La presentazione è progettata su canvas 1920×1080 e diventa illeggibile sui telefoni. Scarica il PDF per consultarla con calma o riapri il link da un computer.
Scarica il PDF ↓← Torna al sitoSistemi che nel 2020 erano “vecchi ma funzionanti” oggi sono passività regolamentari documentate. Il debito legacy non si paga aspettando.
In enforcement attivo. Tolleranza chiusa da Q1 2026. NCA conducono review attive, primi audit speciali in corso (stile BaFin §44 KWG).
Fino al 2% del turnover globale.
Enforcement Annex III high-risk: credit scoring, pricing assicurativo vita/salute, screening HR. Standard armonizzati CEN-CENELEC ancora in voto.
Fino al 7% del turnover globale.
Ispezioni ACN da ottobre 2026 sulle entità essenziali. Cross-checking automatico dei dati Register of Information.
Fino a 10M€ o 2% del fatturato.
fallisce o sfora significativamente budget e tempi.
Big Bang rewrite irreversibili. Documentazione obsoleta o assente. Sottostima del dark data: edge case accumulati in vent'anni di patch e branch condizionali. Validazione insufficiente, cutover fatti “alla cieca”.
Fonti: McKinsey 2025; Standish CHAOS Beyond Infinity; DORA Reports 2024-2025
Anthropic, IBM, Google e AWS pubblicano playbook agentici credibili. Nessuno affronta sistematicamente DORA artt. 6-30, EU AI Act artt. 9-72, NIS2, FRIA, Circolare 285 di Banca d'Italia.
Ogni dominio CATALYST produce evidenze pronte all'audit nei formati richiesti dai regolatori europei e italiani.
La modernizzazione AI-driven fallisce silenziosamente quando il sistema modernizzato compila ma diverge sui casi limite.
Procedura formale obbligatoria: replay traffico di produzione, side-by-side execution, diff degli output con soglie dichiarate ex ante.
A differenza dei framework che vivono solo come PowerPoint, CATALYST è in esecuzione su un programma reale.
~80 applicazioni desktop di un primario gruppo bancario-assicurativo italiano, in target su .NET 9 e C# 13.
Distribuzione Citrix · schema DB e stored procedure invariati su vincolo cliente.
I pattern .NET legacy → .NET 9, le decisioni archiviate e la knowledge base accumulata su 80 app sono asset che richiedono 12–18 mesi di esecuzione reale per essere ricostruiti.
Un grande system integrator non lo replica in tre mesi di workshop. Ogni applicazione che migriamo lo allarga.
Ogni dominio ha obiettivo, input, capability, output strutturato e gate di uscita verso il dominio successivo.
Si migra ciò che è attivo, non ciò che è dismesso, non ciò che si vorrebbe attivare. Le ottimizzazioni di compliance, sicurezza o UX si segnalano come raccomandazioni post-migrazione, non si implementano durante la migrazione.
| Sorgente | Target primario |
|---|---|
| COBOL / CICS / IMS | Java / Spring Boot |
| PL/SQL / Oracle Forms | Java / Python |
| Natural / Adabas | Java / Spring |
| RPG / AS400 | Java / cloud |
| VB6 / .NET legacy 3.5-4.x | .NET 9 / C# 13 / WPF |
| PowerBuilder | Java / Angular |
| Struts / EJB 2.x | Spring Boot 3 |
| PHP legacy 5.x/7.x | PHP 8.x + Symfony 7+ |
Nuovi stack si aggiungono creando un nuovo domain adapter, senza toccare il pipeline core.
Procedura formale, codificata come obbligo del framework. Coerente con la fase Validate di IBM watsonx Code Assistant e con Dual Rundi Google Cloud — la stessa metodologia con cui un primario gruppo bancario italiano ha dichiarato pubblicamente di aver ottenuto l'approvazione del regolatore.
Per workload bancari, pattern dimostrato come efficace: confronto delle query SQL emesse dal layer moderno vs il legacy, in modalità side-by-side, su pre-produzione con dati reali.
Numeri illustrativi. Il pack reale archivia anche hash di trace, configurazione threshold e firma del business owner.
Il prossimo cliente con stack diverso aggiunge un domain adapter, non un framework.
Copre DISCOVER + DOCUMENT. Agente legacy-analyzer Opus 4.7 max.
Copre TRANSFORM. Agente migration-executor Opus 4.7 max.
Copre VALIDATE + SECURE. Skill deterministica + verifier-semantic read-only.
Chiunque, oggi, con un coding agent moderno produce codice migrato. Pochi consegnano un pacchetto di evidenze che attraversa DORA, AI Act, NIS2 e i requisiti dei regolatori italiani in formato direttamente utilizzabile dal Compliance Officer.
Ogni dominio CATALYST produce evidenze nei formati e nelle nomenclature attese dai regolatori europei e italiani — come deliverable strutturato dell'engagement, non come byproduct documentale.
| Articolo | Evidenza prodotta |
|---|---|
| Art. 6 | ICT risk management framework + addendum AI-assisted |
| Art. 8 | Inventory funzioni ICT-supportate (output DISCOVER) |
| Art. 9 | Audit log SIEM-compatibile, secrets-scanning, signed commit |
| Art. 17-20 | Incident register con linkage a commit AI-generated |
| Art. 24-25 | Behavioral equivalence pack firmato (output VALIDATE) |
| Art. 28 | Register of Information con provider LLM e LEI |
| Art. 29 | Exit plan multi-vendor (Anthropic + Mistral on-prem) |
| Articolo | Evidenza prodotta |
|---|---|
| Art. 9 | Risk management system (DISCOVER risk register) |
| Art. 10 | Data & data governance (dataset trace VALIDATE) |
| Art. 12 | Record-keeping automatico, retention 5+ anni |
| Art. 13 | Transparency con tag epistemici espliciti |
| Art. 14 | Human oversight tipizzato (single / dual / four-eyes) |
| Art. 15 | Accuracy, robustness, cybersecurity (VALIDATE + SECURE) |
| Annex IV | Technical documentation high-risk consolidata |
L'agente produce modernizzazione attiva, con supervisione del developer. Effetto di apprendimento progressivo dopo le prime 3-5 app dello stesso stack.
dalla scheda applicativa al cutover in produzione. La differenza tra coding time e calendario è occupata da:
Onestà operativa.I cicli di validazione esterni sono governati dai tempi dell'organizzazione cliente, non dall'AI.
| # | Voce di costo | AI-augmented con CATALYST | Effetto netto atteso |
|---|---|---|---|
| 01 | Token / runtime LLM | Ordine di centinaia di $ per app medio-grande in single-agent Opus 4.7 | Costo netto nuovo, marginale rispetto alle voci successive |
| 02 | Ore sviluppo dev senior | Ridotto significativamente su reverse engineering, documentation, test generation | Riduzione netta significativa |
| 03 | Ore review umana | Aumentato — review tipizzata per livello di rischio richiede più tempo sui high-risk | Aumento netto, compensato dalla voce 02 |
| 04 | Ore test e validation | Ridotto su test generation, aumentato su behavioral equivalence | Variazione dipendente da baseline di test esistente |
| 05 | Ore audit e compliance | Evidence pack già strutturato come Annex IV, audit log SIEM, RoI pronta | Riduzione netta significativa |
| 06 | Costo del rischio residuo | Misurabile via equivalence pack: diff dichiarati × probabilità × impatto | Visibile e governabile, non più opaco |
Nuove API, nuove UI, prototipi. Stack moderno, training data abbondante.
compressione coding time
Refactoring di codebase mainstream <10 anni. Stack noto, pattern consolidati.
compressione coding time
Banking COBOL / VB6 / Natural / Adabas, integrazione regolatoria.
effetto di apprendimento progressivo
CATALYST è il layer di orchestrazione. Questi sono i runtime su cui si appoggia — scegliamo per workload e per livello di rischio, non per fedeltà al vendor. Il rapporto con il Code Modernization Playbook di Anthropic (feb. 2026) è di estensione regolatoria, non di sostituzione.
| Player | Punto di forza per legacy modernization | Caveat per banking/insurance UE |
|---|---|---|
| Anthropic | Runtime locale eccellente, subagent + MCP, multi-agent orchestrator | STDIO MCP rifiutato patch design; cowork escluso da workload FSI |
| OpenAI | Stack agentico più coerente cross-surface, Skills, Apps SDK, MCP nativo | API diretta non offre EU sovereign; via Azure OpenAI Data Zone |
| Dual Run è benchmark di equivalenza comportamentale, casi banking | Sovereignty su S3NS PREMI3NS H2 2026; Antigravity exploited entro 24h | |
| IBM | Project Bob GA 28 apr. 2026, adiacenza mainframe Z/i, multi-model nativo | Bobcoins pricing non mappa pubblicamente a token |
| AWS | Transform “agent minute” $0.035/min trasparente, casi Allianz/Generali | ESC eusc-de-east-1 non offre Claude; CLOUD Act resta esposto |
| Microsoft | Distribuzione GitHub Copilot ubiqua, framework Bankdata open banking-grade | EU Data Boundary opt-in; “Mainframe MCP server” non è prodotto a sé |
| Mistral | Hybrid/on-prem/in-VPC, EU-headquartered, profilo migliore per sovereign | Quality gap su SWE-Bench rispetto a frontier US |
INPS, INAIL, Agenzia Entrate, sistemi sanitari regionali. Mainframe COBOL/PL-I + DB2.
Vincoli specifici: AGID Det. 17/2025 + 43/2026, livelli QC1-QC4 ACN, responsabilità non delegabile (Art. 14 L. 132/2025).
HIS, LIS, PACS/RIS. Migrazione protocolli legacy → API FHIR native per FSE 2.0.
Specificità: MDR + IVDR + MDCG 2025-6. Behavioral equivalence diventa obbligo morale, non opzione, per moduli life-critical.
Convergenza IT/OT, smart meter, dispatching. Porzioni IT modernizzate con pipeline standard.
Trade-off invertito: Availability + Safety prevaricano. Pattern Strangler con wrapper API che incapsula il legacy SCADA. NIS2 + NCCS.
Audit tecnico portafoglio applicativo. Risk classification preliminare. Selezione pilot module. Business case bottom-up.
Output: SOW dettagliato per Fase 2.
Setup ambiente CATALYST. Esecuzione completa delle tre fasi sul pilot module. Metriche reali raccolte.
Output: deliverable + report quantitativo + Go/No-Go.
Esecuzione su batch 5-15 applicazioni. Reporting bi-settimanale al CIO. Knowledge capture continuo.
Output: applicazioni in produzione + dashboard YAML.
Trasferimento knowledge base al team interno. Training. SLA residual support formalizzato.
Output: cliente autonomo sulla modernizzazione residua.
Il framework è scritto, eseguito e iterato da un team che gira AI coding agent in produzione su un cliente bancario reale, ogni giorno. Le decisioni metodologiche sono il sedimento di settimane di lavoro su codice reale, non l'output di un workshop di posizionamento.
Il Gruppo Excellence ha la storia banking/insurance italiana, le relazioni commerciali con i grandi gruppi del settore, la struttura legale e contrattuale per gestire engagement enterprise nel regolato.