// DOCS TECNICA · GOVERNANCE

Governance e audit del runtime, ispezionabili via SQL standard.

Schema completo delle tabelle PostgreSQL del registro audit di Polyant. Esempi di query SQL per ispezione regolatore (Banca d'Italia, IVASS, AGENAS, AGCom, ARERA, Garante Privacy). Mapping articolo per articolo dei regolamenti applicabili (AI Act, GDPR, DORA, IDD, MDR, NIS2).

Apri il quickstart → Apri la trasparenza → /transparency

02 SCHEMA TABELLE AUDIT

Tre tabelle PostgreSQL cardinali nel database del cliente.

TABELLA · governance_events

Una riga per ogni decisione del runtime

id (UUID), assistantId, conversationId, phase (input/tool/output), gateType (dieci controlli), policyId, action (allow/warn/block), confidence, reason (testo strutturato), evidence (JSONB: regola attivata, input rilevato, alternativa proposta), regulatoryReference, createdAt. Indici: (assistantId, createdAt), (conversationId), (regulatoryReference).

TABELLA · pipeline_traces

Una riga per ogni esecuzione completa della pipeline

id, assistantId, conversationId, phase, durationMs (latenza ms per fase), createdAt.

TABELLA · ai_logs

Una riga per ogni chiamata al modello LLM

id, assistantId, conversationId, provider (anthropic, openai, mistral, bedrock, custom), model, inputTokens, outputTokens, costEstimateUsd, durationMs, createdAt.

03 QUERY SQL TIPICHE

Quattro esempi pronti per ispezione regolatore.

Tutte le decisioni di blocco di Compliance Scan negli ultimi 90 giorni con motivazione.

query-1-compliance-blocks.sql ts


      SELECT: created_at, conversation_id, gate_type, reason, evidence

    }
      FROM: governance_events

    }
      WHERE: assistant_id = '<UUID di Compliance Scan>'

    }
        AND: action = 'block'

    }
        AND: created_at > NOW() - INTERVAL '90 days'

    }
      ORDER BY: created_at DESC;

    }

Tutte le decisioni automatizzate su un cliente specifico (richiesta GDPR art. 15).

query-2-gdpr-art-15.sql ts


      SELECT: ge.*, c.client_id

    }
      FROM: governance_events ge

    }
      JOIN: conversations c ON c.id = ge.conversation_id

    }
      WHERE: c.client_id = '<CLIENT_ID>'

    }
        AND: ge.regulatory_reference LIKE '%GDPR art. 22%'

    }
      ORDER BY: ge.created_at DESC;

    }

Token consumati e costo totale per provider negli ultimi 30 giorni.

query-3-llm-cost.sql ts


      SELECT: provider, model,

    }
             : SUM(input_tokens + output_tokens) AS total_tokens,

    }
             : SUM(cost_estimate_usd) AS total_cost_usd

    }
      FROM: ai_logs

    }
      WHERE: created_at > NOW() - INTERVAL '30 days'

    }
      GROUP BY: provider, model

    }
      ORDER BY: total_cost_usd DESC;

    }

Latenza media per fase della pipeline.

query-4-latency.sql ts


      SELECT: phase,

    }
             : AVG(duration_ms) AS avg_ms,

    }
             : PERCENTILE_CONT(0.95) WITHIN GROUP

    }
             :   (ORDER BY duration_ms) AS p95_ms

    }
      FROM: pipeline_traces

    }
      WHERE: created_at > NOW() - INTERVAL '7 days'

    }
      GROUP BY: phase;

    }

04 MAPPING REGOLATORIO

Per ciascun regolamento applicabile, mapping delle evidenze del registro audit.

AI ACT · UE 2024/1689 Allegato III · sistemi ad alto rischio
Scoring credito (5b), pricing assicurativo vita/salute (5a/c), sanitari (5), servizi pubblici essenziali (5d) richiedono spiegabilità, supervisione umana, audit. Evidenze nel registro: classificazione AI Act (agente AI Act High-Risk Validator), spiegabilità (reason codes), supervisione umana (action warn con escalation a operatore).
GDPR · UE 2016/679 Art. 22 (decisioni automatizzate) · Art. 9 (dati sanitari)
Tutte le decisioni di Lead Scoring, Credit Scoring, IDD Gate, Compliance Scan filtrate per persona fisica. Art. 9: tutte le decisioni degli agenti healthcare con dati paziente.
DORA · UE 2022/2554 + RTS 2024/1772 Incident operativi significativi · timer 4h/72h/1M
Reporting Banca d'Italia. Agente DORA Incident Reporter scrive nel registro: classificazione dell'incident, timer attivo, template di report preparato.
NIS2 · UE 2022/2555 + D.Lgs. 138/2024 Incident cybersecurity nei settori critici
Specifiche ACN. Agente NIS2 Incident Reporter scrive: classificazione, timer ACN, report preparato.
IDD · UE 2016/97 Pre-screening proposte vita e salute
Agente IDD Gate scrive: target market check, vulnerable customer check, registro POG aggiornato.
MDR · UE 2017/745 Software as Medical Device avoidance
Per agenti sanitari. Agente MDR-SaMD Avoidance Checker scrive: classificazione del nuovo agente, eventuali pattern borderline, escalation al compliance officer.
MIFID II · UE 2014/65 Suitability check proposte investimento
Agente MiFID II Disclosure Gate scrive: profilo cliente, prodotto, vincoli concentrazione, decisione.

// PER APPROFONDIRE

Tre porte di approfondimento tecnico.

Architettura del runtime per il dettaglio dei componenti, sicurezza del prodotto per i dieci controlli built-in, trasparenza del prodotto per le garanzie verificabili.

Apri architettura → Apri trasparenza