diff --git a/public/guida.html b/public/guida.html
index 419abef..0c5ac6f 100644
--- a/public/guida.html
+++ b/public/guida.html
@@ -409,7 +409,7 @@
                     <ol class="step-list">
                         <li>Vai su <strong>Gap Analysis</strong> e clicca "Nuovo Assessment".</li>
                         <li>Rispondi alle 80 domande (sei modalità: implementato / parziale / non implementato / non applicabile).</li>
-                        <li>Per ogni risposta, indica il <strong>livello di maturità</strong> (1–5).</li>
+                        <li>Per ogni risposta, indica il <strong>livello di maturità</strong> (0–5).</li>
                         <li>Salva: puoi continuare in più sessioni.</li>
                         <li>Quando finisci, clicca <strong>"Analisi AI"</strong> per ricevere raccomandazioni prioritarie.</li>
                     </ol>
@@ -496,9 +496,11 @@
                     </ol>
 
                     <div class="norm-box">
-                        <span class="article-tag">Art. 21 (2)(a)</span>
-                        Le politiche di analisi dei rischi e di sicurezza dei sistemi informatici devono essere documentate,
-                        approvate dagli organi di vertice, e aggiornate almeno una volta l'anno.
+                        <span class="article-tag">Art. 21 (2)(a) + Art. 20</span>
+                        Le politiche di analisi dei rischi e di sicurezza dei sistemi informatici devono essere documentate
+                        e <strong>approvate dagli organi di amministrazione</strong> (art. 20). L'aggiornamento periodico
+                        (es. almeno annuale) è una <em>buona pratica raccomandata</em>, non una cadenza fissata
+                        letteralmente dall'art. 21.
                     </div>
 
                     <h3>Analisi quantitativa FAIR (vista "Quantitativo")</h3>
@@ -577,22 +579,22 @@
                         applicate, stima impatto.</p>
                     </div>
                     <div class="pillar-card">
-                        <h4><span class="pillar-num">30d</span> Relazione finale <span style="font-weight:400;color:#64748b;">(final report)</span></h4>
+                        <h4><span class="pillar-num">1 mese</span> Relazione finale <span style="font-weight:400;color:#64748b;">(final report)</span></h4>
                         <p>Analisi completa: causa radice, azioni correttive, lezioni apprese, raccomandazioni per il futuro.
-                        <em>Termine normativo: relazione finale, entro 1 mese (art. 23 D.Lgs. 138/2024).</em></p>
+                        <em>Termine normativo: relazione finale entro <strong>un mese dalla notifica</strong> (cioè dal momento delle 72h), non dall'incidente — art. 23 D.Lgs. 138/2024.</em></p>
                     </div>
 
                     <div class="example-box">
                         <strong>Esempio.</strong> Aurora Sanità subisce un DDoS sul portale prenotazioni alle 09:00 di lunedì.
-                        Sono colpiti 8.500 utenti per 4 ore → significativo. Workflow: Early Warning entro martedì 09:00 →
-                        Notifica entro giovedì 09:00 → Final Report entro mercoledì 28 (30 giorni dopo).
+                        Sono colpiti 8.500 utenti per 4 ore → significativo. Workflow: preallarme entro martedì 09:00 →
+                        notifica entro giovedì 09:00 → relazione finale entro un mese <em>dalla notifica</em> (giovedì + 1 mese).
                     </div>
 
                     <h3>Come si fa nella piattaforma</h3>
                     <ol class="step-list">
-                        <li>Vai su <strong>Incidenti</strong> e clicca "Registra Incidente".</li>
+                        <li>Vai su <strong>Incidenti</strong> e clicca "+ Nuovo Incidente".</li>
                         <li>Compila titolo, classificazione, severità, ora di rilevazione.</li>
-                        <li>Il sistema calcola automaticamente le 3 scadenze (24h/72h/30d).</li>
+                        <li>Il sistema calcola automaticamente le 3 scadenze (24h / 72h / 1 mese).</li>
                         <li>Quando arriva il momento, usa i bottoni <strong>"Invia Early Warning"</strong>,
                         <strong>"Invia Notifica"</strong> e <strong>"Invia Final Report"</strong>: le email partono verso
                         l'indirizzo CSIRT configurato.</li>
diff --git a/public/supply-chain.html b/public/supply-chain.html
index 92421a3..00ca5f1 100644
--- a/public/supply-chain.html
+++ b/public/supply-chain.html
@@ -737,6 +737,10 @@
                             <svg viewBox="0 0 20 20" fill="currentColor" width="16" height="16"><path d="M9 2a1 1 0 000 2h2a1 1 0 100-2H9z"/><path fill-rule="evenodd" d="M4 5a2 2 0 012-2 3 3 0 003 3h2a3 3 0 003-3 2 2 0 012 2v11a2 2 0 01-2 2H6a2 2 0 01-2-2V5zm9.707 5.707a1 1 0 00-1.414-1.414L9 12.586l-1.293-1.293a1 1 0 00-1.414 1.414l2 2a1 1 0 001.414 0l4-4z" clip-rule="evenodd"/></svg>
                             Valuta Fornitore
                         </button>
+                        <button class="btn btn-secondary" onclick="sendSupplierQuestionnaire(${supplier.id}, '${escapeHtml((supplier.name||'').replace(/'/g,"\\'"))}')">
+                            <svg viewBox="0 0 20 20" fill="currentColor" width="16" height="16"><path d="M2.003 5.884L10 9.882l7.997-3.998A2 2 0 0016 4H4a2 2 0 00-1.997 1.884z"/><path d="M18 8.118l-8 4-8-4V14a2 2 0 002 2h12a2 2 0 002-2V8.118z"/></svg>
+                            Invia questionario
+                        </button>
                         <button class="btn btn-secondary" onclick="openEditModal(${supplier.id})">
                             <svg viewBox="0 0 20 20" fill="currentColor" width="16" height="16"><path d="M13.586 3.586a2 2 0 112.828 2.828l-.793.793-2.828-2.828.793-.793zM11.379 5.793L3 14.172V17h2.828l8.38-8.379-2.83-2.828z"/></svg>
                             Modifica