Cześć! Jestem

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Skontaktuj się

O Mnie

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Moje Umiejętności

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automatyzacja Procesów

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Systemy Na Zamówienie

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

Moja Misja

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Demokratyzacja Technologii

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Łączenie IT i Biznesu

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Tworzenie Rozwiązań na Miarę

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Przekształć Swój Biznes z Technologią

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Porozmawiajmy →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Skontaktuj się

Masz projekt? Porozmawiajmy! Wypełnij formularz, a odpowiem wkrótce.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

Automatyzacja zgodności z silnikiem reguł dynamicznych: RegTech w 2025 r

Globalny rynek RegTech (Technologia regulacyjna) osiągnęła 16 miliardów dolarów w 2025 r. i oczekuje się, że do 2032 r. przekroczy 62 miliardy, przy CAGR na poziomie 21,3%. Liczby te odzwierciedlają radykalną transformację sposobu, w jaki organizacje sobie radzą zgodność z przepisami: od reaktywnego procesu ręcznego do proaktywnego systemu zautomatyzowanego.

Zasadniczy problem polega na tym, że krajobraz regulacyjny stale się zmienia. Firma działający w wielu jurysdykcjach musi jednocześnie przestrzegać RODO, MiFID II, DORA, NIS2, AML5, SOX, HIPAA i dziesiątki lokalnych przepisów branżowych. Każda zmiana przepisów wymaga aktualizacja kilkudziesięciu procedur wewnętrznych, szkolenia i weryfikacja personelu systemów informatycznych. Dzięki tradycyjnemu podejściu opartemu na programie Excel i okresowym ręcznym audytom, Dopiero po naruszeniu okazuje się, że organizacje nie przestrzegają zasad.

Rozwiązaniem jest Silnik zgodności: system oprogramowania, który tłumaczy przepisy w reguły wykonalne (prawo nadające się do odczytu maszynowego), stale monitoruje działania firmy w odniesieniu do tych zasad, generuje alerty w czasie rzeczywistym, przeprowadza audyty udokumentowane trasy i automatycznie aktualizuje się w przypadku zmiany przepisów. W tym artykuł budujemy taki system przy użyciu Pythona, na którym oparty jest silnik reguł Ślini się/Pydantyczny, oraz architekturę sterowaną zdarzeniami.

Czego dowiesz się w tym artykule

Architektura silnika zgodności: silnik reguł, szyna zdarzeń, magazyn audytu
Modelowanie przepisów regulacyjnych w formacie do odczytu maszynowego (YAML/JSON)
Implementacja silnika reguł w Pythonie z Pydantic i dopasowywaniem wzorców
Dynamiczne aktualizacje reguł: aktualizacje reguł bez przestojów systemu
Ciągła punktacja ryzyka: model oceny ryzyka z wykorzystaniem uczenia maszynowego
Niezmienna ścieżka audytu i automatyczne raportowanie na potrzeby audytów zewnętrznych
Integracja z istniejącymi systemami: ERP, CRM, podstawowymi systemami bankowymi
Porównanie platform RegTech: Axiom, Clausematch, Behavox, ComplyAdvantage

Architektura silnika zgodności

Korporacyjny silnik zgodności składa się z czterech głównych warstw, w których działają koordynacja. Projekt musi wyraźnie oddzielać określenie zasad od ich wykonanie, umożliwiając ekspertom ds. zgodności (nie programistom) do niezależnej aktualizacji zasad.

Cztery warstwy mechanizmu zgodności

Repozytorium reguł: Baza danych przepisów regulacyjnych w formacie ustrukturyzowanym (YAML/JSON), wersja Git, z metadanymi na temat źródła regulacyjnego, artykuł referencyjny, data wejścia w życie i jurysdykcja.
Warstwa przetwarzania zdarzeń: Gromadzi zdarzenia ze wszystkich systemów firmy (transakcje finansowe, dostęp do danych, podpisane umowy, komunikacja) za pośrednictwem Kafki lub równoważna magistrala komunikatów.
Silnik oceny reguł: Oceń każde wydarzenie pod kątem obowiązujących zasad, generuje naruszenia, oblicza ocenę ryzyka i priorytety działań naprawczych.
Warstwa audytu i raportowania: Utrzymuje niezmienną ścieżkę audytu wszystkich oceny, generuje raporty na potrzeby audytów wewnętrznych i zewnętrznych oraz obsługuje dashboardy działające w czasie rzeczywistym dla zespołu compliance.

"""
compliance/models/rule.py
Modello di regola normativa con Pydantic
"""
from enum import Enum
from datetime import date
from typing import Optional, Any
from pydantic import BaseModel, Field


class Severity(str, Enum):
    CRITICAL = "CRITICAL"
    HIGH = "HIGH"
    MEDIUM = "MEDIUM"
    LOW = "LOW"
    INFO = "INFO"


class RuleCondition(BaseModel):
    """Condizione atomica valutabile contro un evento."""
    field: str          # Campo dell'evento da valutare (es. 'transaction.amount')
    operator: str       # 'gt', 'lt', 'eq', 'ne', 'in', 'not_in', 'contains', 'regex'
    value: Any          # Valore di soglia o lista
    description: str = ""


class ComplianceRule(BaseModel):
    """
    Regola di compliance machine-readable.
    Modella un requisito normativo come condizioni eseguibili.
    """
    rule_id: str
    name: str
    description: str
    regulation: str             # Es. 'GDPR', 'AML5', 'MiFID2', 'DORA'
    article: str                # Es. 'Art. 6(1)(a)', 'Rule 4.2.1'
    jurisdiction: list[str]     # Es. ['EU', 'IT', 'DE']
    severity: Severity
    conditions: list[RuleCondition]
    logical_operator: str = "AND"  # 'AND' o 'OR'
    active: bool = True
    effective_date: date
    expiry_date: Optional[date] = None
    version: str = "1.0.0"
    tags: list[str] = Field(default_factory=list)
    remediation_steps: list[str] = Field(default_factory=list)
    auto_remediate: bool = False


class ComplianceViolation(BaseModel):
    """Violazione rilevata dall'engine."""
    violation_id: str
    rule_id: str
    rule_name: str
    regulation: str
    severity: Severity
    event_id: str
    entity_id: str          # ID del soggetto (azienda, utente, conto)
    violation_timestamp: str
    fields_in_violation: dict[str, Any]
    risk_score: float       # 0.0 - 1.0
    auto_remediated: bool = False
    remediation_action: Optional[str] = None
    status: str = "OPEN"   # 'OPEN', 'INVESTIGATING', 'REMEDIATED', 'ACCEPTED'

Definicja reguły w YAML: reguły do odczytu maszynowego

Istotą tego podejścia jest przekształcenie wymogów regulacyjnych w ustrukturyzowane zasady YAML, które silnik może pracować automatycznie. Proces ten, tzw Inżynieria norm, Jest to najbardziej złożone działanie projektu: wymaga współpracy ekspertów prawnych i inżynierowie oprogramowania, aby zapewnić wierność i kompletność tłumaczenia standardu na kod.

# rules/gdpr_rules.yaml
# Regole GDPR per il trattamento dei dati personali

- rule_id: GDPR-ART6-001
  name: "Consenso esplicito richiesto per marketing diretto"
  description: >
    L'Art. 6(1)(a) GDPR richiede che il trattamento per finalita
    di marketing diretto sia basato su consenso esplicito e non sia
    pre-spuntato o dedotto da comportamenti pregressi.
  regulation: GDPR
  article: "Art. 6(1)(a)"
  jurisdiction: [EU]
  severity: HIGH
  conditions:
    - field: "event.type"
      operator: eq
      value: "MARKETING_COMMUNICATION_SENT"
    - field: "subject.consent.marketing_direct"
      operator: ne
      value: true
  logical_operator: AND
  effective_date: "2018-05-25"
  tags: [gdpr, consent, marketing]
  remediation_steps:
    - "Verificare il record di consenso nel CMP (Consent Management Platform)"
    - "Se mancante, sospendere immediately le comunicazioni al soggetto"
    - "Inviare richiesta di consenso retroattiva se consentito"
    - "Documentare l'incidente nel registro delle violazioni"

- rule_id: GDPR-ART17-001
  name: "Diritto alla cancellazione: risposta entro 30 giorni"
  description: >
    L'Art. 17 GDPR richiede che le richieste di cancellazione
    (Right to Erasure) siano evase entro 30 giorni dalla ricezione.
  regulation: GDPR
  article: "Art. 17"
  jurisdiction: [EU]
  severity: HIGH
  conditions:
    - field: "event.type"
      operator: eq
      value: "DSR_ERASURE_REQUEST"
    - field: "event.days_since_receipt"
      operator: gt
      value: 30
    - field: "event.request_status"
      operator: ne
      value: "COMPLETED"
  logical_operator: AND
  effective_date: "2018-05-25"
  tags: [gdpr, dsr, right-to-erasure]
  remediation_steps:
    - "Escalare immediatamente al DPO"
    - "Avviare processo di erasure d'urgenza su tutti i sistemi"
    - "Documentare causa del ritardo"
    - "Valutare notifica al Garante se il ritardo supera 60 giorni"

- rule_id: AML5-TXN-001
  name: "Transazione ad alto rischio senza EDD"
  description: >
    AML5 (5AMLD) richiede Enhanced Due Diligence (EDD)
    per transazioni superiori a 15.000 EUR da paesi ad alto rischio
    o per clienti con profilo di rischio elevato.
  regulation: AML5
  article: "Art. 18-24"
  jurisdiction: [EU]
  severity: CRITICAL
  conditions:
    - field: "transaction.amount_eur"
      operator: gt
      value: 15000
    - field: "transaction.origin_country_risk"
      operator: in
      value: [HIGH, VERY_HIGH]
    - field: "customer.edd_completed"
      operator: ne
      value: true
  logical_operator: AND
  effective_date: "2020-01-10"
  tags: [aml, edd, transaction-monitoring]
  auto_remediate: false
  remediation_steps:
    - "Bloccare la transazione in attesa di EDD"
    - "Notificare il compliance officer entro 1 ora"
    - "Avviare processo EDD: fonte dei fondi, purpose, UBO"
    - "Se EDD non completato in 24h, considerare Suspicious Activity Report (SAR)"

Silnik reguł: ocena w czasie rzeczywistym

Silnik oceny odbiera zdarzenia z magistrali i ocenia je pod kątem wszystkich reguł dotyczy. Implementacja musi być wydajna (dziesiątki tysięcy zdarzeń na drugi dla systemów finansowych), obsługują dynamiczną aktualizację reguł bez przerwy w świadczeniu usług i zapewniają śledzenie każdej oceny.

"""
compliance/engine/evaluator.py
Rules engine con valutazione real-time e dynamic rule loading
"""
import re
import uuid
import yaml
import json
from datetime import datetime, timezone, date
from typing import Any
from pathlib import Path
import threading

from compliance.models.rule import (
    ComplianceRule, ComplianceViolation, RuleCondition, Severity
)


class RulesEvaluator:
    """
    Valuta eventi rispetto a regole di compliance caricate dinamicamente.
    Thread-safe: supporta hot-reload delle regole senza downtime.
    """

    def __init__(self, rules_dir: str):
        self.rules_dir = Path(rules_dir)
        self._rules: list[ComplianceRule] = []
        self._lock = threading.RLock()
        self.load_rules()

    def load_rules(self) -> None:
        """Carica/ricarica tutte le regole da file YAML. Thread-safe."""
        new_rules = []
        for yaml_file in self.rules_dir.glob('*.yaml'):
            with open(yaml_file, 'r') as f:
                rules_data = yaml.safe_load(f)
            for rule_data in rules_data:
                rule = ComplianceRule(**rule_data)
                if rule.active and self._is_effective(rule):
                    new_rules.append(rule)

        with self._lock:
            self._rules = new_rules

    def evaluate_event(self, event: dict) -> list[ComplianceViolation]:
        """
        Valuta un evento rispetto a tutte le regole attive.
        Restituisce lista di violazioni rilevate.
        """
        violations = []
        event_jurisdiction = event.get('jurisdiction', 'EU')
        event_type = event.get('event', {}).get('type', '')

        with self._lock:
            applicable_rules = [
                r for r in self._rules
                if event_jurisdiction in r.jurisdiction
            ]

        for rule in applicable_rules:
            if self._evaluate_rule(rule, event):
                violation = self._create_violation(rule, event)
                violations.append(violation)

        return violations

    def _evaluate_rule(self, rule: ComplianceRule, event: dict) -> bool:
        """Valuta se un evento viola una regola specifica."""
        condition_results = [
            self._evaluate_condition(cond, event)
            for cond in rule.conditions
        ]

        if rule.logical_operator == "AND":
            return all(condition_results)
        else:  # OR
            return any(condition_results)

    def _evaluate_condition(
        self, condition: RuleCondition, event: dict
    ) -> bool:
        """Valuta una singola condizione usando field path notation."""
        try:
            value = self._get_nested_value(event, condition.field)
        except (KeyError, TypeError):
            return False

        op = condition.operator
        threshold = condition.value

        if op == 'eq':
            return value == threshold
        elif op == 'ne':
            return value != threshold
        elif op == 'gt':
            return float(value) > float(threshold)
        elif op == 'lt':
            return float(value) < float(threshold)
        elif op == 'gte':
            return float(value) >= float(threshold)
        elif op == 'lte':
            return float(value) <= float(threshold)
        elif op == 'in':
            return value in threshold
        elif op == 'not_in':
            return value not in threshold
        elif op == 'contains':
            return threshold in str(value)
        elif op == 'regex':
            return bool(re.match(threshold, str(value)))
        return False

    def _get_nested_value(self, data: dict, field_path: str) -> Any:
        """Naviga un path puntato (es. 'transaction.amount_eur')."""
        keys = field_path.split('.')
        value = data
        for key in keys:
            value = value[key]
        return value

    def _create_violation(
        self, rule: ComplianceRule, event: dict
    ) -> ComplianceViolation:
        risk_score = self._compute_risk_score(rule, event)
        return ComplianceViolation(
            violation_id=str(uuid.uuid4()),
            rule_id=rule.rule_id,
            rule_name=rule.name,
            regulation=rule.regulation,
            severity=rule.severity,
            event_id=event.get('event_id', ''),
            entity_id=event.get('entity_id', ''),
            violation_timestamp=datetime.now(timezone.utc).isoformat(),
            fields_in_violation=self._extract_violation_fields(
                rule.conditions, event
            ),
            risk_score=risk_score
        )

    def _compute_risk_score(
        self, rule: ComplianceRule, event: dict
    ) -> float:
        """Calcola risk score 0.0-1.0 basato su severity e context."""
        severity_map = {
            Severity.CRITICAL: 1.0,
            Severity.HIGH: 0.75,
            Severity.MEDIUM: 0.50,
            Severity.LOW: 0.25,
            Severity.INFO: 0.10
        }
        return severity_map.get(rule.severity, 0.5)

    def _extract_violation_fields(
        self, conditions: list[RuleCondition], event: dict
    ) -> dict[str, Any]:
        result = {}
        for cond in conditions:
            try:
                result[cond.field] = self._get_nested_value(event, cond.field)
            except (KeyError, TypeError):
                result[cond.field] = None
        return result

    def _is_effective(self, rule: ComplianceRule) -> bool:
        today = date.today()
        if rule.effective_date > today:
            return False
        if rule.expiry_date and rule.expiry_date < today:
            return False
        return True

Architektura sterowana zdarzeniami z Kafką

Silnik zgodności odbiera zdarzenia ze wszystkich systemów firmy za pośrednictwem magistrali komunikatów. Architektura sterowana zdarzeniami gwarantuje, że żadne zdarzenia nie zostaną utracone (trwałość Kafki), e. system jest skalowalny poziomo (wielu pracowników-konsumentów zajmujących się tym samym tematem) e że naruszenia są przetwarzane asynchronicznie bez wpływu na systemy źródłowe.

"""
compliance/engine/kafka_worker.py
Consumer Kafka per valutazione compliance in streaming
"""
import json
import logging
from kafka import KafkaConsumer, KafkaProducer
from elasticsearch import Elasticsearch

from compliance.engine.evaluator import RulesEvaluator


logger = logging.getLogger(__name__)


class ComplianceWorker:
    """
    Consuma eventi da Kafka, li valuta con il Rules Engine,
    persiste le violazioni su Elasticsearch e pubblica alert.
    """

    def __init__(self, config: dict):
        self.consumer = KafkaConsumer(
            'compliance.events',
            bootstrap_servers=config['kafka_brokers'],
            group_id='compliance-engine',
            value_deserializer=lambda v: json.loads(v.decode('utf-8')),
            enable_auto_commit=False  # Commit manuale per garanzie at-least-once
        )
        self.producer = KafkaProducer(
            bootstrap_servers=config['kafka_brokers'],
            value_serializer=lambda v: json.dumps(v).encode('utf-8')
        )
        self.es = Elasticsearch(config['elasticsearch_url'])
        self.evaluator = RulesEvaluator(config['rules_dir'])

    def run(self) -> None:
        logger.info("Compliance worker avviato")
        for message in self.consumer:
            event = message.value
            try:
                violations = self.evaluator.evaluate_event(event)

                for violation in violations:
                    # Persisti violazione su Elasticsearch
                    self.es.index(
                        index='compliance-violations',
                        id=violation.violation_id,
                        document=violation.model_dump()
                    )

                    # Pubblica alert su topic dedicato per severity alta
                    if violation.severity in ('CRITICAL', 'HIGH'):
                        self.producer.send(
                            'compliance.alerts.high-priority',
                            violation.model_dump()
                        )
                    else:
                        self.producer.send(
                            'compliance.violations',
                            violation.model_dump()
                        )

                    logger.warning(
                        f"Violazione: {violation.rule_id} | "
                        f"Entity: {violation.entity_id} | "
                        f"Severity: {violation.severity} | "
                        f"Score: {violation.risk_score:.2f}"
                    )

                # Commit offset solo dopo elaborazione completata
                self.consumer.commit()

            except Exception as exc:
                logger.error(
                    f"Errore elaborazione evento {event.get('event_id')}: {exc}",
                    exc_info=True
                )
                # Non fare commit: il messaggio verrà riprocessato
                self.producer.send(
                    'compliance.events.dlq',
                    {'event': event, 'error': str(exc)}
                )

Dynamiczna ocena ryzyka za pomocą uczenia maszynowego

Oprócz reguł statycznych, nowoczesne systemy RegTech 2025 integrują modele ML the dynamiczna punktacja ryzyka: Każdy klient, dostawca lub transakcja otrzymuje ocena ryzyka, która jest aktualizowana w czasie rzeczywistym w miarę zmiany czynników ryzyka (aktualizacje list sankcji, negatywne wiadomości, nietypowe wzorce zachowań).

"""
compliance/risk/scorer.py
Dynamic risk scoring con feature engineering e modello ML
"""
import numpy as np
from sklearn.ensemble import GradientBoostingClassifier
from sklearn.preprocessing import StandardScaler
from typing import Optional
import joblib
from datetime import date


class EntityRiskScorer:
    """
    Calcola risk score 0.0-1.0 per entità (clienti, fornitori).
    Il modello si aggiorna periodicamente con nuovi dati di training.
    """

    FEATURES = [
        'transaction_volume_30d',
        'transaction_count_30d',
        'avg_transaction_size',
        'jurisdictions_count',
        'high_risk_country_pct',
        'pep_indicator',           # Politically Exposed Person
        'sanctions_hit_count',
        'negative_news_score',
        'sar_filed_12m',           # Suspicious Activity Reports
        'kyc_freshness_days',      # Giorni dall'ultimo KYC
        'adverse_media_count',
        'complexity_score'
    ]

    def __init__(self, model_path: Optional[str] = None):
        self.scaler = StandardScaler()
        if model_path:
            self.model = joblib.load(model_path)
        else:
            self.model = GradientBoostingClassifier(
                n_estimators=200,
                learning_rate=0.05,
                max_depth=4,
                random_state=42
            )
        self.is_trained = False

    def extract_features(self, entity_data: dict) -> np.ndarray:
        """Estrae feature vector dall'entity profile."""
        features = [
            entity_data.get('transaction_volume_30d', 0),
            entity_data.get('transaction_count_30d', 0),
            entity_data.get('avg_transaction_size', 0),
            len(entity_data.get('jurisdictions', [])),
            entity_data.get('high_risk_country_pct', 0.0),
            1 if entity_data.get('is_pep', False) else 0,
            entity_data.get('sanctions_hit_count', 0),
            entity_data.get('negative_news_score', 0.0),
            entity_data.get('sar_filed_12m', 0),
            (date.today() - entity_data.get('last_kyc_date', date.today())).days,
            entity_data.get('adverse_media_count', 0),
            entity_data.get('complexity_score', 0.0)
        ]
        return np.array(features).reshape(1, -1)

    def score_entity(self, entity_data: dict) -> dict:
        """
        Calcola risk score per un'entità.
        Restituisce score, categoria di rischio e feature importances.
        """
        if not self.is_trained:
            # Fallback a regola semplice prima del training
            score = min(
                entity_data.get('high_risk_country_pct', 0) * 0.3 +
                (0.5 if entity_data.get('is_pep', False) else 0) +
                min(entity_data.get('sanctions_hit_count', 0) * 0.2, 0.5),
                1.0
            )
        else:
            features = self.extract_features(entity_data)
            features_scaled = self.scaler.transform(features)
            score = float(self.model.predict_proba(features_scaled)[0, 1])

        category = self._score_to_category(score)
        return {
            'entity_id': entity_data.get('entity_id', ''),
            'risk_score': round(score, 4),
            'risk_category': category,
            'scoring_timestamp': date.today().isoformat(),
            'model_version': 'gb_v2.1'
        }

    def _score_to_category(self, score: float) -> str:
        if score >= 0.80:
            return 'VERY_HIGH'
        elif score >= 0.60:
            return 'HIGH'
        elif score >= 0.40:
            return 'MEDIUM'
        elif score >= 0.20:
            return 'LOW'
        return 'VERY_LOW'

Porównanie platform RegTech 2025

Platforma	Główny cel	Mocne strony	Typowe zastosowanie
Dopasowanie klauzulowe	Zarządzanie polityką i śledzenie przepisów	Automatyczna aktualizacja regulaminu, powiązanie polityki →regulamin	Banki, towarzystwa ubezpieczeniowe, zarządzający aktywami
ZgodnośćZaleta	AML, sankcje, kontrola PEP	Baza danych w czasie rzeczywistym, ML dla fałszywych alarmów	FinTech, banki, dostawcy usług płatniczych
Zachowanie	Komunikacja w ramach nadzoru, wykorzystywanie informacji poufnych	Zaawansowane NLP w komunikacji wewnętrznej	Brokerzy-dealerzy, fundusze hedgingowe, banki inwestycyjne
Aksjomat (LexisNexis)	Informacje regulacyjne, śledzenie przepisów	Globalny zasięg, klasyfikacja AI	Zespół prawny, specjaliści zajmujący się zgodnością z wieloma jurysdykcjami
Apiaks	Cyfrowe zasady zgodności, przede wszystkim API	Reguły, które można wykorzystać poprzez API z dowolnego systemu	Integracja z cyfrowymi produktami finansowymi

Anty-wzorzec: typowe błędy w silnikach zgodności

Reguły wbudowane w kod: Każda zmiana przepisów wymaga wdrożenia. Reguły powinny obejmować dane, a nie kod.
Zmienna ścieżka audytu: Jeśli ścieżka audytu może zostać zmodyfikowana lub usunięta, nie ma ona żadnej wartości prawnej. Używaj tylko dołączania (bez AKTUALIZOWANIA/USUWANIA) i kryptograficznego podpisywania dzienników.
Brak wersjonowania reguł: Aby wykazać zgodność na randce specyfikacji, musisz wiedzieć, która wersja reguły była aktywna. Wymagany Git + efektywna_data.
Niemożliwe do zarządzania fałszywe alarmy: System generujący tysiące alertów dziennie jest ignorowany. Dostrajanie progu ryzyka ma charakter ciągły i wymaga informacji zwrotnej od zespołu ds. zgodności.
Brak własności reguły: Każda reguła musi mieć właściciela (np. DPO w przypadku przepisów RODO, MLRO w przypadku przepisów AML) odpowiedzialnych za jego prawidłowość.

Niezmienny ślad audytu z pozyskiwaniem zdarzeń

Wymóg prawny dotyczący niezmiennej ścieżki audytu idealnie pasuje do tego wzorca Pozyskiwanie zdarzeń: każdy stan systemu można zrekonstruować na podstawie sekwencji zdarzenia niezmienne. Każda ocena zgodności, każde wykryte naruszenie, każde działanie środka zaradczego i utrwalonego zdarzenia ze znacznikiem czasu i podpisem kryptograficznym.

"""
compliance/audit/event_store.py
Event store immutabile con firma HMAC-SHA256
"""
import hashlib
import hmac
import json
import uuid
from datetime import datetime, timezone
import psycopg2


class AuditEventStore:
    """
    Event store append-only per audit trail compliance.
    Ogni evento viene firmato con HMAC-SHA256 per garantire
    l'integrita contro modifiche non autorizzate.
    """

    def __init__(self, pg_conn: psycopg2.extensions.connection, hmac_key: bytes):
        self.conn = pg_conn
        self.hmac_key = hmac_key
        self._ensure_schema()

    def append_event(
        self,
        event_type: str,
        aggregate_id: str,
        aggregate_type: str,
        payload: dict,
        user_id: str = 'system'
    ) -> str:
        """
        Persiste un evento immutabile nel store.
        Restituisce l'event_id generato.
        """
        event_id = str(uuid.uuid4())
        timestamp = datetime.now(timezone.utc).isoformat()

        event_data = json.dumps({
            'event_id': event_id,
            'event_type': event_type,
            'aggregate_id': aggregate_id,
            'aggregate_type': aggregate_type,
            'timestamp': timestamp,
            'payload': payload,
            'user_id': user_id
        }, sort_keys=True)

        # Firma HMAC-SHA256 per integrita
        signature = hmac.new(
            self.hmac_key,
            event_data.encode('utf-8'),
            hashlib.sha256
        ).hexdigest()

        with self.conn.cursor() as cur:
            cur.execute("""
                INSERT INTO audit_events (
                    event_id, event_type, aggregate_id, aggregate_type,
                    timestamp, payload, user_id, hmac_signature
                ) VALUES (%s, %s, %s, %s, %s, %s, %s, %s)
            """, (
                event_id, event_type, aggregate_id, aggregate_type,
                timestamp, json.dumps(payload), user_id, signature
            ))
        self.conn.commit()
        return event_id

    def verify_integrity(self, event_id: str) -> bool:
        """Verifica l'integrita di un evento tramite firma HMAC."""
        with self.conn.cursor() as cur:
            cur.execute("""
                SELECT event_id, event_type, aggregate_id, aggregate_type,
                       timestamp, payload, user_id, hmac_signature
                FROM audit_events WHERE event_id = %s
            """, (event_id,))
            row = cur.fetchone()

        if not row:
            return False

        event_data = json.dumps({
            'event_id': row[0],
            'event_type': row[1],
            'aggregate_id': row[2],
            'aggregate_type': row[3],
            'timestamp': row[4].isoformat(),
            'payload': json.loads(row[5]),
            'user_id': row[6]
        }, sort_keys=True)

        expected_sig = hmac.new(
            self.hmac_key,
            event_data.encode('utf-8'),
            hashlib.sha256
        ).hexdigest()

        return hmac.compare_digest(expected_sig, row[7])

    def _ensure_schema(self) -> None:
        with self.conn.cursor() as cur:
            cur.execute("""
                CREATE TABLE IF NOT EXISTS audit_events (
                    event_id       UUID PRIMARY KEY,
                    event_type     TEXT NOT NULL,
                    aggregate_id   TEXT NOT NULL,
                    aggregate_type TEXT NOT NULL,
                    timestamp      TIMESTAMPTZ NOT NULL,
                    payload        JSONB NOT NULL,
                    user_id        TEXT NOT NULL,
                    hmac_signature CHAR(64) NOT NULL,
                    sequence_num   BIGSERIAL
                )
            """)
        self.conn.commit()

Wnioski

Skuteczny silnik zgodności to nie tylko system ostrzegania: to infrastruktura cyfrowe regulacje organizacji. Kluczem do sukcesu jest oddzielenie zasad z kodu (umożliwiając aktualizacje regulacyjne bez wdrażania), gwarantują niezmienność ścieżki audytu (niezbędny wymóg prawny) i skalibrować scoring ryzyka minimalizuj fałszywe alarmy bez pomijania krytycznych zdarzeń.

Oczekuje się, że rynek RegTech wzrośnie z 16 miliardów dolarów do 62 miliardów dolarów do 2032 roku dziś w solidnej architekturze i strategicznym wyborze, który zmniejsza ryzyko sankcji (do 4% światowych obrotów z tytułu naruszeń RODO) i zwiększa zaufanie klientów i regulatory.