Prestataris eIDAS qualificats: la llista oficial 2026

Per què l'estat «qualificat» eIDAS és decisiu per a la teva empresa?

Des de l'entrada en vigor del Reglament eIDAS (núm. 910/2014), el mercat europeu de la signatura electrònica s'ha reestructurat profundament al voltant d'una jerarquia de tres nivells: la signatura electrònica simple (SES), la signatura electrònica avançada (AES) i la signatura electrònica qualificada (QES). Aquesta última és l'única que es beneficia d'una presumpció legal d'equivalència amb la signatura manuscrita en tots els Estats membres de la Unió Europea.

Per a que una empresa pugui proposar signatures qualificades, ha de haver estat auditat i inscrit obligatòriament a la llista de confiança (Trust List) del seu Estat membre. A França, és l'Agència Nacional de la Seguretat dels Sistemes d'Informació (ANSSI) qui manté aquest registre oficial, republicat al seu torn a la llista europea centralitzada gestionada per la Comissió Europea.

Comprendre aquesta arquitectura és fonamental abans de signar el menor contracte comercial sensible. Per anar més lluny sobre les bases reglamentàries, la nostra guia completa sobre el Reglament eIDAS 2.0 detalla totes les obligacions i les evolucions introduïdes pel Reglament revisat eIDAS 2.0 (Reglament UE 2024/1183).

---

Com es certifiquen els prestataris de serveis de confiança qualificats?

El camí cap a l'estat de Prestatari de Serveis de Confiança Qualificat (PSCQ) és exigent. Implica un audit realitzat per un organisme d'avaluació de la conformitat (CAB, Conformity Assessment Body) acreditat, segons les normes ETSI EN 319 401 (requisits generals) i ETSI EN 319 411-2 per als certificats qualificats.

Els passos de qualificació ANSSI

1. Presentació del dossier de qualificació: el prestatari presenta la seva documentació tècnica, de seguretat i organitzacional a l'ANSSI.
2. Audit per un CAB acreditat: un organisme tercers — com Bureau Veritas, LSTI o Apave Certification — verifica la conformitat in situ i per documentació.
3. Decisió de qualificació: l'ANSSI pronuncia la qualificació i inscriu el prestatari a la llista de confiança francesa (TL-FR).
4. Renovació periòdica: la qualificació es reevalua, generalment cada dos anys, per garantir el manteniment dels requisits.

Què verifica concretament l'audit?

L'auditor examina especialment:

• La seguretat física dels centres de dades que allotgen les claus criptogràfiques (mòduls HSM certificats CC EAL 4+ o FIPS 140-2 Level 3 mínim);
• Les polítiques de certificació (CP) i les declaracions de pràctiques de certificació (CPS) publicades pel prestatari;
• Els procediments de verificació d'identitat dels signants (cara a cara o verificació d'identitat a distància conforme a la norma EN 419 241-1);
• La gestió de revocacions i la disponibilitat dels serveis OCSP/CRL.

Aquests criteris expliquen per què només un grapat d'actors aconsegueixen i mantenen aquest nivell de certificació a França.

---

Els prestataris eIDAS qualificats referenciats a França el 2026

La llista oficial dels prestataris qualificats es pot consultar en qualsevol moment al portal oficial de la Comissió Europea (eidas.ec.europa.eu/efts), filtrant per «França» i el servei «QCertESig» (Qualified Certificate for Electronic Signature). Aquí es mostren els actors que figuraven al registre en el moment de la redacció d'aquest article (juny 2026):

Actors francesos inscrits a la Trust List

| Prestatari | Tipus de servei qualificat | Particularitat | |---|---|---| | Certigna (Dhimyotis) | Certificats qualificats, marcatimps qualificat | Grup La Poste, certificat eIDAS des de 2016 | | Certinomis | Certificats qualificats | Filial La Poste, orientada al sector públic | | ChamberSign France | Certificats qualificats | Xarxa de les CCI, fort arrelament PIME/TPE | | Keynectis / DocuSign France | Certificats qualificats | Adquirit per DocuSign, manteniment de l'etiqueta ANSSI | | Universign (Tessi) | Certificats qualificats, marcatimps | Pioner del mercat, integrat en Tessi group | | Entrust (ex-Datacard) | Certificats qualificats | Actor internacional, Trust List multi-Estats membres | | Oodrive Sign | Certificats qualificats | Editor sobirà francès, qualificat SecNumCloud |

> Avís: aquesta llista es proporciona a títol indicatiu i informatiu. Només la Trust List oficial de la Comissió Europea té validesa. Verifica sempre l'estat actual al portal ETSI abans de qualsevol compromís contractual.

Prestataris estrangers reconeguts a França a través de la Trust List europea

En virtut del principi de reconeixement mutu establert per l'article 25 del Reglament eIDAS, una signatura qualificada emesa per un PSCQ inscrit a la llista de confiança d'un altre Estat membre produeix els mateixos efectes jurídics a França. Entre els actors no francesos freqüentment utilitzats:

• Namirial (Itàlia): fort en signatura qualificada a distància (QES remote signing);
• SwissSign (Suïssa): atenció, Suïssa no és membre de la UE; el reconeixement és parcial;
• Qualified.one / Asseco Data Systems (Polònia): actor públic europeu, freqüent en els mercats transfrontalers.

Per comparar aquestes solucions segons les vostres necessitats empresarials, consulteu el nostre comparatiu de solucions de signatura electrònica que analitza els criteris de preu, conformitat i integració API.

---

Com triar el prestatari eIDAS qualificat correcte per a la teva organització?

Figurar a la Trust List és una condició necessària, però no suficient. L'elecció d'un PSCQ ha de basar-se en diversos criteris complementaris.

Criteris tècnics i d'integració

• API REST o SDK disponible: indispensable per automatitzar la signatura en els vostres workflows empresarials (ERP, SIRH, CRM);
• Formats de signatura suportats: PAdES per als PDF, XAdES per als XML, CAdES per als fitxers binaris — tots normalitzats per ETSI EN 319 100;
• Disponibilitat del servei: SLA superior al 99,9% garantit contractualment, amb períodes de manteniment previstos fora d'hores de feina;
• Allotjament de dades: preferiu un allotjament a França o dins la UE, idealment qualificat SecNumCloud per a dades sensibles.

Criteris jurídics i de conformitat

• Verificar que el prestatari proporciona un informe de qualificació actualitzat (menys de 24 mesos);
• Exigir una política de certificació publicada (CP) accessible públicament i auditada;
• Assegurar que les condicions generals preveuen explícitament la delivrance de certificats qualificats segons el sentit de l'Annex I del Reglament eIDAS.

Criteris operacionals i de suport

• Procediment d'enrôlament dels signants: cara a cara en agència, videoidentificació conforme a eIDAS o NFC a partir d'un document d'identitat electrònic;
• Suport en francès amb límits contractuals de temps de resposta;
• Formació i documentació disponibles per als vostres equips jurídics i TI.

Si la vostra organització gestiona fluxos documentals RH importants, la nostra pàgina dedicada a la signatura electrònica per als equips RH detalla els casos d'ús específics (contractes de treball, addenda, onboarding) i els nivells de signatura recomanats per tipus de document.

---

eIDAS 2.0: quins canvis per als prestataris qualificats el 2026?

El Reglament eIDAS 2.0 (Reglament UE 2024/1183, entrat en aplicació progressiva des de maig de 2024) introdueix diverses evolucions estructurals que impacten directament els PSCQ i els seus clients.

La Cartera Europea d'Identitat Digital (EUDI Wallet)

L'article 6a del Reglament revisat obliga als Estats membres a proposar, d'aquí setembre de 2026, una cartera d'identitat digital (EUDI Wallet) reconeguda en tota la UE. Per als prestataris qualificats, això significa:

• L'obligació d'acceptar els atributs d'identitat provinents de la wallet com a prova d'identitat per a l'enrôlament dels signants;
• L'emergència d'un nou servei qualificat: la delivrance d'attestacions d'atributs qualificats (Qualified Electronic Attestation of Attributes, QEAA).

Nous serveis qualificats i extensió del perímetre

eIDAS 2.0 amplia la llista de serveis de confiança qualificats per incloure:

• Els serveis d'arxivament electrònic qualificat (QPDS, article 45f);
• Els serveis de gestió de dispositius de creació de signatura a distància (QRCD).

Aquestes evolucions representen tant una restricció de conformitat (terminis serrarts per als prestataris existents) com una oportunitat de diferenciació per als nous entrants capaços d'integrar ràpidament les especificacions tècniques publicades per l'ENISA i l'ETSI.

Per a les empreses que envisagen una migració des d'una plataforma existent cap a una solució més conforme, la nostra guia de migració des de DocuSign o YouSign cap a Certyneo presenta els passos concrets i els punts de vigilància reglamentaris.

Marc legal applicable als prestataris eIDAS qualificats

Reglament eIDAS i dret europeu

El sòcol jurídic és el Reglament (UE) núm. 910/2014 del Parlament Europeu i del Consell del 23 de juliol de 2014 sobre identificació electrònica i serveis de confiança per a les transaccions electròniques al mercat interior (dit «Reglament eIDAS»), tal com es va modificar pel Reglament (UE) 2024/1183 (eIDAS 2.0). Aquest Reglament és directament aplicable en tots els Estats membres sense necessitat de transposició nacional.

Les seves disposicions clau per als prestataris qualificats:

• Article 17: obligació per a cada Estat membre de designar un òrgan de control (a França, l'ANSSI);
• Article 20: procediment de supervisió, d'audit i d'inscripció a la llista de confiança;
• Article 25: presumpció d'equivalència entre QES i signatura manuscrita, amb efecte jurídic garantit en tota la UE;
• Annex I: requisits relatius als certificats qualificats per a signatura electrònica;
• Annex II: requisits relatius als dispositius de creació de signatura qualificada (QSCD).

Dret francès

En dret intern, la signatura electrònica es regula per:

• Codi Civil, articles 1366 i 1367: l'article 1366 reconeix el valor probatori de l'escrit electrònic a condició de garantir la identitat de l'autor i la integritat del document. L'article 1367 precisa que la signatura electrònica consistint en un procediment fiable d'identificació es beneficia d'una presumpció de fiabilitat quan es crea conforme al decret d'aplicació;
• Decret núm. 2017-1416 del 28 de setembre de 2017: defineix les condicions en les quals la signatura electrònica qualificada es presumeix fiable a França, remetent explícitament al Reglament eIDAS;
• Ordenança núm. 2005-674 del 16 de juny de 2005 relativa a l'accompliment de certes formalitats contractuals per via electrònica.

Protecció de dades personals

Els processos d'enrôlament i de signatura impliquen el tractament de dades de caràcter personal (dades d'identitat, biometria per a videoidentificació). El prestatari qualificat està subjecte al Reglament (UE) 2016/679 (RGPD) i ha de notamment:

• Designar un DPO si el tractament és a gran escala;
• Documentar els tractaments en el registre CNIL;
• Encaixar les transferències fora de la UE amb garanties apropiades (clàusules contractuals tipus, decisió d'adequació).

Ciberseguretat i resiliència

Des d'octubre de 2024, la Directiva NIS2 (2022/2555/UE) s'aplica als prestataris de serveis de confiança qualificats, classificats com a entitats essencials. Han de posar en marxa mesures de gestió de riscos cibernètics, notificar els incidents significatius a l'ANSSI dins de 24 hores, i sotmetre's a auditories regulars. L'incompliment pot comportar multes de fins a 10 milions d'euros o el 2% de la facturació mundial anual.

Normes tècniques de referència

• ETSI EN 319 401: requisits generals per als prestataris de serveis de confiança;
• ETSI EN 319 411-2: perfil de política per als certificats qualificats;
• ETSI EN 319 132: formats de signatura XAdES;
• ETSI EN 319 122: formats de signatura CAdES;
• ETSI EN 319 162: formats de signatura PAdES (PDF).

Escenaris d'ús: quan és indispensable la signatura qualificada eIDAS?

Escenari 1 — Un bufet d'advocats que gestiona actes bajo signe privat amb alta valor probatori

Un bufet d'advocats mercantil d'una vintena de col·laboradors tracta cada mes diverses desenes de cessió de participacions socials, protocols d'acord i convenis de garantia d'actiu i de passiu (GAP). Aquests actes comprometen sumes sovint superiors a diversos centenars de milers d'euros i són susceptibles de ser contestats en judici.

Abans de migrar cap a un prestatari eIDAS qualificat, el bufet utilitzava una solució de signatura avançada (AES), cosa que era suficient per a la majoria d'actes habituals. Després d'un incident en el qual la part contrària va qüestionar l'autenticitat d'una signatura durant una controvèrsia, el bufet va optar per la QES per a tots els actes d'alt valor. Resultat: reducció del 90% del temps dedicat a produir proves de signatura durant els procediments contenciosos, gràcies a la presumpció legal irrefragable associada a la QES. El surcoste unitari per signatura (aproximadament 2 a 5 € segons volums) va ser totalment absorbit per la reducció de despeses de contenciós.

Escenari 2 — Una ETI industrial que gestiona contractes amb proveïdors transfronterisers

Una empresa de mida mitjana (ETI) del sector d'equips industrials, amb proveïdors establerts a França, Alemanya, Itàlia i Polònia, havia de fins aleshores enviar els seus contractes marc per correu postal u organitzar reunions de signatura presencial, generant retards de 10 a 21 dies laborals per contracte.

En desplegar una solució connectada a un PSCQ europeu inscrit a la Trust List, l'empresa ha reduït el cicle de signatura a menys de 48 hores en mitjana. El reconeixement mutu entre Estats membres garanteix el valor jurídic sense necessitat de legalització addicional. En un portafoli de 350 contractes amb proveïdors anuals, l'estalvi estimat en costos administratius i logístics supera els 40.000 € anuals, segons marges coherents amb els estudis sectorials publicats per l'ACFE i l'APQC.

Escenari 3 — Un agrupament hospitalari sotmès als requisits del sector sanitari

Un agrupament hospitalari d'aproximadament 1.200 llits ha de signar electrònicament contractes públics, convenis de recerca clínica i contractes de facultatius hospitalaris. Aquests documents estan sotmesos al Codi de la Contractació Pública, que exigeix una signatura electrònica conforme al RGS (Referencial General de Seguretat) de nivell ** o, des de la desmaterialització de contractes públics, a un nivell equivalent eIDAS.

En basar-se en un PSCQ inscrit a la Trust List francesa, l'agrupament garanteix la conformitat amb l'article R. 2132-7 del Codi de la Contractació Pública alhora que redueix els terminis de signatura dels contractes de 15 dies a menys de 72 hores. L'integració API amb el sistema d'informació hospitalari (SIH) ha permès automatitzar l'enviament i el seguiment dels documents, alliberant aproximadament 0,4 ETP sobre tasques administratives relacionades amb contractes.

Conclusió

Triar un prestatari eIDAS qualificat no és una simple compra de programari: és una decisió estratègica que compromet la valor probatòria dels teus actes, la conformitat reglamentària de la teva organització i la confiança dels teus partners comercials i institucionals. El 2026, amb l'entrada en vigor progressiva d'eIDAS 2.0 i les noves obligacions NIS2, el nivell d'exigència només augmenta.

Els punts essencials a recordar: verifica sistemàticament la inscripció a la Trust List oficial, exigeix una política de certificació publicada, i adapta el nivell de signatura (QES, AES, SES) a l'enjeu jurídic de cada document.

Certyneo t'acompanya en aquesta tasca donant-te accés a certificats qualificats a través de PSCQ referenciats, una API d'integració robusta i un suport jurídic dedicat. Preparat per passar a la signatura qualificada? Demana una demostració o crea el teu compte a Certyneo i posa la teva organització en conformitat des d'avui.