eIDAS 2 : el nou regulament europeu explicat per al 2026

Introducció : per què eIDAS 2 ho canvia tot per a les empreses europees

Entrat en vigor el 20 de maig de 2024 després d'una llarga gestació legislativa, el regulament eIDAS 2 — oficialment denominat Regulament (UE) 2024/1183 — representa la reforma més ambiciosa mai empresa en el camp de la identificació electrònica i els serveis de confiança a Europa. Deroguen i substituïxen parcialment el regulament eIDAS inicial de 2014 (nº 910/2014), mantenint la compatibilitat ascendent amb la infraestructura existent. Per a les empreses que recorren a la signatura electrònica conforme eIDAS, aquesta refeta introduïx obligacions noves, oportunitats inèdites i un calendari de conformitat ajustat fins al 2026 i més endavant. Aquest article desxifra en profunditat les disposicions clau del text, les seves implicacions operacionals i la manera en què la vostra organització pot preparar-se.

---

Què canvia el regulament eIDAS 2 fonamentalment

Del regulament de 2014 a la versió 2024 : una refeta estructural

El regulament eIDAS original de 2014 havia posat les bases del reconeixement mutu dels esquemes d'identificació electrònica entre Estats membres i havia establert un marc jurídic unificat per als serveis de confiança (signatura, segell, marcatge temporal, etc.). Però deu anys més tard, les limitacions eren palmàries : taxa d'adopció baixa dels eID notificats, fragmentació de les solucions nacionals, absència d'una cartera digital universal per als ciutadans, i sobretot inadaptació als usos del web (GAFAM exclos del marc de confiança).

eIDAS 2 corregix aquestes mancances sobre tres eixos majors :

1. La cartera europea d'identitat digital (EUDI Wallet) — cada Estat membre ha de proposar, com a màxim en novembre de 2026, una aplicació de cartera digital que permeta a tot ciutadà o resident europeu d'emmagatzemar i presentar els seus atributs d'identitat (carnet d'identitat, permís de conducció, diplomes, etc.) de forma segura.
2. L'ampliació dels serveis de confiança qualificats — el text afegix nous serveis qualificats : gestió d'arxiu electrònic qualificat (QESAP), informes d'atributs d'identitat qualificats (QEAA), llibres de comptes electrònics qualificats (QLED) i gestió de dispositius de creació de signatura a distància (QRCD).
3. L'obligació per a les grans plataformes — els proveïdors de serveis en línia de gran mida (xarxes socials, marketplaces) hauran d'acceptar la cartera EUDI per a l'autenticació dels usuaris.

La cartera EUDI Wallet : arquitectura i funcionament

L'EUDI Wallet és al cor d'eIDAS 2. Concretament, es tracta d'una aplicació informàtica — distribuïda o certificada per cada Estat membre — que es recolza en un model descentralitzat de presentació selectiva dels atributs. L'usuari només transmet les dades estrictament necessàries per a la transacció (principi de minimització, conforme al RGPD).

Des del punt de vista tècnic, l'arquitectura es recolza en les especificacions del Architecture Reference Framework (ARF), publicat per la Comissió europea i actualitzat regularment pel Large Scale Pilot (LSP) que agrupa quatre consorcis pilots (DC4EU, EWC, POTENTIAL, NOBID). Els formats de dades retinguts són principalment ISO/IEC 18013-5 (mDL/mDocs) i W3C Verifiable Credentials, garantint la interoperabilitat transfronterera.

Per a les empreses, això significa que podran, a la llarga, verificar la identitat dels seus clients o socis a través de la cartera sense gestionar elles mateixes la col·lecció de peces justificatives — reduint així considerablement les friccions KYC (Know Your Customer) i els riscos de frau documental.

---

Els nivells de garantia i la jerarquia de les signatures : què canvia

Manteniment de la jerarquia QES / AdES / SES

El règim de les signatures electròniques es manté estructurat al voltant de tres nivells definits a l'article 3 d'eIDAS 2 (reprenent la terminologia de 2014 però precisant les exigències tècniques) :

• Signatura electrònica simple (SES) : valor probatori mínim, adaptada als actes corrents.
• Signatura electrònica avançada (AdES) : vincle exclusiu al signatari, possibilitat de detectar qualsevol modificació ulterior.
• Signatura electrònica qualificada (QES) : equivalent legal de la signatura manuscrita a tota la UE (article 25§2), emesa via un dispositiu qualificat de creació de signatura (QSCD) sobre la base d'un certificat qualificat.

La novetat residix en la manera en què la QES pot ser ara distribuïda via serveis de signatura a distància qualificats (QRCD), on les condicions d'aprovació són precises als articles 29a i 29b del text revisat. Això obri el camí a fluxos 100 % digitals per als actes més exigents — contractes notarials, actes autèntics electrònics — sense necessitat de targeta xip física.

L'impacte als prestadors de serveis de confiança qualificats (QTSP)

Els prestadors com Certyneo, que operen recolzant-se en QTSP certificats, han d'anticipar les noves exigències d'auditoria introduïdes per eIDAS 2. L'article 24 imposa ara controls enfortits sobre la cadena de subcontractació, i les exigències de notificació dels incidents de seguretat s'alineen explícitament amb les de la directiva NIS2 (termini de 24 h per a la notificació inicial). Per a aprofundir el funcionament dels diferents nivells de signatura en un context B2B, consulteu la guia completa sobre signatura electrònica a l'empresa.

---

Calendari de desplegament i obligacions per a les empreses el 2025-2026

Les etapes claus del desplegament

El regulament (UE) 2024/1183 fou publicat al Diari Oficial de la UE el 30 d'abril de 2024 i va entrar en vigor el 20 de maig de 2024. Els actes d'execució i delegats — essencials per a precisar les exigències tècniques — es publiquen progressivament :

| Termini | Obligació | |---|---| | Maig 2024 | Entrada en vigor del regulament | | Fi 2024 | Publicació dels actes d'execució sobre l'ARF v2.0 | | Mitjans 2025 | Certificació dels primers EUDI Wallets pilots | | Novembre 2026 | Disponibilitat obligatòria d'una cartera EUDI en cada Estat membre | | 2027 | Acceptació obligatòria per les grans plataformes en línia |

Què han de fer les empreses B2B ara

Per a les empreses usuàries de solucions de signatura electrònica, tres prioritats s'imposen el 2025-2026 :

1. Auditar la seva cadena de confiança : verificar que el seu prestador de signatura figura bé a la llista dels QTSP (Trusted List) del seu Estat membre, i que els certificats utilitzats són conformes a les noves especificacions ETSI EN 319 401 i EN 319 411-1 revisades.

2. Anticipar la integració de la cartera EUDI : les empreses operant en sectors regulats (banca, asseguració, sanitat, immobiliari) seran entre les primeres concernides pels fluxos de verificació d'identitat via cartera. Preparar les API d'integració des de 2025 és recomanat.

3. Revisar les seves polítiques de conservació : el nou servei qualificat d'arxiu electrònic (QESAP) introduïx estàndards de preservació a llarg termini que poden imposar-se en certs sectors (compres públiques, sector farmacèutic). El calculador de ROI per a la signatura electrònica us permet avaluar l'impacte financer d'una actualització de la vostra infraestructura documental.

---

Interoperabilitat, RGPD i enjòls de sobirania digital

eIDAS 2 i RGPD : complementarietat enfortida

Una de les avanços majors d'eIDAS 2 és la integració explícita dels principis de protecció de dades des de la concepció (privacy by design) en l'arquitectura de la cartera EUDI. L'article 5a§14 disposa que la cartera no permet als proveïdors de seguir el comportament de l'usuari durant les transaccions. Els emissors d'atributs d'identitat qualificats (QEAA) no són informats de l'ús que es fa de les attestacions distribuïdes — el qual constituïx una ruptura major amb els models centralitzats actuals.

Aquesta arquitectura es qualifica d'unlinkability (no-correlatabilitat) : dues transaccions distintes efectuades pel mateix usuari no poden ser relacionades sense el seu consentiment. Aquesta garantia supera les exigències mínimes del RGPD mentre s'hi articula perfectament.

La dimensió geopolítica : reprendre el control sobre la identitat en línia

eIDAS 2 respon també a un enjòl de sobirania. Avui en dia, l'autenticació en línia es recolza massivament en els botons « Es connecta amb Google/Facebook/Apple », el qual conferix als gegants tecnològics nord-americans una posició dominant en la gestió de les identitats digitals europees. En imposar a les molt grans plataformes (al sentit de la Digital Services Act) d'acceptar la cartera EUDI com a mitjà d'autenticació, eIDAS 2 crea una alternativa interoperable i soberana.

Per a les empreses B2B, això significa també que la conformitat eIDAS 2 pot convertir-se en un criteri de selecció proveïdor en els procediments d'accés públic i privat — a la imatge del que representa avui la certificació ISO 27001 en els processos de compra. Si la vostra organització envisiona fer evolucionar la seva solució actual, la guia de migració des de DocuSign o YouSign cap a Certyneo detalla les etapes d'una transició controlada.

Marc legal aplicable a eIDAS 2 i a la signatura electrònica

Textos de referència

Regulament (UE) 2024/1183 del Parlament europeu i del Consell de l'11 d'abril de 2024, que modifica el regulament (UE) nº 910/2014 pel que fa a l'establiment del marc europeu relatiu a una identitat digital (eIDAS 2). Publicat al DOUE el 30 d'abril de 2024, entrat en vigor el 20 de maig de 2024.

Regulament (UE) nº 910/2014 (eIDAS 1) : mantingut en vigor per a les seves disposicions no modificades, especialment els articles relatius als nivells de garantia « feble », « substancial » i « elevat » per als esquemes d'identificació notificats.

Codi civil francés, articles 1366 i 1367 : l'escrit electrònic té la mateixa força probatòria que l'escrit en paper sempre que la persona de la qual emana sigui degudament identificada i que el document sigui establit en condicions que garanteixin la seva integritat. La signatura electrònica qualificada (QES) al sentit d'eIDAS 2 satisfà aquestes exigències de ple dret.

Regulament (UE) 2016/679 (RGPD) : el tractament de les dades d'identitat en el context de la cartera EUDI està sotmés als principis de minimització (art. 5§1c), de limitació de la finalitat (art. 5§1b) i de protecció de dades des de la concepció (art. 25). Els prestadors qualificats exercixen la qualitat de responsables de tractament distints per a les operacions de verificació.

Directiva (UE) 2022/2555 (NIS2) : transposada al dret francés per l'ordenança nº 2024-528 de 12 de juny de 2024, imposa als prestadors de serveis de confiança qualificats obligacions de gestió dels riscos ciber i de notificació dels incidents dins de 24 hores.

Normes ETSI :

• EN 319 132 (XAdES) i EN 319 122 (CAdES) : formats avançats de signatura electrònica.
• EN 319 401 : exigències generals pels prestadors de serveis de confiança.
• EN 319 411-1 i 411-2 : política i exigències de seguretat per als AC que emeten certificats qualificats.
• EN 319 521 : exigències per als serveis qualificats de preservació de signatures (QESAP).

Obligacions i riscos jurídics per a les empreses

Tota empresa que utilizti signatures electròniques en un context contractual ha d'assegurar-se que el nivell de signatura escollit és adequat al valor i a la natura de l'acte. Per als actes sotmesos a una exigència legal de signatura (promeses de venda, contractes de treball, bons de comanda superant certs llindes), només la QES o l'AdES basada en un certificat qualificat aporten la presumpció de fiabilitat visada a l'article 26 d'eIDAS 2.

En cas de liti, la carrega de la prova es retorna : si la signatura és qualificada, és a la part que contesta el document de demostrar-ne l'alteració ; si és simple o avançada sense certificat qualificat, la carrega de la prova reposa sobre el signatari que la invoca. El no-compliment de les exigències de traçabilitat i integritat pot entranyar la nul·litat de l'acte o la inoposabilitat de la signatura a un tercer.

Escenaris d'ús : eIDAS 2 aplicat a les empreses B2B

Escenari 1 — Un bufete de consultoria en transformació digital (aproximadament 80 consultors)

Una estructura de consultoria que desplega els seus col·laboradors chez clients en diversos Estats membres (França, Alemanya, Països Baixos) ha de fer signar cada mes ordres de missió, avenços contractuals i actes de recepció. Abans d'eIDAS 2, la gestió de les identitats transfrontereres generava friccions : rebuig de certs clients alemanys de reconèixer certificats emesos per un QTSP francés, doble autenticació per correu electrònic insuficient per als actes sensibles.

Amb el desplegament de la cartera EUDI en 2026, els consultors podran signar des de la seva cartera nacional — reconeguda de ple dret en tots els Estats membres — sense cap fricció. El bufete estima una reducció de 60 a 70 % del temps dedicat als intercanvis de verificació documental prèvia a la signatura, és a dir aproximadament 3 a 4 hores economitzades per consultor i per mes segons els benchmarks sectorials publicats per McKinsey Digital (2024).

Escenari 2 — Una PIME industrial que gestiona 350 contractes proveïdors per any

Una PIME del sector dels equips industrials, treballant amb una centena de proveïdors europeus i asiàtics, ha de contractualitzar comandes, acords de confidencialitat (NDA) i contractes-marc. Fins ara, 30 % d'aquests documents tornaven sense signatura vàlida o amb terminis superiors a 10 dies hàbils.

En adoptar una solució de signatura electrònica conforme eIDAS 2 amb verificació d'identitat via atributs qualificats (QEAA), la PIME pot imposar un flux de signatura on la identitat del representant legal del proveïdor és verificada automàticament via la cartera EUDI, sense entrada manual. Resultat esperat : reducció del termini mitjà de signatura de 10 dies a menys de 48 hores, i disminució de 40 % dels litigis relacionats amb signatures no conformes, segons les gammes observades en els informes ELENIUS 2025 sobre la desmaterialització B2B.

Escenari 3 — Un agrupament immobiliari que gestiona compromisos de venda en diversos països

Una xarxa d'agències immobiliàries operant a França, Espanya i Portugal ha de regularment fer signar avant-contractes entre venedors i compradors de nacionalitats diferents. La QES és necessària en certs contexts per a garantir l'equivalència amb la signatura manuscrita davant notari.

Gràcies a eIDAS 2 i a la interoperabilitat de les carteres EUDI, un comprador portuguès pot signar un compromís sotmés al dret francés utilitzant la seva cartera nacional, amb un nivell de garantia « elevat » reconegut automàticament per la plataforma de signatura. L'agrupament reduïx les seves despeses de desplaçament i de legalització d'aproximadament 800 a 1 200 euros per dossier transfronterrer, mentre disminuïx el termini de conclusió dels avant-contractes de 3 setmanes a 5 dies de mitjana. Per als usos específics del sector, la nostra pàgina dedicada a la signatura electrònica en immobiliari detalla els workflows adaptats.

Conclusió

eIDAS 2 no és una simple actualització regulatòria : és una refeta profunda de la manera en què la identitat digital i la confiança electrònica funcionen a Europa. La cartera EUDI Wallet, els nous serveis qualificats, l'obligació d'interoperabilitat i l'alineament amb NIS2 i el RGPD formen un ecosistema coherent que transformarà els processos contractuals i d'autenticació de les empreses d'aquí a fi de 2026.

Per a mantenir-se conformes i competitives, les organitzacions B2B han d'actuar ara : auditar la seva cadena de confiança, triar un prestador alineat amb les noves exigències i preparar els seus fluxos documentals a la integració de la cartera digital europea.

Certyneo us acompanya en aquesta transició amb solucions de signatura electrònica qualificada conformes eIDAS 2, llestes per a 2026. Demaneu una demostració o creeu el vostre compte a Certyneo per a assegurar els vostres contractes des d'avui.