Un DPP non è uno snapshot: è una storia. Ogni dato pubblicato deve poter essere ricostruito esattamente come era in qualsiasi data passata. Questo è il principio di auditability e nei prossimi anni sarà il vero discrimine tra compliance reale e compliance di facciata.

I tre livelli di prova

  • Audit log applicativo — chi ha cambiato cosa, quando, da quale indirizzo, con quale motivazione. Granularità per campo.
  • Ledger eventi — append-only, hash concatenati (SHA-256), opzionalmente firmato con certificato qualificato eIDAS. Manomettere richiederebbe riscrivere ogni hash successivo.
  • Snapshot pubblicati — versioni immutabili della pagina pubblica al momento di ciascuna pubblicazione, recuperabili da QR code anche anni dopo (versioned URL).

Cosa significa, in pratica, per un'autorità

L'autorità di sorveglianza arriva con una domanda concreta: «Mostratemi la dichiarazione SVHC di questo prodotto al 14 marzo 2027». Senza un sistema audit-ready, parte la caccia al PDF nelle email. Con Trace4, aprite il prodotto, andate alla data, vedete esattamente cosa il consumatore vedeva quel giorno e chi aveva validato cosa.

Cosa chiedere a un fornitore SaaS di compliance

  1. Esportazione completa dell'audit log in formato standard (JSON/CSV firmato).
  2. Hash verificabile esternamente: deve poter essere validato senza rieseguire il software del fornitore.
  3. Retention conforme al regolamento di settore: 10 anni è il default per il DPP, ma alcuni standard chiedono di più.
  4. Esportabilità totale dei dati e degli allegati alla cessazione del contratto.

Come Trace4 implementa audit-ready

  • Audit log per campo con motivazione obbligatoria sui dati regolatori.
  • Ledger SHA-256 concatenato esportabile su richiesta.
  • Pagine pubbliche versionate: ogni pubblicazione genera uno snapshot immutabile recuperabile via hash dell'URL.
  • Firma digitale opzionale dei dossier audit (eIDAS qualificata via partner).
  • Esportazione completa tenant on-demand in formato BACPAC + bundle file: la portabilità è un diritto, non un favore.

Audit-ready non è un add-on da comprare a parte. O è progettato dentro la piattaforma fin dal primo giorno, o non c'è.