- createCampaign(supplierId): invia un template a un fornitore via questionnaire_campaigns
(token sq_ retrocompat, scadenza/ricorrenza/reminder_offsets configurabili, crea
supplier_user per accesso OTP, email invito col link al portale). Migrazioni 034+035
applicate su host.
- campaigns(): cruscotto con semaforo scadenze (success/warning<=7gg/danger scaduto)
+ answers_count per campagna.
- computeNextReminder(): helper per il prossimo reminder dagli offset.
- Route: GET:campaigns, POST:{id}/campaigns. api.js: getQuestionnaireCampaigns,
createQuestionnaireCampaign.
Smoke: rotte 401 (router+auth ok). php -l + node --check OK. USR2 applicato.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Contenuto help per i 4 moduli che ne erano privi (sezioni + references a fonti reali:
D.Lgs.24/2023 per whistleblowing, Art.20-21 per normative, RAG per kb, multi-tenant
per companies). Aggiunte voci in _pageMap e _guideAnchor. Verificato eseguendo help.js
con node: getAvailablePages() = 16 (12 + 4 nuovi), tutti e 4 presenti, sintassi valida.
NOTA: il cablaggio di help.js nelle 4 pagine HTML (script include + HelpSystem.init)
e' ancora da fare per rendere visibile il pulsante '?' su quelle pagine.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Bug CRITICO da test multi-agente: kb.js::getJwt() leggeva localStorage 'access_token'
ma l'app salva il JWT sotto 'nis2_access_token' -> ogni chiamata KB inviava
Authorization: Bearer (vuoto) -> 401 -> pagina KB completamente inutilizzabile
(upload/list/search/delete). Stesso pattern del bug this.delete.
Inoltre kb.html non aveva il blocco init (checkAuth/loadSidebar/I18n.init) presente
in tutte le altre pagine -> sidebar vuota e nessun redirect a login.
Fix: kb.js usa nis2_access_token; kb.html aggiunge i18n.js + init auth/chrome.
node --check OK. version 1.10.6.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- public/js/i18n.js: +38 chiavi sp.* (IT+EN) per pulsanti header, categorie, template, import.
- supply-chain.html: data-i18n sui 4 pulsanti header; l'import CSV ora mostra il
dettaglio delle righe scartate (d.errors[] dal backend) in un <details> e tiene
aperta la modale se ci sono errori (prima si chiudeva sempre, errori invisibili).
- version 1.10.1.
Inline JS validato (node --check). File statici -> live via nginx.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Bug trovato da review: il client HTTP base definisce del(), non delete().
deleteAsset chiamava this.delete() -> TypeError, eliminazione asset falliva.
Era l'ultimo this.delete() residuo (i metodi nuovi Fase 1 gia' usano del()).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Review coerenza multi-agente tra AI/help/guida (forte adesione normativa):
CONTRADDIZIONE B (la piu' rischiosa) — inversione Allegato 3/4 incidenti.
Verificato sulla fonte certa (docs/nis2/allegati_acn/Allegato3.txt e 4.txt):
Allegato 3 = soggetti IMPORTANTI, Allegato 4 = soggetti ESSENZIALI.
AIService::classifyIncident e help.js dicevano l'inverso -> CORRETTI.
(La guida era gia' corretta.) Cambiava quali obblighi si applicano a chi.
CONTRADDIZIONE A — decorrenza relazione finale.
AIService diceva generico "30 giorni"; ora esplicito "entro 1 mese DALLA NOTIFICA
delle 72h (non dalla data dell'incidente)", allineato all'Art.23 e alla guida.
DISCLAIMER non-parere-legale (gap: la guida ce l'ha, l'AI no).
authoritativeSourcesText: +regola 4 (orientamento NON vincolante, valutazioni da
confermare con compliance/legale, art.22 GDPR) e +regola 5 (ENISA/NIST/ISO = best
practice non vincolanti; obblighi da Dir.2022/2555 + D.Lgs.138/2024 + Determine ACN).
Iniettato in tutti i prompt che usano il blocco fonti certe.
php -l OK, help.js node --check OK.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Le due sezioni help non erano entrate nel commit precedente (edit string-not-found).
Ora presenti: 'Importazione fornitori (CSV/API)' e 'Categorie e questionari
configurabili' con nota interpretativa esplicita (perimetro fornitori = scelta
documentata, non parere legale).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Sezioni help contestuali 'Importazione fornitori (CSV/API)' e 'Categorie e
questionari configurabili' con nota interpretativa sul perimetro fornitori critici
(scelta documentata dell'organizzazione, non obbligo automatico). Aggiunto
riferimento Determinazione ACN 164179/2025 Allegato 2 (GV.SC-01/02/04/05/07).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Tre Edit dei commit f85876f/73f47df erano falliti silenziosamente (string-not-found)
e committati come fatti: questo li applica davvero.
- public/js/api.js: 14 metodi client Fase 1 (categorie/template/domande/import).
Usano this.del() (il metodo base e' del(), non delete()).
- public/supply-chain.html: pulsante "Importa" in header + openImportModal()/parseCsv()/
runSupplierImport() reali (prima era stub). Modale CSV con upsert per external_ref.
- public/js/help.js: sezioni "Importazione fornitori (CSV/API)" e "Categorie e questionari
configurabili" + riferimento ACN Allegato 2 GV.SC. Nota interpretativa esplicita sul
perimetro fornitori critici (scelta documentata dell'organizzazione).
Seed template NIS2 base (26 domande) ora applicato DAVVERO su org 129 via host DB
(il commit 8d7a50a era fallito: il CLI docker punta a nis2-db, il web/host usa host MySQL;
risolto errore collation utf8mb4 con COLLATE esplicito). Idempotenza verificata.
Inline JS validato (node --check). api.js/help.js validati.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Il backend sendQuestionnaire/questionnaire-status esisteva ma la UI non lo esponeva (guida prometteva una funzione non azionabile). Aggiunti:
- bottone 'Invia questionario' in lista (azioni) e in dettaglio fornitore
- funzione sendSupplierQuestionnaire (chiede email opzionale, mostra il link sq_ generato)
- api.js: sendSupplierQuestionnaire + getSupplierQuestionnaireStatus
Distinto 'Valuta (interna)' da 'Invia questionario' (link esterno). E2E prod: 201 + link generato.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- reports.html: RIPRISTINATO da HEAD (working tree corrotto: 89 tab 'Report Esecutivo' duplicati, ~146 righe spazzatura non committate; HEAD era sano). La corruzione era servita live, ora risolta.
- Nuovo tab 'Requisiti ACN': mostra gli 87/116 requisiti specifiche-base per funzione (GV/ID/PR/DE/RS/RC) con % compliance, summary stati e cambio stato inline (select -> PUT).
- api.js: getAcnRequirements + updateAcnRequirement.
JS validato (node --check). Endpoint E2E già verde (org importante 87 req, PUT implemented ok).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Il commit 372ccb5 aveva incluso versioni con Edit falliti (ancore errate):
- AuditController::controlsMonitoring ora effettivamente presente (era 501 in prod)
- ServicesController::openapi ora espone incidents-ingest/evidence-ingest/assets-ingest/controls-monitoring
- i18n.js: chiavi nel formato corretto {it,en} (risks.fair_tab/kri_tab, assets.import_btn, audit.monitoring_tab)
- help.js: sezione Monitoraggio Continuo in reports
Verificato in prod: openapi 4/4, controlsMonitoring/fairRegister/kri tutti 200.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Completamento UI per gli endpoint backend già attivi (commit e4f9e91):
- admin/users.html: colonna Azioni con pulsante "Impersonate" per utenti non-super_admin
attivi → salva token originale in sessionStorage, sostituisce con quello impersonate,
redirige a dashboard
- js/common.js: banner persistente arancione "Modalità Impersonate" in tutte le
pagine quando sessionStorage ha impersonate origin → pulsante "Esci impersonate"
ripristina token originale e torna ad admin/users
- settings.html: nuovo tab "Preferenze" (lingua/tema/timezone/notifiche email+in-app)
con form salva via PUT /auth/preferences
- settings.html: nuovo tab "Branding" (solo super_admin / consulente) con
brand_name/logo_url/primary_color/secondary_color, PUT /branding
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
- help.js: nuova sezione 'feedback' con 6 sotto-sezioni (come usare FAB,
risposta AI, password gate, le mie segnalazioni, worker autonomo, consigli)
- i18n.js: 30 chiavi IT/EN per tutto il sistema feedback
- AIService::callAPI: system prompt esteso con lista completa moduli NIS2 Agile
- AIService::classifyFeedback: system prompt NIS2-aware
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
AuthController:
- register() accetta `role` diretto (compliance_manager, org_admin, auditor, board_member, consultant)
- Aggiunto validateInvite() → POST /api/auth/validate-invite (no auth)
OnboardingController:
- Aggiunto lookupPiva() → POST /api/onboarding/lookup-piva (no auth, rate limit 10/min)
usato da register.html per P.IVA lookup pre-login
Router (index.php):
- Aggiunto POST:validateInvite e POST:lookupPiva
api.js:
- register() invia sia `role` che `user_type` per retrocompatibilità
simulate-nis2.php:
- SIM-06: B2B provisioning via X-Provision-Secret → org + JWT + API Key
- Filtro NIS2_SIM=SIM06 via goto per skip SIM-01→05 indipendenti
- readEnvValue() helper per leggere PROVISION_SECRET da .env
register.html:
- lookupPiva usa /onboarding/lookup-piva (endpoint pubblico)
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
- common.js: idle session timeout 30min con avviso countdown 5min prima del logout
- common.js: checkAuth() attiva automaticamente il monitor di inattività
- api.js: messaggi errore connessione usano i18n (IT/EN) tramite I18n.t()
- risks.html: saveRisk() e aiSuggest() con setButtonLoading durante salvataggio
- risks.html: deleteRisk() ricarica la matrice se si è in matrix view
- incidents.html: createIncident() con setButtonLoading durante registrazione
- policies.html: savePolicy() e saveAIGeneratedPolicy() con setButtonLoading
- policies.html: banner AI-draft con pulsante X per dismissione
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
- common.js: aggiunto i18nKey a navItems, data-i18n su sezioni e voci
sidebar → toggle IT/EN ora traduce la navigazione in tempo reale
- Tutte e 10 le pagine HTML: aggiunto data-i18n="*.title" agli h2
(dashboard, assessment, risks, incidents, policies, supply-chain,
training, assets, reports, settings)
- FIX BUG: sidebar puntava ad audit.html (inesistente) → corretto
in reports.html
- HelpSystem: funziona correttamente in tutte le 10 pagine
(content-header-actions presente, init() chiamato)
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
Rimozione prefisso /nis2/ da tutti i path frontend e router:
- index.php: basePath '' (da '/nis2')
- api.js: baseUrl '/api' (da '/nis2/api')
- Tutti i file HTML: path assoluti senza prefisso /nis2/
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
- i18n.js: sistema traduzioni IT/EN con ~150 chiavi, localStorage, data-i18n
- help.js: help contestuale per 10 pagine con riferimenti NIS2
- architecture.html: descrizione architettura sistema completa
- common.js: language toggle sidebar (IT/EN), link Architettura, icone
- Integrato i18n + help in tutte le 14 pagine app + 3 admin
Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
1. Fix auto-fill visura: mapping corretto suggested_sector e employees_range,
indicatori visivi verdi sui campi auto-compilati, fatturato sempre manuale
2. Adesione volontaria: colonna voluntary_compliance, checkbox in onboarding
step 5 quando not_applicable, toggle in settings, reset su ri-classificazione
3. Modulo NCR/CAPA: NonConformityController con 10 endpoint API,
tabelle non_conformities + capa_actions, generazione NCR dai gap assessment,
predisposizione integrazione SistemiG.agile (webhook + sync)
Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
- New 5-step onboarding wizard (onboarding.html) replacing setup-org.html
- Step 1: Choose data source (Upload Visura / CertiSource / Manual)
- Step 2: PDF upload with AI extraction or CertiSource P.IVA lookup
- Step 3: Verify/complete company data with NIS2 sector mapping
- Step 4: User profile completion
- Step 5: NIS2 classification (Essential/Important) with summary
- OnboardingController with upload-visura, fetch-company, complete endpoints
- VisuraService with Claude AI PDF extraction and ATECO-to-NIS2 mapping
- CertiSource API integration for automatic company data retrieval
- Updated login/register redirects to point to new onboarding wizard
Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
