eIDAS 2 Cartera Identidad Digital: Guía 2026

La entrada en vigor del reglamento eIDAS 2 marca un punto de inflexión histórico para la gestión de la identidad digital en Europa. Con EUDI Wallet —European Digital Identity Wallet—, cada ciudadano y cada empresa dispondrá pronto de una cartera digital soberana, interoperable y reconocida en los 27 Estados miembros. Para las direcciones jurídicas, recursos humanos, cumplimiento normativo y TI, este proyecto regulatorio abre tantas oportunidades como desafíos operacionales. Este artículo descifra el funcionamiento técnico y jurídico de EUDI Wallet, sus implicaciones concretas para las empresas y cómo se articula con las soluciones de firma electrónica cualificada ya implementadas.

¿Qué es eIDAS 2 y EUDI Wallet?

Del reglamento eIDAS 1.0 al reglamento eIDAS 2.0: una evolución estructural

Adoptado en 2014, el reglamento eIDAS n°910/2014 sentó las bases de la confianza digital en Europa: firmas electrónicas cualificadas, sellos, marcas de tiempo y servicios de autenticación. Pero una década después, sus limitaciones se hicieron evidentes: interoperabilidad insuficiente entre Estados miembros, adopción desigual de identidades digitales nacionales, ausencia de una cartera unificada. El reglamento (UE) 2024/1183, denominado eIDAS 2, adoptado oficialmente el 11 de abril de 2024 en el Diario Oficial de la UE, corrige estas carencias imponiendo un marco común de identidad digital soberana.

Para profundizar en todo el nuevo marco regulatorio, consulta nuestra guía completa sobre el reglamento eIDAS 2.0.

EUDI Wallet: arquitectura y principios fundadores

EUDI Wallet (European Digital Identity Wallet) es una aplicación móvil y/o software que cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes a más tardar en 2026, de conformidad con el artículo 5a del reglamento revisado. Concretamente, esta cartera digital permite:

• Almacenar y presentar atributos de identidad verificados: documento de identidad, permiso de conducción, diplomas, acreditaciones profesionales, número de IVA intracomunitario para personas jurídicas.
• Autenticar al usuario ante servicios públicos y privados en niveles de aseguramiento elevados (LoA High según el anexo I del reglamento).
• Firmar electrónicamente documentos con nivel cualificado, basándose en Qualified Electronic Signature Creation Devices (QSCD) certificados.
• Compartir selectivamente los datos (principio de selective disclosure) sin revelar más información de la necesaria — una aportación importante para la conformidad con el RGPD.

La arquitectura se basa en las especificaciones técnicas publicadas por la Comisión Europea a través del Architecture and Reference Framework (ARF), mantenido por el consorcio EUDIW (European Digital Identity Wallet). Los formatos de presentación adoptados incluyen especialmente ISO/IEC 18013-5 (mDL — mobile Driver's Licence) y SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dos estándares abiertos que garantizan la portabilidad.

¿Quién está afectado? Empresas proveedoras de servicios (Relying Parties)

El reglamento eIDAS 2 introduce la noción de Relying Party (parte receptora). Cualquier organización —empresa privada, administración, plataforma en línea— que acepte atributos de identidad provenientes de EUDI Wallet debe registrarse ante su Estado miembro y respetar un conjunto de obligaciones técnicas y de seguridad. El artículo 5b del reglamento especifica que las grandes plataformas (en el sentido de la DSA) y ciertos sectores (banca, sanidad, energía) deberán aceptar EUDI Wallet desde su entrada en producción nacional.

Funcionamiento técnico de EUDI Wallet para empresas

El flujo de autenticación y firma paso a paso

Comprender el flujo técnico es indispensable para anticipar la integración en los sistemas de información. Un escenario típico de firma de contrato vía EUDI Wallet se desarrolla así:

1. Inicialización: la Relying Party (por ejemplo, tu plataforma SaaS) genera una solicitud de presentación conforme al protocolo OpenID4VP (OpenID for Verifiable Presentations).
2. Notificación: el usuario recibe una notificación en su EUDI Wallet móvil.
3. Consentimiento y selección: el usuario elige qué atributos compartir (nombre, apellido, fecha de nacimiento) a través de la interfaz selective disclosure.
4. Presentación verificable: la cartera genera una prueba criptográfica firmada por el Trusted Issuer (el Estado miembro o un prestador acreditado).
5. Verificación: la Relying Party verifica la prueba a través del registro de confianza europeo (Trust Framework), sin almacenar datos innecesarios.
6. Firma cualificada: si se requiere un acto de firma, el QSCD integrado en la cartera o alojado en la nube (QSign) produce una firma cualificada conforme a ETSI EN 319 132.

Este flujo garantiza un nivel de aseguramiento LoA High, el más elevado previsto por el reglamento, equivalente a una verificación cara a cara.

Integración con plataformas de firma electrónica existentes

Los editores de soluciones de firma electrónica deben integrar los protocolos OpenID4VCI (emisión) y OpenID4VP (presentación) para conectarse al ecosistema EUDI. Para las empresas que ya utilizan una plataforma conforme a eIDAS 1.0, la transición a eIDAS 2 implica una actualización técnica, pero preserva el valor jurídico de las firmas ya realizadas. Por lo tanto, es estratégico evaluar la hoja de ruta de tu proveedor actual, especialmente si contemplas migrar desde DocuSign o YouSign hacia una solución más conforme.

Identidad digital de personas jurídicas: el desafío empresarial

EIDAS 2 no se limita a personas físicas. El artículo 5a §3 prevé explícitamente carteras para personas jurídicas, permitiendo a las empresas:

• Acreditar su existencia legal (equivalente a un certificado de registro mercantil digital verificable).
• Delegar poderes de firma a sus colaboradores de forma auditada y revocable.
• Automatizar la verificación de KYB (Know Your Business) en procesos contractuales B2B.

Esta dimensión es particularmente transformadora para los procesos de firma electrónica en empresas, especialmente en los sectores de recursos humanos, legal y financiero.

Calendario de despliegue y obligaciones regulatorias 2024-2026

Fases de implementación según el reglamento

El reglamento (UE) 2024/1183 fija un calendario vinculante:

• Abril de 2024: publicación en el Diario Oficial, entrada en vigor 20 días después.
• Fin de 2024: publicación de los actos de ejecución (Implementing Acts) que definen las especificaciones técnicas obligatorias.
• 2025: despliegue de carteras piloto nacionales (proyectos de pruebas a gran escala: EU Digital Identity Wallet Large Scale Pilots, financiados con 46 millones de euros por la Comisión).
• Fin de 2026: puesta a disposición obligatoria por todos los Estados miembros de al menos una EUDI Wallet operativa. Las grandes plataformas y sectores regulados deberán aceptarla.

Para las empresas francesas, el despliegue se apoya en la identidad digital La Poste y los trabajos de la ANSSI respecto a la certificación de Trusted Issuers nacionales.

Obligaciones para Relying Parties

Las empresas que deseen o deban aceptar EUDI Wallet están sujetas a varias obligaciones:

1. Registro ante la autoridad nacional competente (en Francia, la ANSSI y la CNIL según los casos).
2. Conformidad técnica con las especificaciones del ARF v2.x publicadas en GitHub por la Comisión Europea.
3. Transparencia: publicar en un registro público los atributos solicitados y la finalidad del tratamiento.
4. Minimización de datos: solicitar solo los atributos estrictamente necesarios — obligación reforzada por el RGPD.
5. Registro de actividad: conservar los registros de presentaciones verificables para auditoría, sin almacenar datos de identidad brutos.

Las empresas que integren EUDI Wallet en sus flujos de firma electrónica para bufetes de abogados o para la gestión de recursos humanos obtendrán una ventaja competitiva significativa a partir de 2026.

Desafíos estratégicos y oportunidades para empresas

Reducción de fricciones en procesos KYC/KYB

Uno de los beneficios más inmediatos de EUDI Wallet es la eliminación de verificaciones de identidad manuales. Hoy en día, la incorporación de un nuevo cliente o socio implica envío de justificantes por correo, verificación humana y retrasos de procesamiento. Con EUDI Wallet, la verificación es instantánea, certificada criptográficamente y auditada. Los sectores bancario, inmobiliario y asegurador —sometidos a obligaciones de cumplimiento normativo en materia de lucha contra el blanqueo de capitales— ven una oportunidad importante de conformidad automatizada. El sector de firma electrónica en inmobiliaria es particularmente impactado, con procesos de verificación de identidad que hoy representan hasta el 40 % del tiempo administrativo.

Soberanía digital y reducción de dependencia de los GAFAM

EUDI Wallet responde a una ambición política fuerte: reducir la dependencia de los europeos de sistemas de identidad operados por actores no europeos (Google, Apple, Meta). Para las empresas, esto se traduce en una infraestructura de autenticación interoperable, abierta y no cautiva, basada en estándares ISO y W3C en lugar de SDK propietarios. Esta soberanía es también un argumento de diferenciación comercial en los procesos de licitación pública, cada vez más sensibles a cláusulas de localización de datos.

Impacto en la firma electrónica cualificada y los QTSP

Los Proveedores de Servicios de Confianza Cualificados (QTSP —Qualified Trust Service Providers) ven evolucionar su rol. Con EUDI Wallet, los QSCD pueden estar alojados directamente en la cartera o delegados a un QTSP en la nube (Remote Qualified Signature). Para las empresas, esto significa que la firma cualificada —hasta ahora reservada a los casos más críticos por su complejidad— se vuelve accesible y escalable. Nuestro comparativo de soluciones de firma electrónica integra ahora este criterio de compatibilidad con EUDI Wallet en su análisis.

Marco legal aplicable a EUDI Wallet y empresas

Reglamento eIDAS 2: (UE) 2024/1183

El texto fundador es el reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024, que modifica el reglamento eIDAS n°910/2014. Es directamente aplicable en todos los Estados miembros sin necesidad de transposición legislativa nacional, lo que garantiza uniformidad jurídica europea. Los artículos 5a a 5c definen las obligaciones relativas a EUDI Wallet, los niveles de aseguramiento y los derechos de los usuarios. El artículo 46f introduce obligaciones específicas para Relying Parties de sectores regulados.

Código Civil francés: artículos 1366 y 1367

En derecho francés, la firma electrónica cualificada producida a través de EUDI Wallet se beneficia de la presunción de fiabilidad prevista en el artículo 1367 del Código Civil: « La firma electrónica consiste en el uso de un procedimiento fiable de identificación que garantiza su vinculación con el acto al que se adjunta. » La fiabilidad se presume cuando la firma es cualificada en el sentido de eIDAS. El artículo 1366 asimila el documento electrónico al documento en papel siempre que su autor sea identificado y se garantice la integridad — dos condiciones que EUDI Wallet cumple nativamente.

RGPD n°2016/679: articulación con la minimización de datos

El reglamento (UE) 2016/679 (RGPD) se aplica completamente a las Relying Parties que traten atributos de identidad procedentes de EUDI Wallet. Los principios de minimización de datos (art. 5 §1c), de limitación de la finalidad (art. 5 §1b) y de privacidad por diseño (art. 25) deben integrarse desde el diseño de la integración técnica. La selective disclosure nativa de EUDI Wallet facilita técnicamente la conformidad, pero la empresa sigue siendo responsable (art. 24) de documentar sus bases legales de tratamiento.

Normas ETSI y estándares técnicos

La firma cualificada producida a través de EUDI Wallet debe respetar las normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) y ETSI EN 319 162 (PAdES) para los formatos de firma electrónica avanzada y cualificada. Las políticas de certificación se definen en la ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Los actos de ejecución de la Comisión especifican los requisitos de certificación de Trusted Issuers (norma ISO/IEC 27001 y criterios comunes EAL 4+).

Directiva NIS2: (UE) 2022/2555

Los operadores de infraestructura EUDI Wallet (Estados miembros, Trusted Issuers, QTSP) están sujetos a las obligaciones de la directiva NIS2 (UE) 2022/2555, transpuesta en Francia por la ley n°2023-703. Para las empresas usuarias, NIS2 impone obligaciones de gestión de riesgos relacionados con proveedores terceros (art. 21 §2d), lo que incluye a los proveedores de soluciones que integren EUDI Wallet. Se recomienda por tanto un análisis de impacto de riesgos de la cadena de suministro digital antes de cualquier despliegue.

Escenarios de uso de EUDI Wallet en empresas

Escenario 1: Bufete de abogados — verificación de identidad y firma de mandatos

Un bufete de abogados de una veintena de profesionales tramita cada mes varios cientos de mandatos, cartas de encargo y poderes. Hoy en día, la verificación de identidad de los clientes requiere el envío de justificantes por correo, una verificación manual por la asistente jurídica y un plazo medio de 48 horas. Con la integración de EUDI Wallet como mecanismo de autenticación, el cliente presenta su documento de identidad digital desde su cartera en menos de 90 segundos. La firma cualificada se produce en el acto, sin fricción adicional. Según los comentarios observados en los pilotos a gran escala realizados entre 2023 y 2025, este tipo de flujo reduce el tiempo de procesamiento de la incorporación de clientes en un 60 a 75 % y elimina los riesgos de errores de entrada o documentos vencidos. El bufete gana también en conformidad normativa contra el blanqueo de capitales, ya que los atributos de identidad están certificados criptográficamente por un Estado miembro.

Escenario 2: PYME industrial — gestión de contratos proveedores y delegaciones de firma

Una PYME industrial de una centena de empleados gestiona aproximadamente 300 contratos de proveedores por año, implicando responsables de compras distribuidos en tres sedes. La gestión de delegaciones de firma es hoy documentada en papel y difícil de auditar. Con EUDI Wallet empresarial (persona jurídica), la dirección puede atribuir atributos de delegación verificables a cada responsable de compras: límite de compromiso, alcance geográfico, duración de validez. Estos atributos se almacenan en la cartera del colaborador y se presentan automáticamente en cada acto de firma. En caso de cese o cambio de puesto, la revocación es instantánea y auditada. Este mecanismo reduce los riesgos de litigios contractuales vinculados a firmas no autorizadas y mejora la trazabilidad para auditorías internas. Las direcciones financieras generalmente constatan una reducción del 30 a 40 % del tiempo dedicado a la gestión y verificación de poderes de firma.

Escenario 3: Agrupación hospitalaria — consentimiento del paciente y acceso a datos de sanidad

Una agrupación hospitalaria que reúne varios establecimientos e aproximadamente 1 500 agentes de sanidad se enfrenta a desafíos de consentimiento del paciente cada vez más complejos, especialmente para el acceso a historiales médicos compartidos a través de Mi Espacio Sanidad. La integración de EUDI Wallet como mecanismo de consentimiento informado permite al paciente validar, desde su smartphone, el acceso a sus datos por un médico especialista, especificando la duración y el alcance del acceso. La selective disclosure garantiza que solo se compartan los atributos médicos pertinentes. Para los agentes de sanidad, la cartera proporciona su número RPPS (Registro Común de Profesionales de Sanidad) como atributo verificable, eliminando los procesos de verificación manual actuales. Este tipo de despliegue, coherente con el marco del Espacio Europeo de Datos de Sanidad (EHDS), puede reducir los plazos de acceso a los datos de sanidad autorizados de varias horas a pocos segundos. Para saber más sobre los desafíos específicos del sector, nuestra guía sobre firma electrónica en sanidad detalla las restricciones regulatorias aplicables.

Conclusión

EUDI Wallet y el reglamento eIDAS 2 constituyen la transformación más significativa de la identidad digital europea desde una década. Para las empresas, el desafío no es solo conformarse a una nueva regulación, sino aprovechar la oportunidad de modernizar profundamente sus procesos de firma, incorporación y gestión de delegaciones. Los sectores jurídico, de recursos humanos, sanidad e industrial están en primera línea. La clave del éxito radica en la anticipación: evalúa ahora la compatibilidad de tus herramientas actuales, forma a tus equipos y elige socios cuya hoja de ruta esté alineada con eIDAS 2.

Certyneo acompaña a las empresas en esta transición con una plataforma de firma electrónica diseñada para ser compatible con EUDI Wallet desde su despliegue. Descubre nuestras ofertas y comienza gratis para anticipar 2026 con total tranquilidad.