From 33790427dff744e77f22814f1ff4fa4c715e7922 Mon Sep 17 00:00:00 2001
From: DevEnv nis2-agile <dev@certisource.it>
Date: Sun, 31 May 2026 08:32:31 +0200
Subject: [PATCH] =?UTF-8?q?[DOCS]=20guida=20=F0=9F=92=A1:=20cap-4=20punto-?=
 =?UTF-8?q?zero=20(registrazione/login/ruoli),=20cap-12=20prerequisito=20c?=
 =?UTF-8?q?onnettori,=20glossario=20completato=20(FAIR/ALE/TEF/KRI/CVE/KMS?=
 =?UTF-8?q?/MSP-MSSP/SIEM-EDR/CMDB/ATECO)?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Completa il recepimento dei findings della review (3 esperti). Tutte le 5 osservazioni tester + critici/warning/migliorie applicati.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
---
 public/guida.html | 51 +++++++++++++++++++++++++++++++++++++++++++++++
 1 file changed, 51 insertions(+)

diff --git a/public/guida.html b/public/guida.html
index 2d26a7c..87a72dd 100644
--- a/public/guida.html
+++ b/public/guida.html
@@ -291,6 +291,23 @@
                 <section id="cap-4" class="guide-section">
                     <h2><span class="num">4</span> Il percorso tipico (cosa fare per primo)</h2>
 
+                    <h3>Punto zero: accesso e ruoli</h3>
+                    <p>Prima dell'onboarding: <strong>registrati</strong> (pagina di registrazione) → conferma l'email →
+                    al primo <strong>login</strong> parte automaticamente l'onboarding. Ogni utente ha un <strong>ruolo</strong>
+                    che determina cosa vede e può fare:</p>
+                    <ul>
+                        <li><strong>org_admin</strong> — amministra l'organizzazione (membri, impostazioni, tutto).</li>
+                        <li><strong>compliance_manager</strong> — gestisce assessment, rischi, policy, fornitori.</li>
+                        <li><strong>board_member</strong> — vista direzionale (dashboard, report, KRI).</li>
+                        <li><strong>auditor</strong> — sola lettura su controlli, evidenze, audit log.</li>
+                        <li><strong>employee</strong> — operatività limitata + presa visione policy/formazione.</li>
+                        <li><strong>consultant</strong> — gestisce <em>più aziende clienti</em> (sezioni "Aziende" e "Connettori").</li>
+                    </ul>
+                    <div class="callout-tip">
+                        <strong>Nota.</strong> Le sezioni <strong>Aziende</strong> e <strong>Connettori</strong> sono pensate per
+                        consulenti/studi che gestiscono più clienti: se sei un utente singolo potresti non vederle.
+                    </div>
+
                     <p>Se è la tua prima volta, segui questi passi in ordine:</p>
 
                     <ol class="step-list">
@@ -819,6 +836,10 @@
                         <strong>Perché conta.</strong> Avvicina l'azienda a una compliance <em>continua</em> anziché
                         fotografata una volta l'anno: è il modello dei migliori strumenti internazionali.
                     </div>
+                    <div class="callout-tip">
+                        <strong>Prerequisito.</strong> Questa vista si popola man mano che configuri i <strong>Connettori</strong>
+                        (vedi cap. 3): senza connettori i controlli restano "non monitorati" (grigio) e la copertura è 0%.
+                    </div>
 
                     <div class="example-box">
                         <strong>Esempio.</strong> Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV
@@ -941,6 +962,36 @@
 
                         <dt><span class="acro">RAG</span> Retrieval-Augmented Generation</dt>
                         <dd>Tecnica AI che fa rispondere l'assistente partendo da documenti caricati nella Knowledge Base.</dd>
+
+                        <dt><span class="acro">FAIR</span> Factor Analysis of Information Risk</dt>
+                        <dd>Metodo per stimare il rischio in valore economico (€). Standard The Open Group.</dd>
+
+                        <dt><span class="acro">ALE</span> Annualized Loss Expectancy</dt>
+                        <dd>Perdita annua attesa: l'output economico dell'analisi FAIR.</dd>
+
+                        <dt><span class="acro">TEF</span> Threat Event Frequency</dt>
+                        <dd>Frequenza attesa degli eventi minaccia in un anno (input del calcolo FAIR).</dd>
+
+                        <dt><span class="acro">KRI</span> Key Risk Indicator</dt>
+                        <dd>Indicatore con soglie e semaforo per monitorare un rischio nel tempo.</dd>
+
+                        <dt><span class="acro">CVE</span> Common Vulnerabilities and Exposures</dt>
+                        <dd>Identificativo standard di una vulnerabilità nota.</dd>
+
+                        <dt><span class="acro">KMS</span> Key Management System</dt>
+                        <dd>Sistema di gestione delle chiavi crittografiche.</dd>
+
+                        <dt><span class="acro">MSP / MSSP</span> Managed (Security) Service Provider</dt>
+                        <dd>Fornitore di servizi IT (di sicurezza) gestiti: in ambito NIS2 a prescindere dalla dimensione.</dd>
+
+                        <dt><span class="acro">SIEM / EDR</span> Security Information and Event Management / Endpoint Detection and Response</dt>
+                        <dd>Sistemi che rilevano e segnalano eventi di sicurezza (sorgenti per ingestion incidenti ed evidence automation).</dd>
+
+                        <dt><span class="acro">CMDB</span> Configuration Management Database</dt>
+                        <dd>Inventario degli asset IT, importabile nella piattaforma.</dd>
+
+                        <dt><span class="acro">ATECO</span> Classificazione delle attività economiche</dt>
+                        <dd>Codice che identifica il settore dell'impresa (usato anche per il benchmark settoriale).</dd>
                     </dl>
                 </section>