Come si implementa Clean Architecture in un progetto .NET reale?
In pratica questo si traduce in una solution con quattro progetti separati:
Domain, Application, Infrastructure e Presentation. Il confine tra Application e Infrastructure è implementato tramite interfacce: l'Application dichiara di cosa ha bisogno, l'Infrastructure lo implementa.Il risultato è codice testabile senza database reali, logica di business che non cambia quando cambia l'ORM, e un'architettura che comunica la sua struttura a chi legge il codice. I dettagli implementativi con struttura reale delle cartelle sono nell'articolo.
Marco apre il progetto il lunedì mattina. La struttura delle cartelle è impeccabile: Dominio, Applicazione, Infrastruttura, Presentazione.
I nomi giusti, gli spazi giusti, l'architettura giusta.
Poi cerca dove vivono le regole di business. Le trova nel controller. Poi nel servizio. Poi in un altro servizio. Poi nel repository (è la parte che legge e salva dati nel database).
Sono ovunque e da nessuna parte.
Marco ha costruito una Clean Architecture senza il suo unico ingrediente essenziale: le regole di business nel posto sbagliato non diventano corrette solo perché le cartelle hanno i nomi giusti.
L' architettura dichiarata e quella reale non coincidono quasi mai.
La struttura delle cartelle è corretta.
Il comportamento del codice non lo è. E la differenza, nel mercato italiano, vale per chi sa distinguerle.
In vent'anni di lavoro su sistemi .NET reali, ho visto questa storia più volte di quante riesca a contare. L'ho vissuta io stesso, prima di capire dove stava il problema vero.
La Clean Architecture si copia facilmente da qualsiasi tutorial.
Si capisce molto meno facilmente perché i tutorial mostrano la struttura e saltano il perché. E il perché è l'unica cosa che conta davvero per portare benefici reali.
Ho lavorato con decine di team .NET in altrettante imprese italiane, in settori che non hanno nulla in comune tranne un problema: questo.
Il sintomo è sempre lo stesso: architettura dichiarata, comportamento del codice incompatibile con quella dichiarazione.
Il problema non è chi sviluppa. È che il settore formative insegna le risposte senza spiegare le domande.
I pattern architetturali esistono perché qualcuno aveva un problema reale da risolvere.
Quando si tramandano solo i pattern, senza il problema che li ha generati, si ottengono sviluppatori che sanno cosa fare ma non sanno perché.
Robert Cecil Martin (Uncle Bob) ha scritto “Clean Architecture per risolvere problemi reali di manutenibilità e testabilità. Il sistema educativo informale del web l'ha trasformata in un template da copiare e incollare.
Il risultato: tutti conoscono la struttura, quasi nessuno conosce il perché. E il perché è l'unica cosa che separa chi guadagna il 40% in più, da chi resta al palo.
In questo articolo non trovi una spiegazione di cos'è la Clean Architecture.
Trovi il Meccanismo delle 4 Dipendenze, il quadro concettuale che i senior .NET usano per decidere dove mettere cosa, come difendere quella scelta dal compilatore, come testarla in millisecondi invece di minuti, e quando ignorarla è la scelta più matura che puoi fare.
Con esempi concreti, codice reale e i quattro errori che quasi nessun tutorial menziona perché chi scrive i tutorial non lavora sui progetti legacy che li accumula.
Il codice che nessuno osa toccare: come le dipendenze sbagliate paralizzano i team .NET
La regola è una sola: le parti più importanti del sistema non devono dipendere dalle parti più volatili. Le regole di business non sanno cosa sia Entity Framework.
La logica applicativa non sa che esiste ASP.NET. I dettagli tecnici dipendono dal nucleo, mai il contrario.
Capire davvero questa regola, non solo recitarla, è ciò che distingue uno sviluppatore che applica uno schema da uno che sa perché quello schema esiste.
È vero che hai studiato la struttura. È vero che hai applicato la separazione in livelli. È vero che il tuo progetto ha una cartella Dominio con le entità.
Ed è esattamente per questo che la domanda giusta non è "hai i livelli giusti?" ma "i livelli fanno la cosa giusta?".
Perché si può avere la struttura perfetta e il comportamento sbagliato, e il comportamento sbagliato costa come l'assenza di struttura.
Pensa all'ultimo progetto su cui hai lavorato. Hai visto logica di business dentro i controller?
Hai visto regole di validazione del dominio intrecciate con le query del database?
Hai visto un servizio da 400 righe che recuperava dati, applicava sconti, inviava e-mail e aggiornava la cache, tutto nello stesso posto?
Questo non succede per pigrizia.
Succede perché nessuno ha mai spiegato il costo reale di quella scelta, sprint dopo sprint, fino a quando il codice diventa intoccabile.
Quando la logica di business si mescola con i dettagli tecnici, il codice smette di essere testabile in isolamento. Per verificare se uno sconto viene applicato correttamente, devi avviare il database.
Per controllare che una conferma d'ordine rispetti le regole, devi caricare l'intera configurazione. Il ciclo di feedback si allunga da secondi a minuti.
I bug emergono in produzione invece che in sviluppo.
La paura di modificare il codice esistente cresce, rilascio dopo rilascio, finché nessuno vuole toccare quel modulo.
È una trappola che si manifesta pienamente solo quando è troppo tardi per uscirne facilmente.
La separazione architetturale non è una questione estetica. È la condizione che rende possibile verificare la logica di business in millisecondi, senza database, senza framework, senza configurazione di sistema.
La ragione pratica è semplice.
Immagina l'impianto elettrico di un edificio. Se ogni elettrodomestico è collegato alla presa con un cavo su misura, cambiare la presa significa smontare l'elettrodomestico.
Se ogni elettrodomestico usa una spina standard, qualsiasi presa compatibile funziona.
La Clean Architecture è quella spina standard: il nucleo dichiara il formato del contratto, l'infrastruttura lo implementa con la tecnologia che vuole. Vuoi passare da SQL Server a PostgreSQL?
Riscrivi solo il livello di accesso ai dati.
Vuoi cambiare provider e-mail? Tocchi un unico file. Il dominio non cambia di una virgola.
Il test pratico è immediato: prova a scrivere un test per la tua logica di business principale senza avviare il database, senza caricare la configurazione, senza mock complessi.
Se ci riesci, stai rispettando la regola. Se non ci riesci, hai un accoppiamento dove non dovrebbe esserci, e ogni modifica al sistema costa più di quanto dovrebbe.
La differenza di retribuzione tra un senior developer e un architetto software nel mercato italiano non è fatta solo di pattern memorizzati.
È fatta da questa capacità: vedere dove l’accoppiamento erode il valore del software nel tempo, e costruire strutture che resistono.
Se hai già letto la regola ma nel tuo progetto la logica di business è ancora mescolata con i dettagli tecnici, il problema non è la teoria: è che nessuno ti ha mai mostrato come applicarla su codice reale, sotto la pressione di uno sprint vero.
È esattamente quello che facciamo nel Corso Architetto Software AI.
Quattro moduli, zero compromessi: la struttura che il compilatore difende per te
La struttura ottimale in .NET è quattro moduli con dipendenze dichiarate esplicitamente, verificate dal compilatore a ogni build.
Non è una scelta estetica: è un vincolo strutturale che rende impossibile violare le regole architetturali per distrazione o urgenza.
Quando il compilatore non ti lascia fare qualcosa, non ci sono discussioni in code review. La pressione dello sprint non cambia niente.
Conosci quel momento in cui un collega dice "l'ho fatto così perché era più comodo"? In un progetto con tutto nello stesso modulo, o con cartelle invece di progetti separati, questo accade costantemente.
Le convenzioni architetturali affidate solo alla disciplina del team si degradano un piccolo compromesso alla volta.
Dopo un anno, non c'è più nessuna architettura: ci sono solo le decisioni che sembravano urgenti in quel momento.
Il problema non è la buona volontà. È che la buona volontà, sotto la pressione delle scadenze, cede sempre.
La separazione in moduli risolve questo alla radice.
Se Dominio.csproj prova a referenziare Infrastruttura.csproj, non compila.
Il compilatore diventa il guardiano delle regole architetturali. E a differenza della buona volontà, il compilatore non cede mai.
La gerarchia è precisa e segue la stessa logica della regola fondamentale.
Il modulo Dominio non ha dipendenze esterne: solo il linguaggio puro, zero librerie di terze parti.
Contiene le entità, i value object, i domain event e gli errori di dominio.
Il modulo Applicazioni dipende solo da Dominio e contiene i casi d'uso, i contratti delle dipendenze esterne (le interfacce), i comandi e le query CQRS.
Il modulo Infrastruttura dipende da Applicazioni e contiene le implementazioni concrete: repository EF Core, servizi e-mail, client HTTP, integrazioni con servizi esterni.
Il modulo Presentazione dipende da Applicazioni e da Infrastruttura solo per connettere contratti e implementazioni all'avvio dell'applicazione tramite il sistema di dependency injection.
Questa struttura ha un effetto collaterale spesso sottovalutato: è completamente auto-documentante.
Quando un nuovo sviluppatore entra nel team, la struttura dei moduli gli dice immediatamente dove cercare ogni cosa.
I contratti stanno sempre in Applicazioni.
Le implementazioni stanno sempre in Infrastruttura.
Le regole di business stanno in Dominio. Non serve documentazione aggiuntiva, e la documentazione che non devi mantenere non diventa mai obsoleta.
Test pratico per valutare il tuo progetto attuale: rispondi a queste domande senza guardare il codice:
- Dove vive il contratto per recuperare gli ordini?
- Dove vive l'implementazione concreta?
- Se cambio provider e-mail domani, quali file tocco?
- Dove vive la logica che decide se un ordine può essere confermato?
Se le risposte non sono immediate, la struttura non è abbastanza chiara.
In un progetto ben strutturato, queste risposte richiedono meno di cinque secondi ciascuna. Se impieghi di più, stai cercando in un sistema che non ti aiuta a lavorare.
Un dettaglio pratico che spesso viene ignorato: l'ordine in cui i moduli vengono caricati all'avvio dell'applicazione non rispecchia necessariamente la gerarchia delle dipendenze.
Il modulo Presentazione è responsabile di connettere tutto tramite il DI container.
Questo significa che Presentazione.csproj referenzia sia Applicazione che Infrastrutture, ma solo per la configurazione iniziale.
Quando il programma è in esecuzione, i pezzi di Applicazione non sanno nulla di Infrastruttura: conoscono solo le regole del gioco.
La differenza tra “chi conosce chi” quando si assembla il programma e “chi conosce chi” quando il programma gira è uno dei concetti più incompresi dell'intera architettura.
Entità con comportamento: il segreto che i tutorial non insegnano mai
Un nucleo applicativo corretto contiene classi con comportamento, non solo dati.
La logica che decide se un'operazione è valida vive nell'entità stessa, non nel handler (è il pezzo di codice che esegue una specifica operazione) che la chiama.
Se le tue entità hanno solo proprietà e nessun metodo significativo, stai usando Clean Architecture come decorazione.
La struttura esterna c'è, ma il vantaggio principale manca.
Questo è l'errore più comune e il più costoso nel lungo periodo. Le entità diventano contenitori di dati, quello che Eric Evans (esperto di modellazione del software riconosciuto a livello mondiale) chiama Anaemic Domain Model (entità che contengono solo dati e nessuna regola).
Tutta la logica di business migra nei handler, nei servizi, nei controller.
Il nucleo esiste sulla carta, ma è vuoto di significato.
È come avere un ufficio legale aziendale che non conosce le leggi: c'è, occupa spazio, ma non risolve nessun problema reale.
Il segnale inequivocabile è specifico e facile da identificare: se in un handler trovi un controllo sullo stato di un'entità seguito da una modifica diretta di quello stato, stai scrivendo logica di business fuori dal posto in cui dovrebbe stare.
Ogni volta che replichi quella logica altrove, crei un rischio: i due pezzi possono divergere nel tempo.
Quando divergono, hai bug sottili che emergono in produzione settimane dopo, difficili da riprodurre e costosi da correggere.
Il costo di questo schema non è immediato.
Si accumula con il tempo e accelera con la crescita del progetto.
Aggiungere una nuova regola di business richiede trovare tutti i punti nel codice in cui quella regola viene applicata, invece di modificare un unico metodo nel posto giusto.
Le modifiche diventano rischiose perché non c'è un unico punto di verità. I test non coprono il comportamento del nucleo perché il nucleo non ha comportamento da verificare.
Un'entità ben progettata espone operazioni con nomi che rappresentano intenzioni di business reali.
Un'entità ben progettata non espone campi da modificare dall'esterno: espone operazioni con nomi che rappresentano intenzioni di business reali.
Non "aggiorna questo valore", ma "conferma l'ordine", "aggiungi una riga", "applica lo sconto".
La differenza sembra stilistica. Non lo è: nel primo caso chiunque può mettere qualsiasi valore in qualsiasi momento.
Nel secondo, le regole vivono dentro l'entità e non possono essere aggirate.
La differenza sembra piccola nella singola riga di codice, ma cambia completamente la manutenibilità del sistema nel tempo.
Questo approccio porta due vantaggi concreti che si sentono ogni giorno.
Le regole di business sono in un solo posto: se una regola cambia, la modifica è in un unico metodo, e una sola verifica automatica controlla il nuovo comportamento.
E le entità diventano testabili in completo isolamento: nessun database, nessun framework, nessuna configurazione complessa.
Crei l'oggetto, chiami il metodo, verifichi il risultato.
Questi test girano in millisecondi.
In un dominio ben progettato, i handler sono brevi: caricano il dominio, chiamano un metodo, salvano il risultato.
Tutta la complessità sta nelle entità, dove è testabile, comprensibile e modificabile senza rischi.
Il test più rapido per valutare la qualità del nucleo di un progetto: confronta le dimensioni dei handler con quelle delle entità.
Se i handler sono molto più grandi, la logica è nel posto sbagliato. In un nucleo ben progettato, un handler tipico è breve: valida l'input, carica l'aggregato (l’entità principale con le sue regole), chiama il metodo di dominio appropriato, persiste il risultato.
La complessità visibile è nelle entità, non negli handler.
CQRS con MediatR: come eliminare i dinosauri che nessuno osa toccare
Il livello applicativo contiene l'orchestrazione dei casi d'uso, non la logica di business.
È una distinzione che sembra ovvia sulla carta e quasi impossibile da rispettare nella pratica, perché la pressione dello sprint spinge sempre verso la scorciatoia: metti qui, funziona, andiamo avanti.
Il risultato lo conosci.
Hai già visto quella classe di servizio con venti metodi. Forse l'hai scritta tu stesso, con le migliori intenzioni, in un progetto che allora sembrava piccolo.
Ogni nuovo requisito ha aggiunto un metodo. Le dipendenze sono cresciute perché ogni caso d'uso ne aveva di proprie.
I test sono diventati un incubo perché per testare una singola operazione dovevi configurare l'intera classe.
E ogni comportamento trasversale (validazione, logging, transazioni) andava aggiunto a mano in ogni metodo, con il rischio concreto che qualcuno se ne dimenticasse.
Alla fine, quella classe è diventata intoccabile: non perché fosse complessa, ma perché nessuno sapeva con certezza cosa potrebbe rompersi modificandola.
Il pattern CQRS risolve questo problema alla radice, e lo fa con un'idea brutalmente semplice:: le operazioni che cambiano lo stato del sistema non sono la stessa cosa delle operazioni che leggono soltanto, e non dovrebbero stare insieme.
I comandi dichiarano un'intenzione (ConfirmaOrdine, CreaOrdine, AggiungiProdottoAlCarrello). Le query chiedono qualcosa di specifico (GetOrdineById, ListOrdiniCliente).
Ognuna ha il proprio handler dedicato, con esattamente le dipendenze necessarie per quel caso d'uso, senza nulla di più.
La conseguenza diretta è che aggiungere un nuovo caso d'uso significa aggiungere una nuova coppia, operazione più handler, senza toccare nulla di esistente.
I test già scritti continuano a passare. Il rischio di regressione è strutturalmente zero, non per bravura del team, ma perché il codice precedente non è stato modificato.
Questo è il tipo di struttura che permette a un progetto di crescere fino a centinaia di funzionalità senza che la velocità di sviluppo collassi su sé stessa.
MediatR è lo strumento standard nel mondo .NET per mettere in pratica questo schema, ma il suo vantaggio principale non è nella gestione degli handler in sé.
È nel meccanismo a pipeline: una sequenza di azioni che scatta in automatico ogni volta che viene eseguita un'operazione registrata nel sistema.
Validazione dell'input, logging, gestione delle transazioni, caching. Li scrivi una volta sola. Li configuri una volta sola.
Da quel momento si applicano a ogni operazione esistente e a qualsiasi operazione futura, senza che nessun handler debba sapere che esistono.
Il test pratico è immediato: immagina di dover aggiungere il log di ogni operazione di scrittura in un servizio tradizionale da venti metodi.
Venti modifiche, venti punti dove potresti sbagliare, venti posti in cui il prossimo sviluppatore potrebbe dimenticarsi di aggiornare il codice.
Con la pipeline: scrivi una classe, la registri, e il comportamento si applica ovunque da solo. Zero rischi di dimenticarsi qualcosa.
C'è un malinteso diffuso su CQRS che vale la pena smontare prima che diventi un alibi per non adottarlo.
Il pattern non implica due database separati, né Event Sourcing, né architetture distribuite.
Nella sua forma più utile per la grande maggioranza dei progetti .NET reali, CQRS significa solo questo: i comandi caricano gli aggregati, applicano le regole di dominio e persistono le modifiche; le query vanno direttamente alla fonte dati con proiezioni ottimizzate, senza passare per gli aggregati.
Stesso database, stessa infrastruttura, modelli separati.
Questa versione porta il novanta per cento dei benefici senza nessuna della complessità operativa che spaventa i team quando sentono la parola "CQRS" per la prima volta.
Alcune soluzioni più complesse, come tenere più copie dei dati per leggerli più veloce, registrare ogni cambiamento come una sequenza di eventi, o accettare che i dati non siano sempre sincronizzati all'istante, hanno senso, ma solo in certi contesti.
Ma adottarla senza necessità è over-engineering puro, e riconoscere questa differenza è esattamente il tipo di giudizio che separa un architetto da qualcuno che applica pattern senza chiedersi perché.
Leggere le best practice è il primo passo.
Trasformarle in decisioni concrete sul tuo sistema, sapere quando applicare CQRS e quando è over-engineering, riconoscere se il tuo team sta costruendo o accumulando debito camuffato da buona architettura.
Questo richiede pratica guidata, feedback su casi reali e qualcuno che ti dica quando stai sbagliando prima che tu lo scopra in produzione.
È quello che facciamo nel nostro Corso Architetto Software AI, con affiancamento diretto su codebase reali e decisioni che hai già davanti a te ogni sprint.
Il livello infrastrutturale che salva la vita quando il cliente cambia idea
Il livello infrastrutturale contiene tutte le implementazioni concrete delle dipendenze esterne: database, e-mail, code di messaggi, integrazioni con servizi di terze parti.
Quando il cliente decide di cambiare tecnologia, o quando un servizio esterno modifica le proprie API, tocchi solo questo livello. Il dominio e il livello applicativo non vengono modificati.
Se hai rispettato la regola fondamentale, la migrazione è una questione di ore, non di settimane.
Quante volte hai visto Entity Framework usato direttamente nei controller o nei servizi applicativi?
Quante volte hai visto query LINQ sparse in punti diversi del codice, lontano da qualsiasi separazione di responsabilità?
Questi schemi creano un accoppiamento diretto tra la logica di business e i dettagli tecnici.
Quando il cliente decide di migrare da un database a un altro, il lavoro non è cambiare il provider: è trovare e modificare ogni singolo punto del codice che dipende dai comportamenti specifici della vecchia tecnologia.
Nei progetti senza separazione architetturale, questo tipo di migrazione richiede tipicamente settimane di lavoro, con un rischio di regressione molto alto perché le modifiche sono sparse ovunque.
In un progetto con il livello infrastrutturale ben isolato, la stessa migrazione richiede ore: aggiorni il provider, verifichi le configurazioni specifiche della piattaforma precedente, riesegui i test automatici.
Nessuna modifica al dominio. Nessun rischio per la logica di business.
La separazione funziona perché Applicazione definisce contratti e Infrastrutture li implementa. Applicazione non sa che esiste un database specifico: sa solo che ha bisogno di qualcosa che rispetti IOrderRepository.
Il sistema di dependency injection connette le implementazioni concrete ai contratti all'avvio dell'applicazione.
Cambiare implementazione significa cambiare la registrazione nel DI container e la classe concreta, senza toccare nulla del codice che usa il contratto.
Un esempio reale del valore di questa separazione: un sistema di gestione documentale con approvazioni multiple e integrazione con tre servizi esterni.
Quando uno di quei servizi ha cambiato le proprie API, l'aggiornamento ha richiesto modifiche solo alla classe che implementava il contratto corrispondente nel livello infrastrutturale.
Dominio e Applicazione non sono stati toccati. I test esistenti hanno confermato che il contratto era ancora rispettato.
La messa in produzione è avvenuta il giorno stesso della comunicazione del cambiamento. In un progetto non strutturato, la stessa operazione avrebbe richiesto giorni di analisi dell'impatto e settimane di modifiche.
Vale la pena menzionare un approccio pratico spesso sottovalutato: la separazione tra operazioni di scrittura e di lettura all'interno dello stesso livello infrastrutturale.
Per le operazioni che modificano il dominio, caricare l'intera struttura dati e applicare le regole di business è corretto: le invarianti vengono verificate, la coerenza è garantita.
Per le letture ottimizzate, come dashboard, report ed elenchi paginati, caricare una struttura dati complessa solo per proiettarne una parte è costoso senza alcun beneficio architetturale.
Query di lettura separate che vanno direttamente alla fonte dati con proiezioni ottimizzate sono una scelta pragmatica che non viola l'architettura e porta benefici concreti di performance nelle operazioni più frequenti.
I quattro errori che trasformano Clean Architecture in debito tecnico camuffato
Gli errori sistemici nella Clean Architecture si riducono a quattro schemi ricorrenti.
Riconoscerli è più della metà del lavoro di correzione.
Dopo anni di code review su progetti .NET che dichiarano di usare la Clean Architecture, questi quattro schemi emergono con una frequenza quasi comica.
Non è un problema di sviluppatori meno capaci: è un problema di comprensione superficiale di un'architettura che si può copiare facilmente, ma capire davvero richiede esperienza e qualcuno che spieghi il perché prima del come.
Il costo di questi errori non è immediato: si manifesta quando il progetto raggiunge una certa dimensione e aggiungere una nuova funzionalità richiede toccare sette file in quattro livelli per fare qualcosa che logicamente è semplice:
- Errore 1: nucleo senza comportamento (Anaemic Domain Model). Le entità hanno solo proprietà. La logica è negli handler. Il segnale inequivocabile: un handler che controlla lo stato di un'entità e lo modifica direttamente, senza passare per un metodo dell'entità stessa. Il nucleo esiste sulla carta, ma non fa nulla di utile. È una struttura di cartelle, non un'architettura.
- Errore 2: Dipendenze tecnologiche nel posto sbagliato. Attributi Entity Framework sulle entità di Dominio. Riferimenti a librerie di Infrastrutture negli handler di Applicazione. Trovare dipendenze da librerie infrastrutturali nelle entità centrali, anche solo sotto forma di attributi di configurazione, è una violazione diretta della regola fondamentale. Il nucleo deve dipendere da zero tecnologie esterne. Ogni eccezione a questa regola, per quanto sembri piccola, rende il nucleo più fragile ai cambiamenti tecnologici e più difficile da testare in isolamento.
- Errore 3: interfacce ovunque senza motivo. Non ogni classe ha bisogno di un'interfaccia formale. I contratti nel livello applicativo hanno senso per le dipendenze esterne che si vuole poter sostituire: repository di dati, servizi di notifica, integrazioni con sistemi esterni. Non ha senso creare un'interfaccia per ogni handler solo per il gusto di averla. Il criterio è semplice: creo un contratto solo se ho bisogno di sostituire quella dipendenza nei test automatici o per ragioni di configurazione. Se la risposta è no, il contratto è rumore che aumenta la complessità senza portare benefici.
- Errore 4: DTO nel layer sbagliato. I Data Transfer Object usati per comunicare con l'interfaccia utente appartengono al livello applicativo o a quello di presentazione, mai al nucleo di dominio. Metterli in Domain crea una dipendenza tra il modello centrale e la struttura che l'interfaccia si aspetta. Ogni cambiamento nell'interfaccia richiede modifiche a Domain, che dovrebbe invece essere stabile e indipendente da qualsiasi dettaglio di presentazione. Il dominio rappresenta la realtà del business, non la struttura di una schermata.
Gli sviluppatori che guadagnano non conoscono più schemi: capiscono più a fondo gli schemi che usano.
L'errore non è non conoscere la Clean Architecture. L'errore è continuare ad applicarla meccanicamente senza capire perché ogni scelta esiste.
La struttura senza comprensione produce esattamente la stessa quantità di debito tecnico del codice senza struttura, con il vantaggio aggiuntivo di sembrare corretta durante la code review.
È il tipo di debito più pericoloso perché resta nascosto più a lungo.
500 test in 5 secondi: la piramide che protegge ogni modifica senza rallentare il team
La velocità dei test automatici è una metrica di business, non solo tecnica.
Un team con test veloci rilascia più frequentemente, itera più velocemente, arriva prima al prodotto che il mercato vuole.
Ogni minuto che la suite impiega è un minuto sottratto allo sviluppo reale, per ogni membro del team, ogni giorno, per tutta la durata del progetto.
Sommato su un anno, si parla di settimane di produttività.
Il problema più comune nei team che non applicano correttamente la separazione dei livelli è avere quasi solo test che richiedono l'intero sistema funzionante.
Test che hanno bisogno di database, rete e configurazione girano in secondi ciascuno. Con duecento test di questo tipo, l'intera suite richiede quindici minuti.
Nessuno esegue una suite da quindici minuti prima di ogni commit. Il feedback si allunga, i bug emergono in produzione invece che in sviluppo, e il costo di risoluzione cresce sprint dopo sprint.
La struttura che risolve questo problema è una piramide con tre strati distinti, ognuno con uno scopo preciso.
Alla base stanno i test di dominio.
Non hanno dipendenze esterne: crei l'entità, chiami il metodo, controlli il risultato.
Zero setup, zero configurazione. Girano in millisecondi, e questo è possibile solo perché le entità di dominio non dipendono da nessuna tecnologia esterna.
Con quattrocento test di questo tipo, l'intera base della piramide si esegue in meno di cinque secondi.
Al livello intermedio stanno i test del livello applicativo.
Qui le dipendenze esterne vengono sostituite con oggetti in memoria che simulano il comportamento atteso: verifichi che il handler chiami le operazioni giuste con i parametri giusti, senza toccare nessun sistema reale.
Girano in decine di millisecondi, molto più veloci di qualsiasi test che richieda un sistema esterno.
In cima alla piramide stanno i test di integrazione, e sono pochissimi. Verificano che la configurazione del database sia corretta e che le query restituiscano i risultati attesi: non che la logica di business funzioni, perché quella la verificano i test di dominio.
La soluzione moderna per questo strato sono i Testcontainers: una libreria che avvia un container isolato con il database durante i test esegue le operazioni reali e lo distrugge alla fine.
Più lenti, ma necessari solo nelle fasi di rilascio.
Una distribuzione realistica per un'applicazione .NET di medie dimensioni: quattrocento test di dominio in tre secondi, centocinquanta test applicativi in otto secondi, quaranta test di integrazione in quattro minuti.
I primi cinquecentocinquanta girano a ogni push.
I quaranta di integrazione solo al rilascio. Risultato: ogni modifica alla logica di business riceve feedback entro dodici secondi.
Questo cambia concretamente il ritmo del team e la qualità di ciò che arriva in produzione.
Una suite da quindici minuti che nessuno esegue non protegge nulla. Feedback in dodici secondi cambia concretamente come il team lavora ogni giorno.
Nel Corso Architetto Software AI costruiamo questa struttura insieme, sulla tua codebase, non su un esempio accademico.
Quando la Clean Architecture è la scelta sbagliata: il criterio degli architetti maturi
La Clean Architecture ha senso quando la logica di business è complessa, il progetto durerà anni e il team è grande abbastanza da giustificare i vincoli strutturali.
Per un sistema prevalentemente CRUD senza logica, per un prototipo, per un team di due persone con un orizzonte di diciotto mesi, è sproporzionata: aggiunge peso strutturale senza portare benefici.
Questa è una verità che i tutorial non dicono mai, perché i tutorial non devono consegnare software al cliente.
Uno degli errori più sottovalutati nel mercato italiano dello sviluppo software è applicare strutture sofisticate a problemi semplici.
La giustificazione è sempre la stessa: facciamolo bene dall'inizio.
Il risultato è un progetto con dodici moduli, venti contratti, zero logica di business complessa, e due sviluppatori che impiegano tre sprint per implementare una funzionalità che avrebbe richiesto tre giorni con qualcosa di più semplice.
Questo ha un nome: over-engineering.
È costoso quanto il debito tecnico, ma è meno ovvio perché sembra fare le cose correttamente.
L'architettura è elegante. La struttura è ordinata. Il codice è lungo tre volte quello necessario, e il team consegna a un terzo della velocità che potrebbe avere.
Le domande giuste da porsi prima di scegliere l'architettura riguardano il problema, non la tecnologia. Quanta logica di business complessa c'è realmente?
Se la risposta è "prevalentemente operazioni CRUD con qualche validazione di formato", la Clean Architecture aggiunge struttura senza portare testabilità reale, perché non c'è comportamento di dominio complesso da isolare e verificare.
Quanto durerà il sistema?
Se l'orizzonte fosse diciotto-ventiquattro mesi, il costo del setup e della manutenzione della struttura potrebbe non essere recuperato prima che il progetto venga dismesso o riscritto.
Quante persone ci lavoreranno?
I vincoli strutturali della Clean Architecture sono progettati per team grandi dove la disciplina individuale non è sufficiente.
Un team di due persone ha meccanismi di coordinamento più diretti ed efficaci.
Le alternative concrete da considerare in base al contesto.
La Vertical Slice Architecture organizza il codice per funzionalità invece che per livelli: ogni feature è un'unità autonoma che contiene tutto il necessario, dall'interfaccia alla base dati.
È più veloce da sviluppare, più facile da capire e scala bene quando le funzionalità sono relativamente indipendenti.
Un'architettura a livelli semplice con un livello di servizio diretto sulla base dati è la scelta corretta per sistemi prevalentemente CRUD con poca logica.
Il Modular Monolith è la via di mezzo intelligente per sistemi che crescono ma non giustificano ancora la complessità operativa dei microservizi.
Il criterio di scelta in sintesi:
| Architettura | Sceglila quando | Evitala quando |
|---|---|---|
| Clean Architecture | Logica di business complessa, progetto pluriennale, team medio-grande | Sistema prevalentemente CRUD, prototipo, team piccolo con orizzonte breve |
| Vertical Slice Architecture | Funzionalità indipendenti tra loro, velocità di sviluppo prioritaria | Logica di dominio condivisa tra molte feature, regole di business intrecciate |
| Architettura a livelli semplice | CRUD con poca logica, sistema interno, vita attesa breve | Logica complessa che cresce, team che scala, necessità di testabilità avanzata |
| Modular Monolith | Sistema che cresce ma non giustifica microservizi, team che vuole confini chiari senza overhead operativo | Singolo sviluppatore su progetto piccolo, o sistema già pronto per la distribuzione |
Un esempio reale.
Un sistema di gestione interna per gli annunci pubblicitari di una piccola piattaforma media: operazioni prevalentemente CRUD, nessuna logica di business complessa, team di due sviluppatori, vita attesa diciotto mesi.
La Clean Architecture ha introdotto peso strutturale non giustificato.
La ristrutturazione verso qualcosa di più semplice ha ridotto il codice del 40% senza perdere un singolo requisito funzionale.
Il team è arrivato a due rilasci nel giro di un mese. Il cliente ha ricevuto più funzionalità nello stesso tempo.
La maturità di un architetto si misura anche dalla capacità di scegliere la struttura più semplice che risolve il problema, non la più sofisticata.
Result pattern in C#: come gestire gli errori senza trasformare ogni metodo in un campo minato
Lo schema dei risultati espliciti rende chiaro nella firma di ogni operazione che può fallire con errori di dominio previsti.
Invece di usare le eccezioni per il flusso normale del business, si restituisce un tipo che può essere successo o errore.
Chi chiama è costretto dalla struttura del codice a gestire entrambi i casi, eliminando un'intera categoria di bug legati a errori non gestiti.
Le eccezioni in C# sono progettate per situazioni davvero eccezionali, non per il normale flusso di business.
Il fatto che un cliente non esista non è un evento eccezionale in un sistema che gestisce ordini: è un caso d'uso previsto che deve essere gestito in modo pulito.
Il fatto che un ordine non possa essere confermato perché è già in uno stato avanzato non è un guasto del sistema: è una regola di business che il sistema deve comunicare chiaramente.
Usare le eccezioni per gestire questi casi normali ha costi reali che si accumulano nel tempo. Usare le eccezioni per il flusso normale ha costi specifici.
Sono costose dal punto di vista delle performance perché richiedono la generazione dello stack trace completo.
Nascondono i casi di errore nelle firme dei metodi: chi legge la firma non sa che quel metodo può fallire in modi specifici senza leggere tutta l'implementazione.
E rendono difficile gestire errori multipli in modo coordinato, perché il meccanismo di eccezione è progettato per interrompere il flusso, non per raccogliere e presentare errori multipli insieme.
Lo schema dei risultati risolve questo con una struttura semplice.
Ogni operazione che può fallire in modo prevedibile restituisce un Result che può essere Success con il valore risultante, o Failure con il dettaglio dell'errore.
Il metodo dichiara nella propria firma che può fallire.
Chi chiama deve gestire entrambi i casi.
Il compilatore si assicura che nessun caso venga ignorato per distrazione o fretta.
Le implementazioni più comuni nell'ecosistema .NET passano attraverso librerie e pacchetti.
Gli errori di dominio vengono centralizzati come valori predefiniti con codice e descrizione.
Invece di costruire messaggi di errore in punti diversi del codice, si usa un catalogo di errori predefiniti accessibili come costanti statiche nella classe OrderErrors o CustomerErrors del dominio.
Questo ha un effetto collaterale molto utile: i test automatici possono controllare che il risultato contenga un errore specifico in modo leggibile, e le modifiche ai messaggi di errore avvengono in un solo posto invece che in ogni punto del codice che genera quell'errore.
La validazione dell'input si posiziona in tre livelli con responsabilità diverse. Nel livello di presentazione si valida il formato: campo obbligatorio, lunghezza massima, formato corretto.
Nel livello applicativo si valida la regola di business che richiede accesso ai dati: il cliente esiste nel sistema?
Il prodotto è disponibile nella quantità richiesta?
Nell'entità di dominio si verificano le invarianti pure: un ordine non può essere confermato se non ha righe.
Ogni tipo di validazione nel posto corretto.
Zero duplicazione. Zero ambiguità su dove cercare una regola specifica quando qualcosa non funziona.
Il criterio applicato ai tre livelli:
| Livello | Tipo di controllo | Esempio | Strumento |
|---|---|---|---|
| Presentazione | Formato e obbligatorietà | Campo vuoto, email malformata, stringa troppo lunga | Validazione del modello (FluentValidation, DataAnnotations) |
| Applicazione | Regole che richiedono dati | Il cliente esiste? Il prodotto è disponibile? | Result.Failure con errore di dominio specifico |
| Dominio (entità) | Invarianti pure | Un ordine senza righe non può essere confermato | Eccezione di dominio o Result interno all'entità |
| Infrastruttura | Guasti imprevisti | Timeout di rete, database non raggiungibile | Eccezione (lasciata propagare o gestita nel middleware) |
La regola pratica è netta: si usa il Result pattern per gli errori di dominio previsti, si lasciano le eccezioni per i guasti imprevisti dell'infrastruttura.
Un timeout di rete è un'eccezione. Un cliente non trovato è un Result.Failure.
Le due categorie richiedono strategie completamente diverse, e mischiarle rende il codice più difficile da capire, testare e mantenere nel tempo.
ArchUnitNET: i test architetturali che proteggono il design senza dipendere dalla disciplina del team
ArchUnitNET permette di scrivere test che controllano le regole architetturali esattamente come si scrivono i test normali, e che girano nel sistema di integrazione continua.
Se una regola viene violata, la build fallisce automaticamente. Le violazioni vengono bloccate prima della code review, senza dipendere dalla vigilanza manuale di nessuno.
Ogni team che adotta la Clean Architecture affronta prima o poi lo stesso scenario: sei mesi dopo l'inizio del progetto, qualcuno ha aggiunto un riferimento a una libreria infrastrutturale in una classe del dominio perché era più comodo.
Era urgente, lo sistemiamo dopo. Ma dopo non arriva mai.
La violazione fa da precedente per la successiva.
Nel giro di un anno, i confini architetturali esistono solo nella documentazione interna e nelle presentazioni agli investitori.
Il codice reale si è già allontanato dall'architettura dichiarata.
Questo non è un problema di disciplina del team.
È un problema strutturale che si ripete in modo prevedibile, indipendentemente dalla loro esperienza.
Le convenzioni architetturali affidate solo alla code review degradano sotto la pressione delle scadenze.
Le code review perdono efficacia quando chi le fa è anch'egli sotto pressione per consegnare le proprie funzionalità. Il risultato è inevitabile senza un meccanismo automatico di controllo.
ArchUnitNET analizza i file compilati del tuo progetto e ti permette di definire regole come: nessuna classe dello strato Dominio può dipendere da classi dello strato Infrastruttura.
Queste regole diventano test nel progetto di verifica architetturale, girano nel CI, e bloccano il merge se violate. Non serve ricordarselo in code review: la macchina lo controlla a ogni push nel repository.
Il costo di configurazione è basso rispetto al beneficio.
Un modulo di test aggiuntivo nel progetto, una classe con le regole principali, l'integrazione nel CI esistente.
Il ritorno è alto e permanente: le regole vengono rispettate automaticamente nel tempo, indipendentemente dalla pressione del momento o dal turnover del team.
Il codice che viola le regole non entra nella base principale. Senza discussioni, senza eccezioni.
La combinazione di moduli separati, verificati dal compilatore, e test architetturali nel CI crea due livelli di protezione.
Il primo blocca le violazioni più evidenti al momento della build locale.
Il secondo blocca le violazioni più sottili prima dell'integrazione nel branch principale.
La code review umana può concentrarsi sulla correttezza logica e sulla qualità del design, non sui controlli meccanici che la macchina già esegue in modo affidabile.
Le regole architetturali più utili da implementare subito coprono i rischi principali: che Dominio non dipenda da nessun altro layer interno, che Applicazione non dipenda da Infrastrutture, che le classi concrete dell'infrastruttura non vengano usate direttamente senza passare per i contratti definiti in Applicazione.
Con quattro o cinque test architetturali si copre la grande maggioranza delle violazioni comuni.
Non è una soluzione completa, ma è una rete di sicurezza automatica che vale il tempo di configurazione iniziale e che ti ripaga ogni giorno per anni.
Le regole architetturali affidate solo alla disciplina del team degradano sotto pressione. Quelle scritte come test automatici no.
Nel nostro Corso Architetto Software AI configuriamo insieme la rete di protezione che lavora per te a ogni push, indipendentemente da chi entra o esce dal team.
Clean Architecture fatta bene: da dove iniziare concretamente su un progetto reale
Applicare la Clean Architecture su un progetto esistente non richiede una riscrittura completa.
Richiede una strategia incrementale che porta benefici reali a ogni step, senza bloccare il team sulle funzionalità che il cliente aspetta.
La chiave è lavorare per strangler fig: isola un confine, migra quel confine, verifica il risultato, poi avanza.
- Il primo passo è sempre lo stesso: identifica dove vive la logica di business più critica nel codice attuale. Non quella più elegante. Quella più critica per il business, quella che cambia più spesso, quella che ha causato più bug in produzione nell'ultimo anno. Inizia da lì. Estrai quella logica in entità con comportamento reale. Scrivi i test di dominio che la coprono. Questo da solo porta un beneficio tangibile: quella logica diventa testabile, visibile, modificabile senza paura.
- Il secondo passo è separare i moduli dove esistono ancora i confini naturali. Non si migra tutto il progetto in una volta: si lavora su un pezzo ben definito alla volta. Ogni modulo separato che compila con le dipendenze corrette è una vittoria permanente. Il compilatore inizia a lavorare per te, non contro di te.
- Il terzo passo è aggiungere i test architetturali prima di completare la migrazione, non dopo. Questo crea la rete di sicurezza che impedisce di fare passi indietro sotto pressione. Ogni regola architetturale che diventa un test automatico è una regola che non deve più essere ricordata da nessuno.
Un team che segue questa sequenza, anche su un progetto legacy complesso, tipicamente vede i primi benefici concreti in due o tre rilasci: test più veloci sull'area migrata, meno regressioni, più confidenza nelle modifiche.
I benefici crescono con la copertura della migrazione. Non è un percorso lineare e non è privo di attrito. È un investimento con rendimento composto: ogni parte migrata rende più facile migrare la successiva.
La Clean Architecture fatta bene non è un esercizio accademico.
È lo strumento che separa gli sviluppatori che eseguono da quelli che progettano la struttura in cui gli altri lavorano. E nel mercato italiano del 2026, quella distinzione una traiettoria di carriera ed una retribuzione completamente diversa.
Ogni mese che passa con un'architettura che sembra corretta ma non lo è, è un mese di debito che si accumula in silenzio.
I bug emergono a sprint di distanza da chi li ha introdotti.
Le modifiche richiedono il doppio del tempo stimato.
L'onboarding dei nuovi sviluppatori si allunga da settimane a mesi.
E tutto questo si materializza sempre nel momento peggiore: quando il progetto più critico è in corso, quando la scadenza non si può spostare, quando il cliente aspetta.
Il costo di un'architettura sbagliata non si misura in singoli bug: si misura in sprint persi, in sviluppatori che perdono motivazione e in opportunità commerciali che sfuggono perché il sistema non regge l'innovazione richiesta.
Tra due anni, i team che hanno già fatto questo percorso consegneranno funzionalità in metà del tempo.
I team che aspettano staranno ancora discutendo di quale servizio toccare senza rompere tutto il resto.
Marco chiude il progetto il venerdì pomeriggio.
La struttura di cartelle è identica a quella del lunedì. Ma ora sa dove vive ogni regola di business, perché ogni scelta strutturale esiste, e come difenderla dal compilatore e dai test architetturali.
Il codice che consegna è testabile in millisecondi.
Il team che lo userà saprà dove cercare ogni cosa. Le modifiche future non richiederanno di capire l'intero sistema. Questa è la differenza tra applicare un pattern e capire perché quel pattern esiste.
Se sei qui perché guidi un team o sei responsabile delle scelte tecnologiche, quello che hai letto non è teoria: è la mappa degli errori che costano di più in produzione.
Ho visto team di 6-10 sviluppatori recuperare mesi di rallentamento in tre sprint, solamente cambiando l’organizzazione del codice.
Non aggiungendo strumenti. Non riscrivendo tutto da zero.
Capendo dove stava l'errore strutturale e correggendo quello prima che il costo diventasse insostenibile.
In un caso su tre, la sola separazione corretta del livello di dominio ha ridotto il tempo medio di onboarding da tre mesi a tre settimane.
Se riconosci questa situazione nel tuo team, il Corso Architetto Software AI di Sviluppatore Migliore è costruito esattamente per questo: non per spiegare la teoria che hai già letto, ma per affiancarti su decisioni concrete, su codebase reali, in situazioni che riconosci perché le hai già vissute.
È la differenza tra sapere come dovrebbe funzionare e sapere come farlo funzionare nel progetto che hai davanti adesso.
Se vuoi che il tuo team smetta di accumulare debito tecnico camuffato e inizi a costruire sistemi che durano, questo è il posto giusto.
Prenota ora la tua call.
Domande frequenti
La Clean Architecture ha una sola regola fondamentale: le parti più importanti del sistema non devono dipendere da quelle più volatili. Se le regole di business vivono nei controller, nei servizi o negli handler invece che nelle entità di dominio, la struttura delle cartelle è corretta ma il comportamento del codice non lo è. Questo produce l'Anaemic Domain Model: entità che contengono solo dati e nessuna regola. Il risultato è debito tecnico camuffato da architettura corretta, che si rivela solo quando il progetto cresce e ogni modifica inizia a richiedere toccare file in quattro livelli per fare qualcosa di logicamente semplice.
La struttura ottimale in .NET prevede quattro moduli distinti verificati dal compilatore: Dominio (zero dipendenze esterne, solo entità, value object, domain event e regole di business), Applicazione (dipende solo da Dominio, contiene i casi d'uso, le interfacce e i comandi CQRS), Infrastruttura (dipende da Applicazione, implementa repository EF Core, servizi e-mail e client HTTP) e Presentazione (dipende da Applicazione e connette contratti e implementazioni tramite il sistema di dependency injection). Se Dominio.csproj tenta di referenziare Infrastruttura.csproj, non compila: il compilatore diventa il guardiano delle regole architetturali, eliminando le violazioni per distrazione o urgenza.
I quattro errori sistemici che emergono nei code review su progetti .NET reali sono: (1) nucleo senza comportamento (Anaemic Domain Model), dove le entità hanno solo proprietà e tutta la logica migra negli handler; (2) dipendenze tecnologiche nel posto sbagliato, come attributi Entity Framework direttamente nelle entità di Dominio; (3) interfacce ovunque senza motivo, create anche dove non servono per il testing o la sostituzione, aumentando la complessità senza benefici; (4) DTO nel layer sbagliato, posizionati nel Dominio invece che nel livello Applicazione o Presentazione, creando una dipendenza tra il modello centrale e la struttura dell'interfaccia utente.
CQRS separa le operazioni che cambiano lo stato del sistema (comandi, come ConfirmaOrdine o CreaOrdine) da quelle che leggono soltanto (query, come GetOrdineById), ognuna con il proprio handler dedicato. Con MediatR il vantaggio principale non è la gestione degli handler in sé, ma la pipeline: validazione, logging, transazioni e caching si scrivono una volta sola e si applicano automaticamente a ogni operazione presente e futura, senza che nessun handler debba sapere che esistono. Nella sua forma pratica per la maggior parte dei progetti .NET, CQRS non richiede due database separati né Event Sourcing: stesso database, stessa infrastruttura, modelli separati.
La struttura ottimale prevede tre strati: test di dominio alla base (nessuna dipendenza esterna, girano in millisecondi, 400 test in meno di 5 secondi grazie all'assenza di tecnologie esterne nelle entità), test del livello applicativo al centro (dipendenze esterne simulate in memoria, decine di millisecondi), e test di integrazione in cima (pochissimi, verificano la configurazione del database e le query, usano Testcontainers per un container isolato). Una distribuzione realistica su un'applicazione .NET di medie dimensioni: 400 test di dominio in 3 secondi, 150 test applicativi in 8 secondi, 40 test di integrazione solo al rilascio. Risultato: feedback sulla logica di business entro 12 secondi su ogni push.
La Clean Architecture ha senso quando la logica di business è complessa, il progetto durerà anni e il team è abbastanza grande da giustificare i vincoli strutturali. Non ha senso per sistemi prevalentemente CRUD senza logica complessa, prototipi o team di due persone con un orizzonte di 18 mesi: aggiunge peso strutturale senza portare benefici reali. Le alternative concrete sono la Vertical Slice Architecture (per funzionalità indipendenti tra loro), l'architettura a livelli semplice (per CRUD con poca logica) e il Modular Monolith (per sistemi che crescono ma non giustificano ancora i microservizi). La maturità di un architetto si misura anche dalla capacità di scegliere la struttura più semplice che risolve il problema.
Il Result pattern restituisce un tipo esplicito che può essere successo o fallimento invece di usare le eccezioni per il flusso normale del business. Se un cliente non esiste o un ordine non può essere confermato, non si lancia un'eccezione: si restituisce un Result.Failure con l'errore di dominio specifico. Il compilatore costringe chi chiama a gestire entrambi i casi. Le eccezioni restano per i guasti imprevisti dell'infrastruttura, come i timeout di rete. Gli errori di dominio vengono centralizzati come valori predefiniti con codice e descrizione, rendendo il codice più leggibile, testabile e privo di bug legati a errori non gestiti.
L'approccio corretto è incrementale, per strangler fig: si identifica dove vive la logica di business più critica nel codice attuale, si estrae nelle entità di dominio con i test che la coprono, si separano i moduli dove esistono i confini naturali, e si aggiungono i test architetturali con ArchUnitNET prima di completare la migrazione. ArchUnitNET analizza i file compilati e permette di definire regole come 'nessuna classe di Dominio può dipendere da classi di Infrastruttura, facendole girare nel CI e bloccando il merge se violate. Un team che segue questa sequenza vede i primi benefici in due o tre rilasci: test più veloci, meno regressioni e onboarding ridotto da tre mesi a tre settimane.
Lascia i tuoi dati nel form qui sotto