eIDAS 2 Portefeuille Identitat Digital: Guia 2026

L'entrada en vigor del Reglament eIDAS 2 marca un punt d'inflexió històric per a la gestió de l'identitat digital a Europa. Amb l'EUDI Wallet — European Digital Identity Wallet — cada ciutadà i cada empresa disposa aviat d'un portefeuille digital sobirano, interoperable i reconegut als 27 Estats membres. Per als departaments jurídics, RRHH, compliment i TI, aquest projecte regulatori obri tant oportunitats com desafiaments operacionals. Aquest article desxifra el funcionament tècnic i jurídic de l'EUDI Wallet, les seves implicacions concretes per a les empreses i la manera en què s'articula amb les solucions de signatura electrònica qualificada ja implantades.

Què és eIDAS 2 i l'EUDI Wallet?

Del Reglament eIDAS 1.0 al Reglament eIDAS 2.0: una evolució estructural

Adoptat el 2014, el Reglament eIDAS nº910/2014 va posar les bases de la confiança digital a Europa: signatures electròniques qualificades, segells, marques de temps i serveis d'autenticació. Però una dècada més tard, les seves limitacions es van fer evidents: insuficient interoperabilitat entre Estats membres, adopció desigual de les identitats digitals nacionals, absència d'un portefeuille unificat. El Reglament (UE) 2024/1183, anomenat eIDAS 2, adoptat oficialment l'11 d'abril de 2024 al Diari Oficial de la UE, corregeix aquestes llacunes imposant un marc comú d'identitat digital sobirana.

Per aprofundir en el conjunt del nou marc regulatori, consulteu la nostra guia completa sobre el Reglament eIDAS 2.0.

L'EUDI Wallet: arquitectura i principis fonamentals

L'EUDI Wallet (European Digital Identity Wallet) és una aplicació mòbil i/o informàtica que cada Estat membre haurà de posar a disposició dels seus ciutadans i residents com a molt tard el 2026, conformement a l'article 5a del Reglament revisat. Concretament, aquest portefeuille digital permet:

• Emmagatzemar i presentar atributs d'identitat verificats: carnet d'identitat, permís de conduir, diplomes, acreditacions professionals, número de TVA intracomunitari per a les persones jurídiques.
• Autenticar l'usuari davant de serveis públics i privats a nivells d'assegurança alts (LoA High segons l'Annex I del Reglament).
• Signar electrònicament documents amb nivell qualificat, basant-se en els Dispositius de Creació de Signatures Electròniques Qualificades (QSCD) certificats.
• Compartir selectivament les dades (principi de selective disclosure) sense revelar més informacions que les necessàries — una aportació important per a la conformitat RGPD.

L'arquitectura es basa en les especificacions tècniques publicades per la Comissió Europea via l'Architecture and Reference Framework (ARF), mantingut pel consorci EUDIW (European Digital Identity Wallet). Els formats de presentació adoptats inclouen especialment ISO/IEC 18013-5 (mDL — mobile Driver's Licence) i SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dos estàndards oberts que garanteixen la portabilitat.

Qui és responsable? Parts que confien (Relying Parties)

El Reglament eIDAS 2 introdueix la noció de Relying Party (part que confía). Qualsevol organització — empresa privada, administració, plataforma en línia — que accepti atributs d'identitat provinents de l'EUDI Wallet ha de registrar-se davant del seu Estat membre i respectar un conjunt d'obligacions tècniques i de seguretat. L'article 5b del Reglament especifica que les grans plataformes (en el sentit de la DSA) i certs sectors (banca, sanitat, energia) seran obligats a acceptar l'EUDI Wallet quan comenci la producció nacional.

Funcionament tècnic de l'EUDI Wallet per a les empreses

El flux d'autenticació i signatura pas a pas

Comprendre el flux tècnic és indispensable per anticipar la integració en els sistemes d'informació. Un escenari típic de signatura de contracte via EUDI Wallet es desenvoluparia així:

1. Inicialització: la Part que confía (p.ex.: la vostra plataforma SaaS) genera una sol·licitud de presentació conforme al protocol OpenID4VP (OpenID for Verifiable Presentations).
2. Notificació: l'usuari rep una notificació al seu EUDI Wallet mòbil.
3. Consentiment i selecció: l'usuari tria els atributs a compartir (nom, cognoms, data de naixement) via la interfície selective disclosure.
4. Presentació verificable: el wallet genera una prova criptogràfica signada pel Trusted Issuer (l'Estat membre o un prestatari acreditat).
5. Verificació: la Part que confía verifica la prova via el registre de confiança europeu (Trust Framework), sense emmagatzemar dades superflues.
6. Signatura qualificada: si es requereix un acte de signatura, el QSCD integrat al wallet o allotjat al núvol (QSign) produeix una signatura qualificada conforme a l'ETSI EN 319 132.

Aquest flux garanteix un nivell d'assegurança LoA High, el més alt previst pel Reglament, equivalent a una verificació cara a cara.

Integració amb les plataformes de signatura electrònica existents

Els editors de solucions de signatura electrònica han d'integrar els protocols OpenID4VCI (emissió) i OpenID4VP (presentació) per connectar-se a l'ecosistema EUDI. Per a les empreses que utilitzen ja una plataforma conforme eIDAS 1.0, la transició a eIDAS 2 implica una actualització tècnica de versió, però preserva el valor jurídic de les signatures ja realitzades. Per tant, és estratègic avaluar la roadmap del vostre proveïdor actual, especialment si envisageu migrar de DocuSign o YouSign cap a una solució més conforme.

Identitat digital de les persones jurídiques: l'enjeu empresarial

EIDAS 2 no es limita a les persones físiques. L'article 5a §3 preveu explícitament wallets per a persones jurídiques, permetent a les empreses:

• Demostrar la seva existència legal (equivalent a un extracte Kbis digital verificable).
• Delegar poders de signatura als seus col·laboradors de manera auditada i revocable.
• Automatitzar la verificació de KYB (Know Your Business) en els processos contractuals B2B.

Aquesta dimensió és especialment transformadora pels processos de signatura electrònica a l'empresa, especialment en els sectors RRHH, jurídic i financer.

Calendari de desplegament i obligacions regulatòries 2024-2026

Fases de implementació segons el Reglament

El Reglament (UE) 2024/1183 fixa un calendari vinculant:

• Abril de 2024: publicació al Diari Oficial, entrada en vigor 20 dies després.
• Final de 2024: publicació dels actes d'execució (Implementing Acts) que defineixen les especificacions tècniques obligatòries.
• 2025: desplegament dels wallets pilots nacionals (projectes pilots a gran escala: EU Digital Identity Wallet Large Scale Pilots, finançats amb 46 milions d'euros per la Comissió).
• Final de 2026: disponibilitat obligatòria per part de tots els Estats membres d'almenys un EUDI Wallet operacional. Les grans plataformes i sectors regulats hauran de l'acceptar.

Per a les empreses franceses, el desplegament es basa en l'identitat digital La Poste i els treballs de l'ANSSI respecte a la certificació dels Trusted Issuers nacionals.

Obligacions per a les Parts que confien

Les empreses que desitgen o han de d'acceptar l'EUDI Wallet són sotmeses a diverses obligacions:

1. Registre davant l'autoritat nacional competent (a França, l'ANSSI i la CNIL segons els casos).
2. Conformitat tècnica a les especificacions de l'ARF v2.x publicades a GitHub per la Comissió Europea.
3. Transparència: publicar en un registre públic els atributs sol·licitats i la finalitat del tractament.
4. Minimització de dades: sol·licitar només els atributs estrictament necessaris — obligació reforçada pel RGPD.
5. Registre de dades: conservar els logs de les presentacions verificables per a auditoria, sense emmagatzemar les dades d'identitat brutes.

Les empreses que integren l'EUDI Wallet en els seus fluxos de signatura electrònica per als despatxos jurídics o per a la gestió RRHH benficiaran d'un avantatge competitiu significatiu a partir de 2026.

Enjocs estratègics i oportunitats per a les empreses

Reducció de friccions en els processos KYC/KYB

Un dels beneficis més immediats de l'EUDI Wallet és la supressió de les verificacions d'identitat manuals. Actualment, l'incorporació d'un nou client o soci comporta l'enviament de justificants, una verificació humana i retards de tractament. Amb l'EUDI Wallet, la verificació es torna instantània, cryptogràficament certificada i auditada. Els sectors bancari, immobiliari i d'assegurances — sotmesos a obligacions de LCB-FT — hi veuen una oportunitat important de conformitat automatitzada. El sector de la signatura electrònica en immobiliaris és particularment impactat, amb processos de verificació d'identitat que representen avui dia fins al 40% del temps administratiu.

Sobirania digital i reducció de la dependència dels GAFAM

L'EUDI Wallet respon a una ambició política forta: reduir la dependència dels europeus dels sistemes d'identitat operats per actors no-europeus (Google, Apple, Meta). Per a les empreses, això es tradueix en una infraestructura d'autenticació interoperable, oberta i no captiva, basada en estàndards ISO i W3C més que en SDK proprietaris. Aquesta sobirania és també un argument comercial de diferenciació en les licitacions públiques, cada vegada més sensibles a les clàusules de localització de dades.

Impacte en la signatura electrònica qualificada i els QTSP

Els Prestataris de Serveis de Confiança Qualificats (QTSP — Qualified Trust Service Providers) veuen evolucionar el seu rol. Amb l'EUDI Wallet, els QSCD poden ser allotjats directament al wallet o delegats a un QTSP núvol (Remote Qualified Signature). Per a les empreses, això significa que la signatura qualificada — fins ara reservada als casos més crítics pels seus costos i complexitat — es torna accessible i escalable. La nostra comparativa de solucions de signatura electrònica integra ja aquest criteri de compatibilitat EUDI Wallet en la seva anàlisi.

Marc legal aplicable a l'EUDI Wallet i a les empreses

Reglament eIDAS 2: (UE) 2024/1183

El text fundacional és el Reglament (UE) 2024/1183 del Parlament Europeu i del Consell de l'11 d'abril de 2024, que modifica el Reglament eIDAS nº910/2014. És directament aplicable a tots els Estats membres sense transposició legislativa nacional, garantint una uniformitat jurídica europea. Els articles 5a a 5c defineixen les obligacions relatives a l'EUDI Wallet, els nivells d'assegurança i els drets dels usuaris. L'article 46f introdueix les obligacions específiques per a les Parts que confien dels sectors regulats.

Codi Civil francés: articles 1366 i 1367

En dret francés, la signatura electrònica qualificada produïda via EUDI Wallet beneificia de la presumpció de fiabilitat prevista per l'article 1367 del Codi Civil: « La signatura electrònica consisteix en l'ús d'un procediment fiable d'identificació que garanteix la seva vinculació amb l'acte al qual s'adjunta. » La fiabilitat es presumeix quan la signatura és qualificada en el sentit d'eIDAS. L'article 1366 assimila l'escrit electrònic a l'escrit en paper sempre que l'autor sigui identificat i que la integritat estigui garantida — dues condicions que l'EUDI Wallet compleix nativament.

RGPD nº2016/679: articulació amb la minimització de dades

El Reglament (UE) 2016/679 (RGPD) s'aplica plenament a les Parts que confien que tracten atributs d'identitat provinents de l'EUDI Wallet. Els principis de minimització de dades (art. 5 §1c), de limitació de la finalitat (art. 5 §1b) i de privacy by design (art. 25) han de ser integrats des de la concepció de la integració tècnica. La selective disclosure nativa de l'EUDI Wallet facilita tecnològicament la conformitat, però l'empresa segueix sent responsable (art. 24) de documentar les seves bases jurídiques de tractament.

Normes ETSI i estàndards tècnics

La signatura qualificada produïda via EUDI Wallet ha de respectar les normes ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 162 (PAdES) per als formats de signatura electrònica avançada i qualificada. Les polítiques de certificació es defineixen en l'ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Els actes d'execució de la Comissió precisen els requisits de certificació dels Trusted Issuers (norma ISO/IEC 27001 i criteris comuns EAL 4+).

Directiva NIS2: (UE) 2022/2555

Els operadors d'infraestructura EUDI Wallet (Estats membres, Trusted Issuers, QTSP) es sotmeten a les obligacions de la Directiva NIS2 (UE) 2022/2555, transposada a França per la llei nº2023-703. Per a les empreses usuàries, NIS2 imposa obligacions de gestió de riscos relacionats amb prestataris tercers (art. 21 §2d), el que inclou els proveïdors de solucions que integren l'EUDI Wallet. Una anàlisi d'impacte dels riscos de la cadena de subministrament digital és per tant recomanada abans de qualsevol desplegament.

Escenaris d'ús de l'EUDI Wallet a l'empresa

Escenari 1: Despatx d'advocats — verificació d'identitat i signatura de mandats

Un despatx d'advocats de negocis d'una vintena de col·laboradors tracta cada mes diversos centenars de mandats, cartes de missió i poders. Actualment, la verificació d'identitat dels clients imposa l'enviament de justificants per email, una verificació manual per l'assistenta jurídica i un retard mitjà de 48 hores. Amb la integració de l'EUDI Wallet com a mecanisme d'autenticació, el client presenta la seva peca d'identitat digital del seu wallet en menys de 90 segons. La signatura qualificada es produeix de seguida, sense fricció addicional. Segons els retorns observats als pilots de gran escala duts a terme entre 2023 i 2025, aquest tipus de flux redueix el temps de tractament de l'incorporació del client d'un 60 a 75% i elimina els riscos d'errors de saisie o de documents caducats. El despatx guanya també en conformitat LCB-FT, sent els atributs d'identitat certificats cryptogràficament per un Estat membre.

Escenari 2: Petita empresa industrial — gestió de contractes de proveïdors i delegacions de signatura

Una petita empresa industrial d'una centena de treballadors gestiona aproximadament 300 contractes de proveïdors l'any, comportant responsables de compres distribuïts en tres llocs. La gestió de delegacions de signatura és actualment documentada en paper i difícil d'auditar. Amb l'EUDI Wallet empresarial (persona jurídica), la direcció pot atribuir atributs de delegació verificables a cada responsable de compres: límit d'engagement, àmbit geogràfic, durada de validesa. Aquests atributs s'emmagatzemen al wallet del col·laborador i es presenten automàticament en cada acte de signatura. En cas de partida o canvi de lloc, la revocació és instantània i auditada. Aquest mecanisme redueix els riscos de litigi contractual lligats a signatures no habilitats i millora la traçabilitat per a les auditories internes. Les direccions financeres constaten generalment una reducció del 30 a 40% del temps dedicat a la gestió i verificació dels poders de signatura.

Escenari 3: Agrupació hospitalaria — consentiment del pacient i accés a dades de salut

Una agrupació hospitalaria que agrupa diversos establiments i aproximadament 1.500 agents de salut fa front a enjocs de consentiment del pacient cada vegada més complexos, especialment per a l'accés als expedients mèdics compartits via Mon Espace Santé. La integració de l'EUDI Wallet com a mecanisme de consentiment informat permet al pacient validar, des del seu smartphone, l'accés a les seves dades per un metge especialista, especificant la durada i l'àmbit de l'accés. La selective disclosure garanteix que només es comparteixen els atributs mèdics rellevants. Per als agents de salut, el wallet proporciona el seu número RPPS (Repositori Compartit de Professionals de Salut) com a atribut verificable, suprimint els processos actuals de verificació manual. Aquest tipus de desplegament, coherent amb el marc de l'Espai Europeu de Dades de Salut (EHDS), pot reduir els retards d'accés a les dades de salut autoritzades de diverses hores a pocs segons. Per a més informació sobre els enjocs específics del sector, la nostra guia sobre la signatura electrònica en sanitat detalla les limitacions regulatòries aplicables.

Conclusió

L'EUDI Wallet i el Reglament eIDAS 2 constitueixen la transformació més significativa de l'identitat digital europea des de fa una dècada. Per a les empreses, l'enjoc no és només conformar-se a una nova regulació, sinó de saisir una oportunitat de modernitzar profundament els seus processos de signatura, incorporació i gestió de delegacions. Els sectors jurídic, RRHH, sanitari i industrial estan en primera línia. La clau de l'èxit resideix en l'anticipació: avaluar des d'ara la compatibilitat de les vostres eines actuals, formar els vostres equips i triar sòcis la roadmap dels quals estigui alineada amb eIDAS 2.

Certyneo acompanya les empreses en aquesta transició amb una plataforma de signatura electrònica dissenyada per ser compatible EUDI Wallet des del seu desplegament. Descobreix les nostres ofertes i comença gratuïtament per anticipar 2026 amb total serenitat.