ci: governance repo — CI, template, CONTRIBUTING, formattazione

- GitHub Actions CI: lint (ruff + black), test (pytest), security (pip-audit)
- Template issue: bug report e feature request strutturati
- Template PR: checklist con issue obbligatoria e disclosure AI
- CONTRIBUTING: regola issue-prima-della-PR, policy AI, tempi di risposta
- Formattazione black + fix ruff su main.py e utils.py

Author: Enrico Pascatti

.github/ISSUE_TEMPLATE/bug_report.yml

@@ -0,0 +1,69 @@
+name: "🐛 Bug Report"
+description: Segnala un problema o un comportamento inatteso
+title: "[Bug]: "
+labels: ["bug", "triage"]
+body:
+  - type: markdown
+    attributes:
+      value: |
+        Grazie per la segnalazione! Compila tutti i campi per aiutarci a riprodurre il problema.
+        **NON includere mai credenziali, codici fiscali o dati personali.**
+
+  - type: textarea
+    id: description
+    attributes:
+      label: Descrizione del problema
+      description: Descrivi cosa è successo
+      placeholder: "Quando faccio X, succede Y invece di Z..."
+    validations:
+      required: true
+
+  - type: textarea
+    id: steps
+    attributes:
+      label: Passi per riprodurre
+      description: Elenca i passi per riprodurre il problema
+      placeholder: |
+        1. Avvia il servizio con `uvicorn main:app`
+        2. Invia una richiesta POST a /visura con ...
+        3. Osserva l'errore ...
+    validations:
+      required: true
+
+  - type: textarea
+    id: expected
+    attributes:
+      label: Comportamento atteso
+      description: Cosa ti aspettavi che succedesse?
+    validations:
+      required: true
+
+  - type: textarea
+    id: logs
+    attributes:
+      label: Log rilevanti
+      description: Incolla eventuali log (rimuovi SEMPRE credenziali e dati personali!)
+      render: shell
+
+  - type: dropdown
+    id: environment
+    attributes:
+      label: Ambiente
+      options:
+        - Docker
+        - Locale (venv)
+        - Altro
+    validations:
+      required: true
+
+  - type: input
+    id: python-version
+    attributes:
+      label: Versione Python
+      placeholder: "3.11.x"
+
+  - type: input
+    id: os
+    attributes:
+      label: Sistema operativo
+      placeholder: "Ubuntu 22.04 / macOS 14 / ..."

.github/ISSUE_TEMPLATE/config.yml

@@ -0,0 +1,8 @@
+blank_issues_enabled: false
+contact_links:
+  - name: "🔒 Vulnerabilità di sicurezza"
+    url: https://github.com/zornade/visura-api/security/advisories/new
+    about: "NON aprire issue pubbliche per problemi di sicurezza. Usa il Security Advisory."
+  - name: "💬 Domande e discussioni"
+    url: https://github.com/zornade/visura-api/discussions
+    about: "Per domande generali, usa le Discussions invece di aprire una issue."

.github/ISSUE_TEMPLATE/feature_request.yml

@@ -0,0 +1,40 @@
+name: "✨ Feature Request"
+description: Proponi una nuova funzionalità o un miglioramento
+title: "[Feature]: "
+labels: ["enhancement"]
+body:
+  - type: markdown
+    attributes:
+      value: |
+        Grazie per la proposta! Prima di aprire questa issue, verifica che non esista già una richiesta simile.
+
+  - type: textarea
+    id: problem
+    attributes:
+      label: Problema o motivazione
+      description: Quale problema risolve questa funzionalità? Oppure perché sarebbe utile?
+      placeholder: "Mi trovo spesso a dover fare X manualmente, e sarebbe utile se..."
+    validations:
+      required: true
+
+  - type: textarea
+    id: solution
+    attributes:
+      label: Soluzione proposta
+      description: Descrivi la soluzione che immagini
+      placeholder: "Un nuovo endpoint che fa Y, oppure un parametro Z in /visura..."
+    validations:
+      required: true
+
+  - type: textarea
+    id: alternatives
+    attributes:
+      label: Alternative considerate
+      description: Hai considerato altre soluzioni? Se sì, perché le hai scartate?
+
+  - type: checkboxes
+    id: willingness
+    attributes:
+      label: Disponibilità a contribuire
+      options:
+        - label: Sono disponibile a implementare questa feature e aprire una PR

.github/pull_request_template.md

@@ -0,0 +1,43 @@
+## Issue collegata
+
+<!-- OBBLIGATORIO: ogni PR deve essere collegata a una issue approvata. -->
+<!-- Se non esiste una issue, aprila prima di inviare la PR. -->
+Risolve #
+
+## Descrizione
+
+<!-- Descrivi brevemente cosa fa questa PR e perché. -->
+
+## Tipo di modifica
+
+- [ ] Bug fix (corregge un problema senza rompere funzionalità esistenti)
+- [ ] Nuova feature (aggiunge funzionalità senza rompere quelle esistenti)
+- [ ] Breaking change (modifica che potrebbe rompere funzionalità esistenti)
+- [ ] Documentazione
+- [ ] Refactoring (nessun cambio funzionale)
+
+## Checklist
+
+- [ ] Ho letto [CONTRIBUTING.md](../CONTRIBUTING.md)
+- [ ] La mia PR è basata sull'ultimo `main` (ho fatto rebase)
+- [ ] Ho testato le modifiche localmente
+- [ ] Il codice passa `ruff check .` e `black --check .`
+- [ ] Ho aggiornato il CHANGELOG.md (se applicabile)
+- [ ] Ho aggiunto/aggiornato i test (se applicabile)
+- [ ] Non ho committato credenziali, dati personali o file `.env`
+
+## Uso di strumenti AI
+
+<!-- Trasparenza: dichiara se hai usato strumenti AI (Copilot, ChatGPT, ecc.) -->
+- [ ] Non ho usato strumenti AI per questa PR
+- [ ] Ho usato strumenti AI come supporto (specificare quali e come sotto)
+
+<!-- Se hai usato AI, descrivi brevemente come: -->
+
+## Screenshot / Log
+
+<!-- Se utile, aggiungi screenshot o log (SENZA dati personali). -->
+
+## Note per il reviewer
+
+<!-- Qualcosa di specifico su cui vorresti feedback? -->

.github/workflows/ci.yml

@@ -0,0 +1,79 @@
+name: CI
+
+on:
+  push:
+    branches: [main]
+  pull_request:
+    branches: [main]
+
+permissions:
+  contents: read
+
+jobs:
+  lint:
+    name: Lint & Format Check
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+
+      - name: Set up Python
+        uses: actions/setup-python@v5
+        with:
+          python-version: "3.11"
+
+      - name: Install dependencies
+        run: |
+          python -m pip install --upgrade pip
+          pip install ruff black
+
+      - name: Check formatting with Black
+        run: black --check --diff .
+
+      - name: Lint with Ruff
+        run: ruff check .
+
+  test:
+    name: Tests
+    runs-on: ubuntu-latest
+    needs: lint
+    steps:
+      - uses: actions/checkout@v4
+
+      - name: Set up Python
+        uses: actions/setup-python@v5
+        with:
+          python-version: "3.11"
+
+      - name: Install dependencies
+        run: |
+          python -m pip install --upgrade pip
+          pip install -r requirements.txt
+          pip install pytest pytest-cov pytest-asyncio
+
+      - name: Install Playwright browsers
+        run: playwright install chromium --with-deps
+
+      - name: Run tests
+        run: python -m pytest -v --tb=short || [ $? -eq 5 ]
+        env:
+          ADE_USERNAME: test
+          ADE_PASSWORD: test
+
+  security:
+    name: Dependency Audit
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+
+      - name: Set up Python
+        uses: actions/setup-python@v5
+        with:
+          python-version: "3.11"
+
+      - name: Install dependencies
+        run: |
+          python -m pip install --upgrade pip
+          pip install pip-audit
+
+      - name: Audit dependencies
+        run: pip-audit -r requirements.txt

CONTRIBUTING.md

@@ -2,23 +2,49 @@
 
 Grazie per il tuo interesse nel contribuire a Visura API! Questo documento fornisce le linee guida per partecipare al progetto.
 
+> **Regola fondamentale**: prima di scrivere codice, **apri sempre una issue** per discutere la modifica. Le PR senza issue collegata e approvata non verranno revisionate. Questo vale per feature, refactoring e fix non banali.
+
+## Tempi di risposta
+
+Questo progetto è mantenuto nel tempo libero. Ecco cosa aspettarsi:
+
+- **Issue**: risposta entro 7 giorni
+- **PR con issue approvata**: prima review entro 14 giorni
+- **PR senza issue**: chiusa con richiesta di aprire prima una issue
+
+Se non ricevi risposta entro questi tempi, sentiti libero di fare un ping gentile nel thread.
+
 ## Codice di condotta
 
 Partecipando a questo progetto accetti di rispettare il nostro [Codice di Condotta](CODE_OF_CONDUCT.md).
 
+## Policy sull'uso di strumenti AI
+
+L'uso di strumenti AI (GitHub Copilot, ChatGPT, Claude, ecc.) come **supporto** è benvenuto, ma con regole chiare:
+
+- **Dichiaralo**: nel template della PR c'è una sezione apposita. Sii trasparente su cosa è stato generato da AI.
+- **Comprendi il codice**: devi essere in grado di spiegare ogni riga della tua PR. Se il reviewer ti chiede "perché hai fatto X?" e la risposta è "l'ha scritto l'AI", la PR verrà rifiutata.
+- **Testa tutto**: il codice generato da AI deve essere testato localmente end-to-end, esattamente come il codice scritto a mano.
+- **No bulk PR**: le PR che riformattano massivamente il codice o aggiungono centinaia di righe non richieste non verranno revisionate. Mantieni le PR piccole e focalizzate.
+
+Le PR palesemente generate da AI senza comprensione del progetto (selettori sbagliati, flussi non testati, dipendenze inventate) verranno chiuse senza review.
+
 ## Come segnalare un problema
 
 1. Controlla prima le [issue esistenti](https://github.com/zornade/visura-api/issues) per assicurarti che il problema non sia già stato segnalato
 2. Se è un problema di sicurezza, **NON** aprire una issue pubblica — segui le istruzioni in [SECURITY.md](SECURITY.md)
-3. Apri una nuova issue usando il template appropriato, fornendo:
-   - Descrizione chiara del problema
-   - Passi per riprodurlo
-   - Comportamento atteso vs comportamento osservato
-   - Versione di Python e del sistema operativo
-   - Log pertinenti (rimuovi sempre le credenziali!)
+3. Apri una nuova issue usando il template appropriato (Bug Report o Feature Request)
 
 ## Come proporre modifiche
 
+### Regola: Issue prima, PR dopo
+
+1. **Apri una issue** descrivendo cosa vuoi fare e perché
+2. **Attendi il via libera** del maintainer (etichetta `approved` o commento esplicito)
+3. **Solo dopo**, crea il fork e scrivi il codice
+
+Questo evita di sprecare il tuo tempo su modifiche che non verranno accettate e permette di allinearsi sull'architettura prima di scrivere codice.
+
 ### Preparare l'ambiente di sviluppo
 
 ```bash
@@ -52,16 +78,28 @@ cp .env.example .env
    ```
 3. **Scrivi il codice** seguendo le convenzioni del progetto
 4. **Aggiungi test** per le modifiche, se applicabile
-5. **Esegui i test** per verificare che nulla sia rotto:
+5. **Verifica linting e formattazione** prima del commit:
+   ```bash
+   black --check .
+   ruff check .
+   ```
+6. **Esegui i test** per verificare che nulla sia rotto:
    ```bash
    python -m pytest test_*.py -v
    ```
-6. **Fai commit** con messaggi chiari in italiano:
+7. **Fai rebase su main** prima di aprire la PR:
+   ```bash
+   git fetch upstream
+   git rebase upstream/main
+   ```
+8. **Fai commit** con messaggi chiari in italiano:
    ```bash
    git commit -m "fix: corretto errore nella selezione della provincia"
    git commit -m "feat: aggiunto supporto per ricerca per codice fiscale"
    ```
-7. **Apri una Pull Request** verso il branch `main`
+9. **Apri una Pull Request** verso il branch `main`, compilando il template e collegando la issue
+
+> ⚡ La CI eseguirà automaticamente linting (ruff + black), test e un audit di sicurezza sulle dipendenze. Assicurati che passi tutto prima di chiedere la review.
 
 ### Convenzioni per i messaggi di commit