La regola .form-group input {width:100%} si applicava ANCHE al checkbox del
consenso, gonfiandolo a tutta la riga e spingendo il testo a capo parola per
parola. Aggiunto override .consent-label input[type=checkbox] {width:16px}.
Ora testo in linea su 2 righe, colore normale, link Privacy policy + asterisco cyan.
Verificato con render headless Chrome.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Due bug nel form 'Richiedi accesso':
1. La regola generica .form-group label span {color:red} (pensata per l'asterisco
obbligatorio) coloravadi rosso TUTTO il testo del consenso.
2. Lo <span> dentro il label flex non aveva larghezza -> andava a capo parola per
parola (incolonnato verticalmente).
Fix: classe dedicata .consent-label con span flex:1 + min-width:0 + colore normale;
l'asterisco resta cyan. Testo ora in linea accanto al checkbox.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Slide 9 (ex 'Modello commerciale') -> 'Edizioni': tolto 'abbonamento annuale /
nessun costo per utente', i 3 tier descrivono solo perimetro funzionale per
profilo (PMI/Enterprise/Consulente). Contatti: 'Pricing: abbonamento annuale'
-> 'Attivazione: su richiesta, offerta personalizzata'. Niente accenni a prezzi
o gratuita.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
"Nessuna carta di credito richiesta" suggeriva erroneamente che il servizio
sia gratuito. Sostituito con messaggio neutro su accesso controllato + rapidita
operativa, senza accennare a costi o modalita di pagamento.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Linguaggio tecnico ma chiaro, allineato al prodotto reale (v1.13.0):
- Hero: subtitle con doppia gap analysis (Art.21 + misure di base ACN) + AI consulente;
stats -> 116 requisiti ACN mappati, 12 moduli, Art.23, RAG su fonti certe.
- Moduli (8 -> 12): NUOVA card "Gap Analysis ACN" in evidenza (37/87 importanti,
43/116 essenziali, Framework Nazionale GV/ID/PR/DE/RS/RC); Gap Analysis Art.21
separata; Supply Chain con Portale Fornitori (OTP/magic-link, campagne ricorrenti);
AI Consulente RAG (203 requisiti, no allucinazioni normative); Knowledge Base
multi-livello (vendor/studio/org con isolamento).
- Step "come funziona", meta description e trust-items allineati.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
#1 CRITICO aiAnalyze: askWithRag ritorna ['answer','sources','rag_used'], non
una stringa. Ora estrae 'answer' (ai_summary) e salva 'sources' in
ai_recommendations. Prima salvava il JSON intero in ai_summary.
#2 ALTO corpus RAG: acn_requirements.json aveva 188/203 testi TRONCATI alla
prima riga PDF (es. GV.PO-01#1: 84 char invece di 838). Rigenerato dai testi
INTEGRALI di acn_measures.json (87+116, zero troncamenti). Ri-ingest Qdrant.
#3 MEDIO catalog(): org non classificata dava entity_level=null + warning PHP
$totals[null] + TypeError frontend. Ora 422 ENTITY_LEVEL_REQUIRED come create().
#4 MEDIO guida cap-5 GV.RR-04: "figure chiave dell'organigramma" era errato e
auto-contraddittorio -> "personale autorizzato + amministratori di sistema,
valutazione esperienza/capacita/affidabilita" (allineato testo ACN).
#5 BASSI: openAcn try/catch (no unhandled rejection su Riprendi); badge
importante/essenziale IT/EN; overall_score=null (non 0.0) se tutti N/A.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Verifica punto-per-punto delle affermazioni del revisore (GV.RR-04, GV.PO-01,
codifica importanti/essenziali) contro i testi ufficiali ACN. Esito: finding
fondato; imprecisioni di contorno documentate. Razionale del modulo Gap Analysis ACN.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- guida.html: nuovo cap-5b "Gap Analysis ACN" (importanti vs essenziali con
tabella 37/87 e 43/116, 6 funzioni FW, scoring, piano d'azione, quale-uso-quando).
- help.js: voce contestuale 'acn' + mappature page->help->guida (cap-5b).
- i18n.js: nav.acn_gap + 15 chiavi acn.* IT/EN.
- version.json -> 1.13.0.
- AI/KB: gia a posto — nis2_sources.php cita Allegati 1/2 (37/87, 43/116) con
GV.RR-04/GV.PO-01; 203 requisiti ACN gia in Qdrant per il grounding.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- public/acn-gap.html: catalogo requisiti consultabile, wizard per funzione FW
con accordion misure/requisiti, opzioni attuato/parziale/non attuato/N.A.,
autosave batch debounce, risultati con punteggio per funzione + piano d'azione
gap + analisi AI. Badge livello soggetto (importante/essenziale). IT/EN inline.
- api.js: metodi acn* (catalog/list/create/requirements/respond/complete/report/
aiAnalyze) che spacchettano l'envelope e lanciano errore su success=false.
- common.js: voce sidebar "Gap Analysis ACN".
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Assessment di SECONDO LIVELLO sulla Determinazione ACN 164179/2025 (non le 10
lettere generiche Art.21, gia coperte). Distingue soggetti importanti/essenziali:
- IMPORTANTI (All.1): 37 misure, 87 requisiti
- ESSENZIALI (All.2): 43 misure, 116 requisiti
- application/data/acn_measures.json: dataset canonico estratto dai testi
UFFICIALI ACN (Allegati 1+2), testi requisiti INTEGRALI (no troncamenti),
flag per-requisito importante/essenziale. Validato 37/87 + 43/116, zero
discrepanze vs codici di riferimento.
- AcnAssessmentController: catalog/list/create/get/requirements/respond/complete/
report/aiAnalyze. Pre-popola requisiti applicabili per entity_level, scoring
per funzione FW (GOVERN/IDENTIFY/PROTECT/DETECT/RESPOND/RECOVER), grounding AI
sui 203 requisiti ACN gia in KB. Anti-IDOR, snapshot testo immutabile.
- Migrazione 036: acn_assessments + acn_assessment_responses (APPLICATA su host).
- Router: acn-gap controllerMap + actionMap.
Origine: finding revisore (la Gap Analysis Art.21 non e l'autovalutazione ACN).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
APP_ENV sul container e' 'production' ma l'ambiente contiene SOLO dati demo:
nessuna mail deve partire. Cambiato il default di EMAIL_SENDING_ENABLED da
"true in production" a "false sempre". Le email partono SOLO con override
esplicito EMAIL_SENDING_ENABLED=true. Fail-safe contro invii accidentali.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Ambiente con soli dati demo: NESSUNA email deve partire. Aggiunto guard
all'inizio di sendViaRelay() e sendViaTemplate() (gli UNICI due punti che fanno
HTTP al relay -> copre tutti i canali: incidenti, training, inviti, reminder,
welcome, password reset, feedback, OTP portale fornitori).
EMAIL_SENDING_ENABLED in config: default false in sviluppo, true in produzione,
override via .env. Quando false l'invio viene loggato e scartato (return false),
nessuna chiamata di rete.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Il metodo sendViaTemplate() non era stato salvato (Edit silenziosamente fallito):
requestOtp() del portale chiamava un metodo inesistente -> errore inghiottito dal
try/catch -> OTP MAI inviato. Ora presente: POST /api/emails/send con template +
data (campo canonico relay AgileHub) + alias vars, senza logEmail (OTP fuori da email_log).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
I metodi corretti sono upsertBatch() e deleteByFilter(), non upsertPoints/deletePoints.
Ingest eseguito su host: 203 requisiti ACN confermati in Qdrant nis2_kb.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
scripts/ingest-acn-requirements.php: indicizza in Qdrant nis2_kb un chunk per ogni
requisito ACN (87 importanti Allegato 1 + 116 essenziali Allegato 2 = 203), scope
SYSTEM, entity_type=requisito_acn, con payload citabile (code/subcategory/function/
req_index/entity/allegato/requirement_text). Point id UUIDv5 deterministico ->
idempotente. Usa upsertPoints/deletePoints/ensureCollection reali di VectorService.
ESEGUITO su host (docs/ non e' bind-mountato nel container): 203 punti confermati
in Qdrant. L'AI askWithRag ora fa grounding sul singolo requisito GV.SC e lo cita.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- createCampaign(supplierId): invia un template a un fornitore via questionnaire_campaigns
(token sq_ retrocompat, scadenza/ricorrenza/reminder_offsets configurabili, crea
supplier_user per accesso OTP, email invito col link al portale). Migrazioni 034+035
applicate su host.
- campaigns(): cruscotto con semaforo scadenze (success/warning<=7gg/danger scaduto)
+ answers_count per campagna.
- computeNextReminder(): helper per il prossimo reminder dagli offset.
- Route: GET:campaigns, POST:{id}/campaigns. api.js: getQuestionnaireCampaigns,
createQuestionnaireCampaign.
Smoke: rotte 401 (router+auth ok). php -l + node --check OK. USR2 applicato.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Una sola iscrizione Apple Developer per tutta la suite, Team 5W6WYDQKTS,
Bundle ID convention it.<prodotto>.app, credenziali Apple nel vault sotto
tier1__shared-apple__developer/. Onboarding nuovo prodotto mobile in 30 min.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Nel commit 3e5b75b gli edit a normative.html e companies.html erano falliti
(file-not-read / string-not-found): il pulsante '?' non partiva. Ora corretti.
Verificato: tutte e 4 le pagine (whistleblowing/normative/companies/kb) hanno
help.js + HelpSystem.init=1.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Completata la rifinitura help: i 4 moduli che avevano contenuto (commit c1d3328)
ma non il pulsante '?' ora chiamano HelpSystem.init().
- whistleblowing/normative: aggiunto HelpSystem.init() (help.js gia' incluso).
- companies: aggiunti include i18n.js + help.js + HelpSystem.init().
- kb: aggiunto include help.js + HelpSystem.init().
Ora ogni modulo della piattaforma ha aiuto contestuale. version 1.11.0.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Contenuto help per i 4 moduli che ne erano privi (sezioni + references a fonti reali:
D.Lgs.24/2023 per whistleblowing, Art.20-21 per normative, RAG per kb, multi-tenant
per companies). Aggiunte voci in _pageMap e _guideAnchor. Verificato eseguendo help.js
con node: getAvailablePages() = 16 (12 + 4 nuovi), tutti e 4 presenti, sintassi valida.
NOTA: il cablaggio di help.js nelle 4 pagine HTML (script include + HelpSystem.init)
e' ancora da fare per rendere visibile il pulsante '?' su quelle pagine.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
La chiave di produzione nis2_mktg_... (scope admin:licenses) era in chiaro in
mktg-api-doc.html e integrazioniext.html, servite pubblicamente -> chiunque poteva
ottenere una chiave di gestione licenze B2B. Sostituita con placeholder
nis2_mktg_xxxxx in entrambe le pagine (6 occorrenze totali).
NOTA: la chiave reale va ANCORA RUOTATA nel DB (api_keys) in coordinamento con
mktg-agile, poiche' resta nella history git e potenzialmente nota. Questo commit
elimina solo l'esposizione web continua.
Trovato da audit sicurezza multi-agente (F1, priorita' top).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Bug CRITICO da test multi-agente: kb.js::getJwt() leggeva localStorage 'access_token'
ma l'app salva il JWT sotto 'nis2_access_token' -> ogni chiamata KB inviava
Authorization: Bearer (vuoto) -> 401 -> pagina KB completamente inutilizzabile
(upload/list/search/delete). Stesso pattern del bug this.delete.
Inoltre kb.html non aveva il blocco init (checkAuth/loadSidebar/I18n.init) presente
in tutte le altre pagine -> sidebar vuota e nessun redirect a login.
Fix: kb.js usa nis2_access_token; kb.html aggiunge i18n.js + init auth/chrome.
node --check OK. version 1.10.6.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- suggestRisks: usa employeeRange() invece di employee_count esatto nel prompt
(coerenza anonimizzazione con gli altri metodi verso Anthropic).
- crossOrgAnalysis: era l'unico metodo con affermazioni normative senza il blocco
fonti certe nel system prompt -> ora lo inietta (regole 1-5, no invenzioni,
orientamento non vincolante).
- EmbedService: commenti "1024 dim" -> 512 (il codice forza output_dimension=512,
coerente con la collection nis2_kb size=512).
- VectorService::ensureCollection default 1024 -> 512: rischio latente di creare
una collection incompatibile se chiamato senza argomenti.
php -l OK su tutti e 3. version 1.10.5.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
CRITICO #2 — register() generava il token SENZA jti, ma requireAuth lo rifiuta
(JWT_NO_JTI): l'utente appena registrato veniva sbattuto fuori al primo
getMe/completeOnboarding e doveva rifare login. Ora register crea una riga
active_sessions con jti e genera access+refresh token col jti, come login().
CRITICO #1 — DELETE /auth/sessions/<jti> (revoca sessione singola) tornava 404:
il jti è esadecimale (non numerico), il router cadeva nel ramo "nome composto"
e generava solo {action}/{camelResource}, mai {action}/{id}. Aggiunto fallback
{action}/{id} con id passato come STRINGA (revokeSession(string $id) lo accetta).
Il candidato composito resta primo, quindi evidence/upload ecc. non si rompono.
php -l OK su entrambi. version 1.10.4.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- dashboard: complianceScore ora ritorna 'score' (overall_score ultimo assessment);
la gauge usa avg_implementation se >0, altrimenti il punteggio assessment.
Prima mostrava 0% per org con gap analysis ma senza modulo controlli (H2).
- risks.html backToList(): ripristina la vista corrente tra le 4 (table/matrix/fair/kri),
prima cadeva sempre su table/matrix (H1); renderDetail nasconde tutte e 4.
- risks.html loadFair(): legge risksRes.data.items (endpoint paginato), prima
risksRes.data.risks era undefined e il dropdown FAIR restava vuoto (M1).
php -l + node --check OK. version 1.10.3.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Bug live introdotto in v1.10.0: le viste Categorie e Template usavano
querySelector('#app-modal .modal-body') ma showModal (common.js) crea l'overlay
con id='modal-overlay'. Il selettore restituiva null -> le modali non si
popolavano (lista template/categorie vuota dopo il loading). Corretto a
'#modal-overlay .modal-body' (5 occorrenze). Trovato durante il test multi-agente.
Inline JS validato. version 1.10.2.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- public/js/i18n.js: +38 chiavi sp.* (IT+EN) per pulsanti header, categorie, template, import.
- supply-chain.html: data-i18n sui 4 pulsanti header; l'import CSV ora mostra il
dettaglio delle righe scartate (d.errors[] dal backend) in un <details> e tiene
aperta la modale se ci sono errori (prima si chiudeva sempre, errori invisibili).
- version 1.10.1.
Inline JS validato (node --check). File statici -> live via nginx.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Colma il gap UI confermato dalla review (backend Fase 1 c'era, UI no):
- Form fornitore: dropdown "Categoria fornitore" alimentato da getSupplierCategories
(ensureCategories con cache); category_id ora salvato (backend gia' fixato 9fbf72a).
- Pulsante "Categorie": modale con lista preset+custom, CRUD sulle custom
(preset non modificabili), gestione errore CATEGORY_IN_USE.
- Pulsante "Template": modale lista template + vista dettaglio domande read-only
con badge nis2_ref/tipo/peso/obbligatoria — mostra le 26 domande GV.SC del DB.
- Target modale via querySelector('#app-modal .modal-body') (showModal usa class).
Inline JS validato (node --check exit 0). File statici -> live via nginx. version 1.10.0.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Race in audit.log() fixata con transazione + SELECT FOR UPDATE; CLI
audit fix LIMIT bug; chain re-anchor entry id 23793. Doc completo in
docs/INCOMING_FROM_AGILEHUB_2026_05_31_vault_chain_fix.md.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Bug trovato da review: il client HTTP base definisce del(), non delete().
deleteAsset chiamava this.delete() -> TypeError, eliminazione asset falliva.
Era l'ultimo this.delete() residuo (i metodi nuovi Fase 1 gia' usano del()).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Allineato il commento del regime obblighi: Allegato 4 essenziali / Allegato 3 importanti
(coerente con AIService 0d748c6 e la fonte certa Allegato3/4.txt). La logica era gia'
corretta, solo il commento era fuorviante.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Il commit 6079311 aveva corretto solo help.js: gli edit ad AIService erano falliti
(old_string non corrispondente) e l'AI continuava a citare l'allegato SBAGLIATO in
produzione. Questo li applica davvero:
- classifyIncident: Allegato 4=essenziali, Allegato 3=importanti (era invertito).
Verificato su docs/nis2/allegati_acn/Allegato{3,4}.txt. La logica IS-4 era gia'
corretta (blocca IS-4 per importanti); era sbagliata solo l'ETICHETTA dell'allegato.
- decorrenza relazione finale: "1 mese DALLA NOTIFICA delle 72h (non dalla data
dell'incidente)", allineato ad Art.23 e guida.
- authoritativeSourcesBlock: +regola 4 (orientamento NON vincolante, art.22 GDPR) e
+regola 5 (ENISA/NIST/ISO best practice non vincolanti). Iniettato in TUTTI i prompt.
- IncidentController:62 commento allineato (Allegato 4 essenziali / 3 importanti).
php -l OK su entrambi.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Review coerenza multi-agente tra AI/help/guida (forte adesione normativa):
CONTRADDIZIONE B (la piu' rischiosa) — inversione Allegato 3/4 incidenti.
Verificato sulla fonte certa (docs/nis2/allegati_acn/Allegato3.txt e 4.txt):
Allegato 3 = soggetti IMPORTANTI, Allegato 4 = soggetti ESSENZIALI.
AIService::classifyIncident e help.js dicevano l'inverso -> CORRETTI.
(La guida era gia' corretta.) Cambiava quali obblighi si applicano a chi.
CONTRADDIZIONE A — decorrenza relazione finale.
AIService diceva generico "30 giorni"; ora esplicito "entro 1 mese DALLA NOTIFICA
delle 72h (non dalla data dell'incidente)", allineato all'Art.23 e alla guida.
DISCLAIMER non-parere-legale (gap: la guida ce l'ha, l'AI no).
authoritativeSourcesText: +regola 4 (orientamento NON vincolante, valutazioni da
confermare con compliance/legale, art.22 GDPR) e +regola 5 (ENISA/NIST/ISO = best
practice non vincolanti; obblighi da Dir.2022/2555 + D.Lgs.138/2024 + Determine ACN).
Iniettato in tutti i prompt che usano il blocco fonti certe.
php -l OK, help.js node --check OK.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Bug trovato da review UI multi-agente: create() e update() non includevano
category_id nell'INSERT/UPDATE, quindi la categoria assegnata a un fornitore
(dropdown UI / API) veniva silenziosamente persa. La colonna esiste da mig 033.
Ora create lo salva (?: null) e update lo include nei campi whitelisted.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Gli edit a guida.html nel commit b53d2af erano falliti (file non riletto) e b53d2af
conteneva solo version.json: questo applica DAVVERO le modifiche.
- Intro: box Avvertenza (non parere legale, valutazioni caso per caso).
- cap-9: paragrafi Categorie/template configurabili + Import CSV/CMDB/API + nota
interpretativa perimetro fornitori (GV.SC come famiglia Framework, Det.ACN 164179 All.2).
HTML bilanciato (15 section, 199 div).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Findings review normativa multi-agente sulla guida (forte adesione + interpretazioni chiare):
- Intro: box "Avvertenza" — la guida non costituisce parere legale, le valutazioni di
ambito/classificazione/significativita' vanno confermate caso per caso su fonti ufficiali e
con consulente. (Finding #2: disclaimer generale prima assente.)
- cap-9: nuovi paragrafi "Categorie fornitore e questionari configurabili" e "Import massivo
(CSV/CMDB/API)" che descrivono le funzioni Fase 1 prima non documentate (Finding #8).
- Nota interpretativa sul perimetro fornitori: la selezione dei fornitori "rilevanti" e' una
valutazione caso per caso, non lista chiusa; GV.SC citato come famiglia del Framework
Nazionale (Det. ACN 164179/2025 All.2), non come nome di feature.
HTML bilanciato (15 capitoli, 16 section open/close). version.json -> 1.9.2.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- bulkUpsertSuppliers: il ramo category_id esplicito (import API/CSV) ora verifica
che la categoria sia un preset (org 0) o della stessa org, come gia' fa il ramo
category_slug. Evita di scrivere suppliers.category_id di un'altra org (dato sporco
cross-org). Finding review multi-agente (MINORE, correttezza dati).
- docs/sql/032,033: header "PROPOSTA DI DESIGN (NON applicata)" -> "APPLICATA su
produzione 2026-05-31" (sono effettivamente applicate). Evita confusione operativa.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Review normativa multi-agente sul template NIS2 base (18/26 citazioni gia' perfette):
- Q24/Q26 (GV.SC-05): la citazione attribuiva al "§1" un testo che e' il TITOLO della
misura. Corretto col testo verbatim del §1 reale (inserimento requisiti GV.SC-01.1.b
in contratti/bandi).
- Q22 (GV.SC-02): idem, distinto titolo da §1; il "punto di contatto sicurezza" e'
dichiarato come buona pratica, non obbligo testuale.
- Q4 (RTO), Q7 (ISO 27001), Q22, Q26: aggiunti disclaimer [Interpretazione del prodotto]
dove la piattaforma fa una scelta metodologica (soglie RTO, ISO come proxy, mappature)
non imposta dalla lettera della norma.
0 citazioni inventate, 0 articoli errati. Forte adesione normativa: dove c'e'
interpretazione ora e' dichiarata esplicitamente. JSON valido (26 domande).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Bug HIGH in produzione: le stringhe JS single-quoted a riga 1201/1207 contenevano
l'apostrofo non escaped (l'incidente, e') -> SyntaxError parse-time nel blocco
<script> inline -> loadIncidents() non partiva, tabella bloccata sullo spinner,
"Nuovo Incidente" inerte. La pagina Incidenti era di fatto inutilizzabile.
Fix: escape \' nelle due stringhe del decision-tree significativita' Art.23.
Inline JS validato con node --check. File statico -> live via nginx senza USR2.
Trovato da review multi-agente.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Le due sezioni help non erano entrate nel commit precedente (edit string-not-found).
Ora presenti: 'Importazione fornitori (CSV/API)' e 'Categorie e questionari
configurabili' con nota interpretativa esplicita (perimetro fornitori = scelta
documentata, non parere legale).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Sezioni help contestuali 'Importazione fornitori (CSV/API)' e 'Categorie e
questionari configurabili' con nota interpretativa sul perimetro fornitori critici
(scelta documentata dell'organizzazione, non obbligo automatico). Aggiunto
riferimento Determinazione ACN 164179/2025 Allegato 2 (GV.SC-01/02/04/05/07).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
