che spesso vengono trascurati.

Integrare questi controlli non significa compromettere la privacy dell’utente, ma dotare il sistema di una capacità diagnostica fondamentale per essere proattivi in caso di attività sospette e reattivi in caso di attacchi provenienti o diretti alle app.

Protezione delle comunicazioni di rete

Le app possono tranquillamente essere utilizzate come testa di ponte per l’analisi e l’attacco dei sistemi di backend. Proteggere le comunicazioni client-server tramite tecniche di certificate pinning o certificate transparency, in combinazione con una solida integrazione delle best practice SSL/TLS, può ridurre l’esposizione a tentativi di man-in-the-middle e downgrade, soprattutto in presenza di dispositivi compromessi o reti insicure.

L’implementazione deve però prevedere un’integrazione nei flussi aziendali per l’aggiornamento dei dati (certificate rotation) e dei fallback controllati al fine di evitare problemi di disponibilità in caso di modifiche infrastrutturali legittime.

Hardening dei componenti perimetrali

Le app mobile espongono numerosi componenti accessibili anche da altre applicazioni o processi locali.

Limitare e configurare correttamente l’esposizione dei componenti IPC (inter-process communication) come gli intent, broadcast receiver e content provider su Android, o gli URL scheme su iOS permette di mantenere un’integrazione completa con gli altri elementi nel sistema assicurandosi che tali componenti non vengano sfruttati in maniera potenzialmente critica come è successo nel 2024 all’app di messaggistica sicura Element.

Test di sicurezza periodici: un requisito imprescindibile

Il rilascio annuale di nuove versioni dei sistemi operativi mobili, le continue patch fornite dai vendor che integrano nuove funzioni e i rilasci frequenti delle applicazioni sviluppate sempre più spesso con progetti Agile, rendono necessaria una strategia strutturata di verifica.

L’applicazione del singolo VA/PT (vulnerability assessment/penetration test) annuale richiesto normalmente a chi sviluppa software è un requisito minimo ma spesso insufficiente nel mondo mobile.

È consigliabile pianificare attività complete di mobile application penetration test almeno due volte l’anno, assicurandosi questi vengano svolti ai rilasci delle nuove versioni dei sistemi operativi; il numero sale a quattro sulle applicazioni business critical o sviluppate in modalità agile con aggiornamenti funzionali rilevanti.

Questi test dovrebbero coprire sia attività di Static Application Security Testing (SAST) quale l’analisi del codice dei pacchetti, sia quelle di Dynamic Application Security Testing (DAST), che comprende comportamento a runtime, reverse engineering, manipolazioni di memoria, tampering e altro ancora.

Supporto ai sistemi operativi: una scelta strategica

Il mantenimento della compatibilità con versioni obsolete dei sistemi operativi, spesso causato da una scelta pigra o mal ragionata, può rappresentare un rischio significativo per gli utenti che decidono di affidarsi alla tua app seppur utilizzando un dispositivo molto vecchio.

Ad oggi, sistemi operativi Android precedenti alla versione 9 e iOS precedenti alla 16 presentano numerose vulnerabilità note che non sono e non saranno mai corrette da aggiornamenti di sicurezza.

Un’analisi strategica del mercato permette di stabilire a monte le politiche di supporto e revisioni annuali basate su metriche di utilizzo e valutazioni di rischio consentono di bilanciare costantemente accessibilità e sicurezza, riducendo l’esposizione della base utenti.

Conclusioni

Lo sviluppo sicuro di applicazioni mobile non può prescindere da un approccio strutturato, basato su standard, processi e controlli verificabili e ripetuti. Le attività da svolgere per mettere in sicurezza un’app, divise per momento nel ciclo di vita del software, sono le seguenti:

  1. prima degli sviluppi: privacy & security by design;
  2. durante gli sviluppi: integrazione di strumenti di analisi del codice;
  3. al termine degli sviluppi (milestone o rilasci): Mobile Application Penetration Test;
  4. ciclicamente: rivalutazione degli standard, analisi dei risultati di sicurezza, attività di patch e update senza rilascio di nuove feature.

Integrare la sicurezza nel ciclo di vita di un’app mobile è molto più di una dichiarazione d’intenti: è un approccio visionario che permette una significativa riduzione di costi e rischi, oltre che l’unico modo per proteggere codice, dati e utenti nel contesto più dinamico e strategico che le aziende sfruttano quotidianamente.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Riccardo Poffo
Head of Operations, Mobisec

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • L’importanza del software sicuro: come innalzare la sicurezza delle applicazioni cloud-native

  • LA SOLUZIONE

    L’importanza del software sicuro: come innalzare la sicurezza delle applicazioni cloud-native

    01 Lug 2024

    di Gabriele Faggioli e Michelangelo Uberti

    Condividi
  • Come diventare Security consultant: guida a una delle professioni del futuro

  • formazione

    Come diventare Security consultant: guida a una delle professioni del futuro

    30 Ott 2024

    di Giuditta Mosca

    Condividi
  • Cloud computing: vantaggi, minacce, sfide attuali e future

  • Il rapporto

    Cloud computing: vantaggi, minacce, sfide attuali e future

    20 Nov 2024

    di Federica Maria Rita Livelli

    Condividi
  • Cybersecurity: come mettere in sicurezza le aziende

  • guida

    Cybersecurity: come mettere in sicurezza le aziende

    06 Feb 2025

    di Federico Parravicini

    Condividi

Articolo 1 di 5