Findings review normativa multi-agente sulla guida (forte adesione + interpretazioni chiare):
- Intro: box "Avvertenza" — la guida non costituisce parere legale, le valutazioni di
ambito/classificazione/significativita' vanno confermate caso per caso su fonti ufficiali e
con consulente. (Finding #2: disclaimer generale prima assente.)
- cap-9: nuovi paragrafi "Categorie fornitore e questionari configurabili" e "Import massivo
(CSV/CMDB/API)" che descrivono le funzioni Fase 1 prima non documentate (Finding #8).
- Nota interpretativa sul perimetro fornitori: la selezione dei fornitori "rilevanti" e' una
valutazione caso per caso, non lista chiusa; GV.SC citato come famiglia del Framework
Nazionale (Det. ACN 164179/2025 All.2), non come nome di feature.
HTML bilanciato (15 capitoli, 16 section open/close). version.json -> 1.9.2.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Bug HIGH in produzione: le stringhe JS single-quoted a riga 1201/1207 contenevano
l'apostrofo non escaped (l'incidente, e') -> SyntaxError parse-time nel blocco
<script> inline -> loadIncidents() non partiva, tabella bloccata sullo spinner,
"Nuovo Incidente" inerte. La pagina Incidenti era di fatto inutilizzabile.
Fix: escape \' nelle due stringhe del decision-tree significativita' Art.23.
Inline JS validato con node --check. File statico -> live via nginx senza USR2.
Trovato da review multi-agente.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Le due sezioni help non erano entrate nel commit precedente (edit string-not-found).
Ora presenti: 'Importazione fornitori (CSV/API)' e 'Categorie e questionari
configurabili' con nota interpretativa esplicita (perimetro fornitori = scelta
documentata, non parere legale).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Sezioni help contestuali 'Importazione fornitori (CSV/API)' e 'Categorie e
questionari configurabili' con nota interpretativa sul perimetro fornitori critici
(scelta documentata dell'organizzazione, non obbligo automatico). Aggiunto
riferimento Determinazione ACN 164179/2025 Allegato 2 (GV.SC-01/02/04/05/07).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Tre Edit dei commit f85876f/73f47df erano falliti silenziosamente (string-not-found)
e committati come fatti: questo li applica davvero.
- public/js/api.js: 14 metodi client Fase 1 (categorie/template/domande/import).
Usano this.del() (il metodo base e' del(), non delete()).
- public/supply-chain.html: pulsante "Importa" in header + openImportModal()/parseCsv()/
runSupplierImport() reali (prima era stub). Modale CSV con upsert per external_ref.
- public/js/help.js: sezioni "Importazione fornitori (CSV/API)" e "Categorie e questionari
configurabili" + riferimento ACN Allegato 2 GV.SC. Nota interpretativa esplicita sul
perimetro fornitori critici (scelta documentata dell'organizzazione).
Seed template NIS2 base (26 domande) ora applicato DAVVERO su org 129 via host DB
(il commit 8d7a50a era fallito: il CLI docker punta a nis2-db, il web/host usa host MySQL;
risolto errore collation utf8mb4 con COLLATE esplicito). Idempotenza verificata.
Inline JS validato (node --check). api.js/help.js validati.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Help contestuale supply-chain: aggiunte sezioni "Importazione fornitori (CSV/API)" e
"Categorie e questionari configurabili" (template NIS2 base GV.SC, Allegato 2 ACN).
version.json -> 1.9.0.
Nota: capitolo guida.html dedicato + chiavi i18n EN + KB AI restano da completare
in un passaggio dedicato (il modulo questionari ha ancora UI parziale: backend+import
pronti, editor no-code template e portale OTP nelle fasi successive).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Fase 0 modulo questionari fornitori + fix bug produzione.
mail() built-in e' VIETATA dallo standard email-relay v1.0 e non recapitava nel
container. EmailService::send() ora instrada tutte le email via
POST /api/emails/send-raw del relay centralizzato email-automation-ms, header
X-Internal-Key, env multi-source (workaround clear_env PHP-FPM Alpine, pattern
SsoHelper::postInternal). Email mascherate nei log (GDPR, maskEmail()).
Beneficiano tutti i 6 caller esistenti senza modifiche: sendQuestionnaire
(supply-chain), forgotPassword (auth), notifiche incidenti, formazione,
feedback, contact.
Smoke test E2E produzione: send() => TRUE, email_log status=SENT (product=nis2).
Hot-reload USR2 su nis2-app. version.json -> 1.8.0.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Completa il recepimento dei findings della review (3 esperti). Tutte le 5 osservazioni tester + critici/warning/migliorie applicati.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Il backend sendQuestionnaire/questionnaire-status esisteva ma la UI non lo esponeva (guida prometteva una funzione non azionabile). Aggiunti:
- bottone 'Invia questionario' in lista (azioni) e in dettaglio fornitore
- funzione sendSupplierQuestionnaire (chiede email opzionale, mostra il link sq_ generato)
- api.js: sendSupplierQuestionnaire + getSupplierQuestionnaireStatus
Distinto 'Valuta (interna)' da 'Invia questionario' (link esterno). E2E prod: 201 + link generato.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
🔴 cap-7: i criteri 500utenti/4h/100k€ NON sono legge -> marcati come indicatori di triage del prodotto; criterio legale reale = art.23 c.3 (grave perturbazione/perdite o impatto considerevole su terzi); soglie quantitative -> Allegati 3/4 ACN + Reg.(UE)2024/2690. Plain-box: 30 giorni -> un mese, terminologia preallarme/notifica/relazione finale.
🔴 cap-2: aggiunto terzo criterio dimensionale (totale bilancio: grande >43M, media >=10M); data center spostati tra importanti; nota DORA lex specialis banche/finanza; servizi fiduciari qualificati/non qualificati.
Fonti: Dir.(UE)2022/2555 art.23/art.34, AmbitiNIS2, Determina 164179/2025.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- reports.html: RIPRISTINATO da HEAD (working tree corrotto: 89 tab 'Report Esecutivo' duplicati, ~146 righe spazzatura non committate; HEAD era sano). La corruzione era servita live, ora risolta.
- Nuovo tab 'Requisiti ACN': mostra gli 87/116 requisiti specifiche-base per funzione (GV/ID/PR/DE/RS/RC) con % compliance, summary stati e cambio stato inline (select -> PUT).
- api.js: getAcnRequirements + updateAcnRequirement.
JS validato (node --check). Endpoint E2E già verde (org importante 87 req, PUT implemented ok).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Allinea il PRODOTTO alla guida/normativa portando la compliance dal livello 10 misure Art.21
al livello operativo dei requisiti ACN (Framework Nazionale 2025).
- Migrazione 031: acn_requirements (catalogo) + org_acn_requirement_status (stato per-org)
- Seed da Allegati 1-2 ACN (fonte certa, parsing verificato): 87 importanti + 116 essenziali = 203 requisiti reali
- AuditController: acnRequirements (GET, per entity_type org: importanti 87 / essenziali 116, summary per funzione GV/ID/PR/DE/RS/RC, % compliance) + updateAcnRequirement (PUT stato+evidenza)
- Route audit/acnRequirements GET/PUT
- guida.html: fix refuso cap-5 (residuo 'otto categorie...no' -> '10 categorie x 8, quattro modalita')
E2E prod: org importante -> 87 req; PUT implemented -> compliance aggiornata.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Completa l'allineamento iniziato in 5e2534e (FAIR/KRI/benchmark). Ora tutte e 10 le nuove
funzionalita sono documentate nei capitoli pertinenti. Ancore cap-X intatte, HTML bilanciato.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
10 sezioni aggiunte nei capitoli pertinenti (cap-3/4/6/7/8/9/11/12), stile coerente con
l'esistente (in parole semplici / esempio / cosa dice la norma). Ancore cap-X invariate
(help.js continua a linkare i capitoli giusti). HTML bilanciato.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Bug PRE-ESISTENTE (commit 7823898 del 2026-02-20, presente anche in 94d7867): gli apostrofi in
"dell'attivita" (riga 512) e "l'anno" (riga 513) chiudevano le stringhe a singolo apice ->
SyntaxError che azzerava l'INTERO blocco <script> della pagina Rischi (tabella, matrice, FAIR,
KRI, dettaglio: tutti gli onclick davano ReferenceError). La pagina era servita 200 ma JS morto.
Trovato dalla review multi-agente (agente frontend). node --check ora OK.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Verificato E2E in prod: list 200 (8 tipi), save m365 201, secret 'client_secret' STRIPPATO (assente da config DB), delete 200, openConnectors servito in companies.html.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Richiesta utente: 'le credenziali si configurano nella card per ogni azienda cliente'.
- Migrazione 029: tabella org_connectors (config NON segreta + vault_key_alias + secret_status). NESSUN segreto nel DB.
- OrganizationController: listConnectors/saveConnector/deleteConnector + connectorOrgGuard (org_admin/compliance_manager propria org, o firm che la gestisce, o super_admin)
- Difesa: i campi segreti (client_secret/api_key/...) inviati vengono STRIPPATI prima del salvataggio (verificato E2E: non finiscono nel DB)
- saveConnector ritorna cli_hint col comando vault-cli per caricare il segreto (write-path vault = solo CLI admin, confermato leggendo server.js: solo GET /v1/credentials/*)
- UI: pannello 'Connettori' nella card di companies.html (8 tipi, tenant/client id, toggle attivo, stato segreto, modal)
- Route organizations/{id}/connectors GET/PUT/DELETE (type nel body)
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
I commit 56ce97d/1a5db30/14c06c8 contenevano migrazioni+HTML ma gli Edit dei
metodi controller e delle route erano falliti silenziosamente (ancore errate).
Ora presenti e testati E2E in produzione:
- DashboardController::sectorBenchmark (era 501)
- SupplyChainController: sendQuestionnaire/publicQuestionnaire/submitPublicQuestionnaire/questionnaireStatus/resolveQuestionnaire + route 'supply-chain' (era 404)
- PolicyController: attest/attestations/versions/diff/pendingAttestations + snapshot in approve + route (era 404)
Test: benchmark 200, supplier flow send->submit(score 61)->dedup 409->DB risk_score=39,
policy approve->attest(coverage 50%)->bump v2.0->diff(+2/-1)->pending ricompare.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- DashboardController::sectorBenchmark -> GET /dashboard/sectorBenchmark
confronta score compliance org vs aggregati anonimi del settore (avg/median/p25/p75/percentile)
k-anonymity: aggregati solo se >= 3 organizzazioni nel settore (no de-anonimizzazione, nessun dato per-org)
- UI dashboard: pannello benchmark con barra distribuzione + posizione (top quartile/sopra mediana/...) + delta vs media
- Dato che i competitor single-tenant non possono offrire (gap P2 reporting EVIX)
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Il commit 372ccb5 aveva incluso versioni con Edit falliti (ancore errate):
- AuditController::controlsMonitoring ora effettivamente presente (era 501 in prod)
- ServicesController::openapi ora espone incidents-ingest/evidence-ingest/assets-ingest/controls-monitoring
- i18n.js: chiavi nel formato corretto {it,en} (risks.fair_tab/kri_tab, assets.import_btn, audit.monitoring_tab)
- help.js: sezione Monitoraggio Continuo in reports
Verificato in prod: openapi 4/4, controlsMonitoring/fairRegister/kri tutti 200.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Competizione coi GRC enterprise sul risk management quantitativo:
- FairService: simulazione Monte Carlo FAIR (PERT su TEF e Loss Magnitude),
ALE in EUR con percentili P10/P50/P90 + istogramma, deterministico (seed da input)
- RiskController::computeFair -> POST /risks/{id}/fair (persiste parametri+ALE)
- RiskController::fairRegister -> GET /risks/fairRegister (portfolio ALE EUR)
- KRI: listKri/createKri/updateKri (GET/POST /risks/kri, PUT /risks/kri/{id})
con stato semaforo green/amber/red su soglie+direzione
- Migrazione 026: risks += parametri FAIR + ale_min/ml/max/mean; nuova tabella kri
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Il FAB ARIA (common.js) chiamava POST /api/ai/ask ma il controller non esisteva
(assistente AI rotto). Creato AiController::ask -> AIService::askWithRag con RAG su KB
+ grounding fonti certe. Verificato in produzione: rag_used=True, cita Ambiti NIS2 / Determina ACN.
Fix DNS Qdrant: nei worker php-fpm (musl) getenv e gethostbyname NON funzionano per
hostname Docker single-label; funziona solo un IP letterale. VectorService fallback ->
172.21.0.3 (fpm-safe); QDRANT_URL compose resta hostname per CLI. Vedi nota drift in VectorService.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Completamento UI per gli endpoint backend già attivi (commit e4f9e91):
- admin/users.html: colonna Azioni con pulsante "Impersonate" per utenti non-super_admin
attivi → salva token originale in sessionStorage, sostituisce con quello impersonate,
redirige a dashboard
- js/common.js: banner persistente arancione "Modalità Impersonate" in tutte le
pagine quando sessionStorage ha impersonate origin → pulsante "Esci impersonate"
ripristina token originale e torna ad admin/users
- settings.html: nuovo tab "Preferenze" (lingua/tema/timezone/notifiche email+in-app)
con form salva via PUT /auth/preferences
- settings.html: nuovo tab "Branding" (solo super_admin / consulente) con
brand_name/logo_url/primary_color/secondary_color, PUT /branding
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
- simulate.html: aggiunta card BIG (10 aziende, 18 fasi) con url
simulate-nis2-big.php, label BIG in SIM_LABELS, confirm dialog dedicato
- simulate-nis2-big.php: fix training assign user_id → user_ids (array)
come richiesto da TrainingController::assignCourse()
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
- ServicesController: nuovo endpoint GET /api/services/full-snapshot
Aggrega gap-analysis, measures, incidents, training, deadlines,
compliance-summary in una sola chiamata (reduce 6 round-trip → 1)
Parametro ?days=N per finestra deadlines (default 30, max 365)
- public/index.php: route GET:fullSnapshot aggiunta all'action map services
- public/simulate-nis2-big.php: wrapper SSE per simulate-nis2-big.php
Esegue il simulatore come sottoprocesso CLI con NIS2_SSE=1 e
streama l'output al browser tramite Server-Sent Events
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
- simulate-nis2-b2b.php: 6 scenari autonomi (SIM-B1→B6):
mktg login, invito con recipient data, validazione pubblica,
registrazione ridotta, provision org, login con org, API Key M2M
- public/simulate-b2b.html: UI terminale dark con flow diagram e SSE streaming
- public/register.html:
- Registrazione ridotta: con invito che ha recipient data mostra banner
"Ciao [Nome]!" + campi pre-compilati read-only + solo password richiesta
- Post-register con inviteToken: chiama provision automaticamente,
salva nis2_org_id in localStorage, redirect a dashboard.html
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
