Ruoli e autorizzazioni nell’EHP

Una persona responsabile dell’autorizzazione (BVA) deve registrare tutti gli utenti della Piattaforma autorizzati per l’istituto o l’organizzazione che lavora con l’EHP. La FINMA distingue tra utenti interni ed esterni. Fondamentalmente sono «interne» le persone che lavorano presso l’istituto o l’organizzazione. Sono invece «esterne» le persone che non lavorano presso l’istituto ma che necessitano dell’accesso a determinati rilevamenti e trasmissioni di dati dell’istituto. Questi utenti hanno di norma un rapporto di mandato (p.es. terzi che collaborano a un rilevamento o a una richiesta) e svolgono determinati compiti a nome dell’istituto. L’istituto o l’organizzazione deve autorizzare esplicitamente questi utenti esterni per l’EHP.

A tutti gli utenti dell’EHP sono attribuiti determinati ruoli. Pur avendo lo stesso ruolo, i gruppi di utenti interni ed esterni hanno autorizzazioni in parte diverse. Gli utenti interni possono, per esempio, prendere visione di tutte le trasmissioni di dati approvate e concluse sottoposte alla FINMA tramite l’EHP e non contrassegnate come «confidenziali». Gli esterni possono prendere visione solo delle trasmissioni di dati per le quali sono stati autorizzati direttamente. La situazione è diversa per i rilevamenti della FINMA effettuati tramite l’EHP. In questo caso possono prenderne visione solo le persone che dispongono della relativa autorizzazione, a prescindere dal fatto che siano interne o esterne.

È compito della BVA registrare gli utenti come interni o esterni. 

In questa pagina sono descritti i ruoli e i compiti della BVA. Gli ulteriori ruoli e funzioni nell’EHP sono riportati nella pagina accessibile dal seguente link.

Agli ulteriori ruoli e funzioni per gli utenti dell’EHP

La BVA svolge un ruolo chiave nell’EHP per gli assoggettati, gli organismi di vigilanza o le società di audit. È responsabile di amministrare gli utenti per il proprio istituto o la propria organizzazione. La BVA è gestita dalla FINMA ed è sempre un utente interno. 

Compiti della BVA:

• La BVA amministra gli utenti dell’EHP per il suo istituto o la sua organizzazione. Una volta creati gli utenti, attribuisce loro ruoli e autorizzazioni. Tra questi si annoverano la registrazione, la creazione, la mutazione, la cancellazione e la conferma di utenti. La BVA è l’unico ruolo che deve essere confermato e amministrato dalla FINMA. La FINMA delega quindi l’amministrazione delle autorizzazioni all’istituto o all’organizzazione.
  
  Tra i ruoli nell’EHP si annoverano il manager, l’operatore, l’auditor responsabile (esclusivamente per le società di audit) nonché l’operatore light (esclusivamente per le società di audit e gli organismi di vigilanza). I diversi ruoli sono riportati nella pagina «Ruoli e funzioni nell’utilizzo dell’EHP».
  
  

• Per i rilevamenti nell’EHP la BVA è l’interlocutore della FINMA. La FINMA avvisa per e-mail la BVA all’inizio del rilevamento. La BVA assegna il rilevamento alle persone responsabili presso l’istituto o l’organizzazione affinché lo elaborino. Per gli assoggettati si tratta del manager, per le società di audit dell’auditor responsabile.
  
  

• La BVA comunica per via elettronica alla FINMA le modifiche di determinati dati base dell’istituto.
  
  

• La BVA è l’interlocutore della FINMA in relazione all’EHP (single point of contact). La BVA è il primo punto di contatto e il braccio prolungato della FINMA per le richieste di supporto all’interno dell’istituto o dell’organizzazione.

Alla FINMA devono essere comunicati, se possibile, almeno due BVA per ogni istituto o organizzazione. Sia la registrazione iniziale sia le mutazioni delle BVA sono effettuate esclusivamente per via elettronica tramite il modulo online sul sito Internet della FINMA. Una volta che ha ricevuto il modulo compilato, la FINMA conferma all’istituto o all’organizzazione i dati registrati in una lettera. Alla scadenza del termine indicato nella conferma scritta, le BVA notificate ricevono per e-mail la conferma e le istruzioni per accedere in qualità di BVA, a condizione che l’istituto o l’organizzazione non invii alla FINMA un avviso contrario.

Le modifiche relative a una BVA devono essere comunicate alla FINMA. A tal fine si utilizza lo stesso modulo sul sito Internet della FINMA che occorre per registrare una BVA. Sono previste le seguenti modifiche:

 

Modifica o cancellazione di una BVA

La modifica consiste, per esempio, in nuovi dati di contatto, la cancellazione viene effettuata, tra l’altro, se la persona lascia l’istituto o l’organizzazione. Si segnala che il cambiamento di indirizzo e-mail di una BVA comporta automaticamente la revoca delle sue autorizzazioni, pertanto è necessario creare un nuovo account con il nuovo indirizzo e-mail. In questo caso il vecchio account si estingue e deve essere riavviato il processo di registrazione iniziale. In caso di richiesta di cancellazione, alla BVA sono revocate le autorizzazioni immediatamente dopo aver ricevuto la comunicazione.

 

Sostituzione di una BVA

La FINMA deve essere informata anche se una BVA lascia l’istituto o l’organizzazione oppure viene sostituita da un’altra persona. La FINMA conferma quindi le modifiche con una lettera indirizzata all’istituto o all’organizzazione. Salvo avviso contrario, le modifiche saranno eseguite alla scadenza del termine definito nella conferma scritta, dopo di che la persona sostituita come BVA non dispone più delle autorizzazioni per il ruolo di BVA nell’EHP. Tuttavia, se mantiene le autorizzazioni come manager o come operatore può continuare ad assumere compiti per l’istituto. Se la BVA lascia l’istituto o l’organizzazione, è necessario revocare anche questi ruoli oppure cancellare la persona dall’amministrazione.

La BVA amministra gli utenti per l’istituto o l’organizzazione. La relativa voce di menu nell’EHP è «Amministrazione» (v. figura).

Si apre quindi una schermata nella quale la BVA ha diverse possibilità di creare e amministrare utenti.

Con il pulsante «Aggiungere utenti» la BVA può creare nuovi utenti. Per farlo occorrono i seguenti dati (v. figura seguente):

• Nome
• Cognome
• Indirizzo e-mail
• Attribuzione del ruolo

Il nuovo utente aggiunto dalla BVA riceve per e-mail un invito a registrarsi sul portale della FINMA se non è già registrato (p. es. presso un altro istituto). Una volta completata la registrazione iniziale, il nuovo utente ha accesso all’EHP e al rispettivo istituto tramite il portale della FINMA.

Importante
L’indirizzo e-mail serve come nome utente univoco e non viene plausibilizzato tramite l’EHP. Eventuali errori o sviste nell’immissione dell’indirizzo e-mail possono comportare il mancato invio dell’e-mail con l’invito a registrarsi oppure il conferimento dell’accesso all’EHP a una persona non autorizzata.

Un indirizzo e-mail può essere utilizzato solo una volta nell’amministrazione utenti per lo stesso istituto. Se viene utilizzato due volte, il sistema genera un messaggio di errore.

Un utente preesistente nell’EHP può essere modificato solo limitatamente. La BVA può modificare in qualunque momento nome, cognome, indirizzo e-mail e ruolo. Per farlo, apre il profilo dell’utente nella voce del menu «Amministrazione» e modifica i dati. Le modifiche sono riprese con il pulsante «Salva» o «Salva e conferma» (v. figura seguente).

 

 

Importante
Il ruolo di BVA non può essere modificato autonomamente dall’istituto, in quanto il ruolo con le sue autorizzazioni è amministrato dalla FINMA. La modifica di una BVA deve essere notificata alla FINMA con l’apposito modulo online sul sito Internet della FINMA. 

Per i cambiamenti di nome non viene effettuato un confronto automatico tra l’EHP e il portale FINMA. Una volta che la BVA ha modificato il nome, l’utente deve provvedere ad aggiornarlo manualmente al momento del login nel portale FINMA alla voce del menu «Modifica dati utente». 

Ogni BVA può cancellare gli utenti aggiunti, per esempio se lasciano l’istituto o l’organizzazione oppure cambiano posto di lavoro all’interno. Un utente può essere cancellato attivando il pulsante con il simbolo del cestino (v. figura seguente). Tuttavia, le cancellazioni richiedono cautela. Prima di cancellare un utente si deve verificare se è assegnato a un rilevamento o una trasmissione dati in corso. Gli utenti non dovrebbero essere cancellati se possiedono autorizzazioni per un rilevamento o una trasmissione dati in sospeso. Le autorizzazioni dovrebbero essere prima di tutto attribuite ad altri utenti attivi. Prima che la BVA cancelli un utente, occorre procedere alle seguenti verifiche, nell’ordine indicato: 

1. controllare se l’utente è attivo su un rilevamento o una trasmissione dati in sospeso;
2. impostare il rilevamento o la trasmissione dati su un altro utente;
3. cancellare l’utente nella schermata «Amministrazione».

Importante
Il ruolo di BVA non può essere cancellato autonomamente dall’istituto, in quanto è amministrato dalla FINMA. La cancellazione di una BVA deve essere notificata alla FINMA con l’apposito modulo online sul sito Internet della FINMA. La persona in questione perde le autorizzazioni come BVA nell’EHP non appena la FINMA ha elaborato la comunicazione pervenuta e ha provveduto a cancellare la BVA.

Oltre al ruolo di BVA, gli utenti possono avere anche altri ruoli. In questo caso, una richiesta di cancellazione di una persona come BVA trasmessa mediante il modulo porta unicamente alla revoca delle autorizzazioni della BVA. Gli altri ruoli nell’EHP sono mantenuti e devono essere cancellati dalle restanti BVA.

L’EHP è configurata in modo che tutti gli utenti attivi devono essere confermati dalla BVA al più tardi dopo un anno. La BVA è informata tramite e-mail degli account utenti che stanno per scadere, fatta eccezione per l’account della BVA stessa. La conferma è effettuata con la funzione «Salva e riconferma». Gli account degli utenti devono essere prima di tutto richiamati alla voce del menu «Amministrazione» (v. figura in alto). Se la riconferma non avviene entro un anno, gli utenti perdono automaticamente il diritto di accesso all’EHP.

Al momento del login ricevono un messaggio dal sistema che il loro account utente è scaduto e che deve essere rinnovato oppure, se hanno l’accesso all’EHP per più istituti, al momento del login l’istituto in questione non appare più tra quelli da selezionare. In questi casi, gli utenti devono rivolgersi alla loro BVA di riferimento. L’account utente che non è riconfermato per due anni viene automaticamente cancellato dal sistema.

Importante
Se una conferma viene dimenticata, l’utente perde l’accesso all’EHP per l’istituto. Se la BVA effettua la riconferma, gli utenti possono nuovamente accedere ai rispettivi dossier dell’istituto nell’EHP. Le BVA non devono essere riconfermate. Sono amministrate dalla FINMA e rimangono attive fino a quando l’istituto non ne chiede una modifica o la cancellazione.

La BVA può comunicare alcune modifiche dei dati di base dell’istituto tramite l’EHP (fanno eccezione le modifiche soggette ad approvazione). A tal fine la BVA ha a disposizione il pulsante «Comunica modifica» alla voce del menu «Amministrazione». Se la BVA clicca su questo pulsante, si apre un messaggio e-mail preconfigurato (v. figura seguente), nel quale possono essere riportate le modifiche dei dati base in questione.

Le modifiche dei seguenti dati base possono essere comunicate alla FINMA in questo modo: 

• indirizzo (indirizzo principale, indirizzo di fatturazione ecc.)
• dati di contatto (telefono, fax, e-mail) 
• lingua di corrispondenza. 

In caso di rilevamenti tramite l’EHP, la FINMA informa la BVA per e-mail. Non vengono informate altre persone dell’istituto o dell’organizzazione. La BVA deve dunque assicurare sempre la reperibilità elettronica (per esempio in caso di assenze per vacanze). Inoltre deve attribuire ogni nuovo rilevamento agli utenti responsabili (v. figura seguente). Senza questa attribuzione, i rilevamenti non possono essere elaborati. L’istituto è tenuto ad assicurare che in qualunque momento sia disponibile almeno una BVA che effettui questa attribuzione.

Gli utenti responsabili dei rilevamenti hanno il ruolo di manager per gli istituti e di auditor responsabili per le società di audit (in merito ai ruoli v. «Ruoli e funzioni nell’utilizzo dell’EHP»).

 

 

Se la BVA ha attribuito i ruoli di manager e auditor responsabile, queste persone ricevono un’e-mail. A partire da questo momento possono amministrare autonomamente e inoltrare il rilevamento.