<340 ns Per decisione
<600 ps Op. logica
2.9M/sec Throughput
On-premise nativo Nessun runtime cloud

Nota di Architettura Tecnica — Versione 1.0

Stato Artefatto pubblico controllato
Versione 1.0
Data di pubblicazione 2026-02-17
Giurisdizione Svizzera
Ambito Confine dimostrativo

Dichiarazione del problema

I sistemi di autorizzazione convenzionali si basano sull'inferenza probabilistica, su soglie basate su punteggi o su classificazioni euristiche per produrre decisioni. Questi approcci introducono ambiguità nel punto decisionale, rendendo strutturalmente impossibile garantire esiti deterministici in condizioni avversarie o incomplete. L'architettura descritta in questo documento adotta un approccio indeterminacy-first: il sistema è progettato per produrre una decisione formalmente delimitata — compreso uno stato indeterminato esplicito — per ogni input. Questo elimina la classe di errori derivanti dalla risoluzione binaria forzata e garantisce che ogni decisione sia tracciabile, riproducibile e vincolata alle prove. L'architettura non inferisce intenzioni, non predice esiti e non interpola prove mancanti. Valuta solo ciò che viene presentato, entro confini formalmente dichiarati.

Invarianti formali

I seguenti cinque invarianti sono vincoli architetturali applicati a ogni livello del sistema. Non sono configurabili, non sono opzionali e non sono soggetti a sovrascrittura a runtime.

1. Nessuna inferenza probabilistica

  • Definizione: Il sistema non utilizza machine learning, scoring statistico, inferenza bayesiana o alcuna forma di ragionamento probabilistico nel suo percorso decisionale.
  • Garanzia: Ogni decisione è prodotta dalla valutazione deterministica di regole di policy esplicitamente dichiarate rispetto alle prove presentate.
  • Confine: I sistemi esterni che alimentano dati nella piattaforma possono utilizzare metodi probabilistici; questo invariante si applica rigorosamente al percorso di valutazione decisionale.

2. Estrazione vincolata alle prove

  • Definizione: Nessuna decisione può essere prodotta senza un record di prove completo. Il sistema non fabbrica, non presume e non imposta valori predefiniti per campi di prova mancanti.
  • Garanzia: Ogni output decisionale è accompagnato da un set di prove crittograficamente collegato, presente al momento della valutazione.
  • Confine: La completezza delle prove è definita dallo schema della policy. Il sistema non valida la veridicità delle prove — solo la loro presenza strutturale e conformità al formato.

3. Riproducibilità deterministica

  • Definizione: Data la stessa versione di policy e lo stesso set di prove, il sistema deve produrre un output decisionale identico a ogni esecuzione.
  • Garanzia: La riproduzione delle decisioni è una funzione di audit di primo livello. Qualsiasi decisione storica può essere rivalutata con i suoi input originali per verificarne la coerenza.
  • Confine: La riproducibilità presuppone un versionamento immutabile delle policy. Se una versione di policy viene modificata in loco (una violazione del protocollo operativo), le garanzie di riproducibilità non valgono.

4. Architettura non auto-esecutiva

  • Definizione: Il sistema produce decisioni ma non le applica. Non ha la capacità di eseguire azioni, modificare sistemi esterni o attivare effetti a valle in modo autonomo.
  • Garanzia: L'output decisionale è un artefatto consultivo. L'applicazione è sempre delegata al sistema chiamante, che mantiene il pieno controllo sull'esecuzione delle azioni.
  • Confine: I pattern di integrazione possono automatizzare azioni sulla base dell'output decisionale. Tale automazione è esterna all'architettura e al di fuori dell'ambito di questo invariante.

5. Confine di sovrascrittura umana

  • Definizione: Ogni decisione prodotta dal sistema è soggetta a revisione e sovrascrittura umana. L'architettura non include alcun percorso che aggiri l'autorità umana.
  • Garanzia: Gli eventi di sovrascrittura sono registrati nello stesso registro in sola aggiunta delle decisioni originali, preservando la catena di audit completa, inclusa l'identità e la motivazione della sovrascrittura.
  • Confine: La piattaforma fornisce il meccanismo per la registrazione delle sovrascritture. Le politiche organizzative che regolano quando le sovrascritture sono consentite sono al di fuori dell'ambito del sistema.

Definizione della garanzia deterministica

Una decisione è considerata deterministica se e solo se tutte le seguenti condizioni sono soddisfatte:

  • La versione di policy utilizzata per la valutazione è immutabile e bloccata alla versione attiva al momento della richiesta.
  • Il set di prove è completo secondo la definizione dello schema della policy, senza campi dedotti o predefiniti.
  • La funzione di valutazione non contiene effetti collaterali, chiamate esterne né input casuali.
  • L'output è uno dei tre stati possibili: ALLOW, DENY o INDETERMINATE.
  • La coppia input-output completa è registrata in un registro in sola aggiunta ed è disponibile per la verifica indipendente tramite riproduzione.

Clausola del confine dimostrativo

Questo artefatto descrive l'architettura così come implementata in un ambiente di dimostrazione controllato. Non rappresenta una distribuzione in produzione, un sistema certificato o un servizio operato commercialmente. L'ambiente dimostrativo opera con dati sintetici, condizioni di carico limitate e ambito tenant ristretto. Non si avanzano affermazioni riguardo alla scalabilità, alla disponibilità o alla certificazione normativa dell'architettura descritta. Le organizzazioni che valutano questo sistema per la distribuzione operativa devono condurre la propria valutazione indipendente dell'idoneità allo scopo.

Impronta di integrità

L'impronta di integrità SHA-256 verrà pubblicata insieme all'artefatto PDF firmato. Contatta il team di ingegneria per ottenere la versione firmata sotto NDA.

Contatta il Team

Richiedi l'artefatto completo

Ottieni la nota di architettura tecnica completa come documento portatile sotto NDA.

Richiedi PDF