Road map tecnologico

1) Assegnazione e principi

La road map descrive come raggiungiamo le metriche aziendali attraverso le iniziative di ingegneria e quando vengono consegnati.

• Outcome over output - Gli obiettivi sono misurati da SLO/KPI aziendale (anziché dal numero di attività).
• Decomposizione per flusso di valore: Piattaforma, Pagamenti, Dati/BI/ML, Sicurezza/Complaens, Affidabilità/Osservabilità, DevEx/IDP.
• Orizzonti: H1 (0-6 mes) - sfruttamento; H2 (6-18 mes) - Scalabilità; H3 (18 + mes) - ricerca/innovazione.
• Now/Next/Later e strategia a due velocità: vincite veloci + progetti fondamentali.
• Evidence-based: ogni approvazione è una metrica, un esperimento o un controllo.

2) Ossatura road map (manufatti)

Vision/North Star: 1 pagina «dove andare» (SLO, mercati target, licenze).
Pilastri strategici: Scala, Affidabilità, Sicurezza, Velocità di consegna, Economia.
Portafoglio annuale di iniziative con incassi trimestrali.
OKR (company → domain → team) e SLO (p95/TTFB, Time-to-Wallet, tolleranza di errore).
Catalogo delle dipendenze (regolatore, provider PSP/KYC, release backend/client).
Un registro dei rischi e un piano di risposta.
RACI per le iniziative chiave.
Calendario delle release e delle finestre freeze.
La politica dei depricaggi e il registro dei tecnici.

3) Priorità: come scegliere prima cosa fare

RICE (Reach, Impatto, Confidence, Effort) è per i prodotti/TPM.
WSJF (Cost of Delay/Job Size) - per l'infrastruttura e la riduzione dei rischi.
Guardrails: non eseguiamo iniziativen senza KPI misurabili, proprietario selezionato e piano di interoperabilità inversa.

4) Flussi (value streams) e obiettivi

4. 1 Piattaforma/Infrastruttura

Obiettivi: p95 API <1500 ms, autoscale, release canarie, DR RTO≤1ch/RPO≤5min.
Maturità da «release manuali» a «policy-as-code + autolesionismo SLO».

4. 2 Pagamenti/Conclusioni

Obiettivi: Time-to-Wallet p95-30s, aumento della conversione dei depositi + X%, smart-routing PSP a tolleranza di errore.

4. 3 Dati/BI/ML

Obiettivi: un unico contratto di eventi, DWH + streaming, antifrode-ML, un analista di prodotti.

4. 4 Sicurezza/Complaens

Obiettivi: PCI/GDPR readover, SBOM + firme, «no humans in prod», PAM/SSO + MFA, eBPF/runtime-dett.

4. 5 Affidabilità/Osservabilità

Obiettivi: Errore budget 1%, OTTEL end-end, monitoraggio synthetic-script critici.

4. 6 DevEx/IDP (piattaforma di sviluppo)

Obiettivi: TTFPR 1 giorno, pre-ambiente per-PR, contratto-test ovunque, cataloghi dei modelli.

5) Esempio di mappa annuale (H1: 0-6 mes, H2: 6-12 mes)

H1 (quartieri Q1-Q2)

• IDP MVP: modelli di servizio, base CI (lint + unit + build), pre-ambiente.
• Observability 1. 0: OTEL, dashboard p95/5xx/DLQ, alert SLO.
• Payments v1: 2 PSP + failover, Idempotency-Key firmati webhooks.
• Sicurezza Core: SSO + MFA, KMS, regole di base admissione, SBOM per ogni biglietto.

• Canary/Blue-Green, autotrasporto SLO.
• Data Platform 1. 0 è un unico bus di eventi, Data Catalog, contratto di validazione.
• Anti-fraud Signals 1. 0 (regole + ficcoflagi).
• FinOps 1. 0: showback, primi budget e quote.

H2 (Q3–Q4)

• Smart-routing PSP по SLA/гео, Shadow traffic.
• Resilience - chaos-test di staging, DR-dri-ferite.
• Security 2. 0 - Firma aspetto + admision-enforce, playbook SOAR.
• Data 2. 0: DWH + report metriche alimentari, ML-scansione (beta).

• Ring-deployments per regione/tenente.
• Cost Guardrails: disattivazione automatica delle risorse idle, rightsizing.
• Compliance pack: manufatti PCI/GDPR, trailer di controllo «evidence-first».
• Platform UX: DevPortal 2. 0, Golden Paths, Runbooks as Code.

6) OKR annuo (esempio)

• KR1: p95 API < 1. 5c; KR2: MTTR <30 min; KR3: frequenza di rilascio ≥ 2/giorno.

• KR1: + 3 p.p. conversione dei depositi; KR2: Time-to-Wallet p95 ≤ 30с.

• KR1: 100% delle immagini sono firmate; KR2: 0 critical/high senza eccezioni> 14 giorni; KR3: - 20% dei costi di infrastruttura/1000 RPS.

7) Piano di consegna di 12 mesi (modello)

8) Risorse e composizione dei comandi

Матрица навыков: Platform (K8s/IaC), Payments (PSP/KYC/crypto), Data (Kafka/DWH/DBT), Security (IAM/PAM/SAST/DAST), SRE (SLO/OTel), DevEx (Backstage/CLI).
Capacity Plan: 70% iniziative mappe, 20% supporto/incidenti, 10% ricerca H3.
Vendor: criteri Build vs Buy (TCO, lock-in, velocità, controllo, compilation).

9) Budget e FinOps

Economia unica: €/1000 RPS, €/TB-storage, €/deposito.
SLO budget: limiti per servizi/neimspace; alarma auto per anomalie.
Ottimizzazioni: rightsizing, spot/abbonamenti, cache, archiviazione fredda, off-peak batch.

10) Sicurezza e compliance nella road map

Porte di qualità incorporate: SBOM, firma, SAST/SCA, DAST, policy-as-code.
pacchetti PCI/GDPR: DPIA, tokenizzazione, segmentazione della zona PAN, registri di controllo.
«No humans in prod» alla fine di Q3: PAM, scrittura sessioni, rilascio di break-glass sotto controllo.

11) Osservabilità e SLO

Единые service level indicators: latency p50/p95/p99, error-rate, saturation.
Business SLI: Time-to-Wallet, conversione dei depositi, quota di rifiuto KYC.
Errore budget controlla la velocità di lancio: esaurimento - focus sull'affidabilità.

12) Comunicazioni e gestione

Cerimonie: portafoglio settimanale (PM + EM + RM), Steering mensile, QBR trimestrali.
I manufatti sono il dashboard aggregato OKR/SLO/budget, changelog soluzioni strategiche.
Trasparenza: DevPortal con road map live (Now/Next/Later, proprietari).

13) Rischi e dipendenze (modello di registro)

14) RACI (esempio per «release canary»)

Responsible: Release Manager, SRE

Accountable: Head of Platform

Consulted: Security Lead, QA Lead

Informed: Product/Support/Compliance

15) Lancio dell'iniziativa: Definition of Ready/Done

DoR: proprietario, target, contratto/schema, design doc, lista dei rischi, piano di recupero.
DoD: test verdi (unit/contract/integration/e2e), dashboard/alert aggiornati, runbook pronto, changelog pubblicato, metrica migliorata.

16) Esperimenti, A/B e phicheflagi

Qualsiasi modello di prodotto/rischio è attraverso la fittiflag, con attivazione progressiva e telemetria di influenza (conversione, latency, errori).
Gli esperimenti sono rilevati in un catalogo, l'ipotesi di un risultato è una soluzione.

17) Politica di depricaggio e tecnica

Programma Sunset: durata del supporto per 2 versioni minori, adattatori di migrazione, data EOL.
Il Registro Tecnico - Valutazione del Rischio/Costo, gli «Sprint del Debito» trimestrali.

18) Assegno-foglia di maturità della carta di marcia

• Ci sono Vision e 5 pilastri della strategia.
• Portafoglio di 4 isolati con OKR/SLO misurabili.
• Regole di priorità comuni (RICE/WSJF).
• I rischi e le dipendenze sono aggiornati settimanalmente.
• RACI/proprietari assegnati, risorse confermate.
• La mappa è disponibile in DevPortal e sincronizzata con il calendario di rilascio.
• La politica di depricaggio e il registro tecnico sono in corso.
• SLO/Errore budget controllano il ritmo di rilascio.
• FinOps-dashboard e gate low cost sono inclusi.

19) Esempio «Now/Next/Later» (vista DevPortal)

Now: IDP MVP, Observability 1. 0, PSP v1 (2 provider), SSO + MFA + KMS.
Next: Canary, Data 1. 0, Smart-routing, DR test, firmare immagini (enforce).
Later: Ring-deployments, controllo PCI/GDPR, analisi ML antifrode, DevPortal 2. 0.

Output breve

La road map tecnologica è un contratto vivace tra impresa e ingegneria. Unisce la strategia ai passaggi trimestrali eseguibili, mantiene il focus sui risultati (SLO, Time-to-Wallet, Conversione), bilancia velocità e rischio, e crea trasparenza: chi, cosa, quando e perché. Seguendo questo modello, si trasforma la scalabilità e la compilazione da minacce a vantaggio competitivo.