Reglamento eIDAS: todo lo que necesita saber sobre la firma electrónica en Europa
Actualizado el
El reglamento eIDAS es el texto fundador de la firma electrónica en Europa. Define tres niveles de firma (simple, avanzada, cualificada), establece el valor jurídico de los actos electrónicos y regula a los proveedores de servicios de confianza. Esta guía le explica todo lo que debe saber para cumplir la normativa en 2026.
¿Qué es eIDAS y por qué fue creado?
Antes de eIDAS, cada Estado miembro de la Unión Europea tenía su propia regulación sobre firmas electrónicas, creando una fragmentación jurídica que frenaba los intercambios transfronterizos. Una firma electrónica válida en Francia no era necesariamente reconocida en Alemania o España.
El reglamento (UE) n°910/2014, denominado eIDAS (Electronic IDentification, Authentication and trust Services), fue adoptado el 23 de julio de 2014 y entró en vigor el 1 de julio de 2016. Como reglamento (y no directiva), se aplica directa y uniformemente en los 27 Estados miembros, sin necesidad de transposición nacional.
eIDAS persigue tres objetivos principales: crear un mercado digital único en Europa mediante el reconocimiento mutuo de las identidades electrónicas, garantizar la seguridad jurídica de las transacciones electrónicas transfronterizas, e instaurar un marco de confianza para los servicios digitales a través de los proveedores de servicios de confianza cualificados (QTSP — Qualified Trust Service Provider).
Los 3 niveles de firma definidos por eIDAS
eIDAS establece una pirámide de tres niveles de firma electrónica, cada uno con sus propios requisitos técnicos y valor probatorio.
Firma Electrónica Simple
Requisitos eIDAS
- Datos en forma electrónica vinculados a otros datos
- Utilizada para firmar (sin requisitos técnicos específicos)
- Puede ser un simple clic, una casilla marcada o un nombre ingresado
Ejemplos de uso
- Aceptación de términos y condiciones
- Formulario en línea
- Correo de confirmación
Valor jurídico
Valor contractual básico, sin presunción legal
Firma Electrónica Avanzada
Requisitos eIDAS
- Vinculada de manera única al firmante
- Permite identificar al firmante
- Creada con datos bajo control exclusivo del firmante
- Cualquier modificación posterior del documento es detectable
Ejemplos de uso
- Contratos de trabajo
- NDA
- Contratos comerciales
- Mandatos
Valor jurídico
Alto valor probatorio — recomendado para contratos importantes
Firma Electrónica Cualificada
Requisitos eIDAS
- Cumple con todos los requisitos de AES
- Creada por un dispositivo de creación de firma calificada (QSCD)
- Basada en un certificado calificado emitido por un QTSP (lista de confianza UE)
Ejemplos de uso
- Actas auténticas digitales
- Licitaciones exigentes
- Actas reguladas
Valor jurídico
Presunción legal equivalente a la firma manuscrita (art. 25 eIDAS)
eIDAS 2.0: novedades de 2024
El reglamento eIDAS fue revisado por el reglamento (UE) 2024/1183, publicado en el Diario Oficial de la UE el 30 de abril de 2024 y en vigor desde el 20 de mayo de 2024. Esta revisión moderniza el marco inicial para responder a los desafíos del mundo digital contemporáneo: identidad digital de los ciudadanos, nube soberana, resiliencia de los proveedores de confianza.
La medida estrella de eIDAS 2.0 es la Cartera europea de identidad digital (EUDIW). Antes de finales de 2026, cada Estado miembro deberá ofrecer a sus ciudadanos y residentes una aplicación que permita almacenar y presentar certificados de identidad certificados — equivalente digital del carné de identidad, carné de conducir, diplomas. Este cambio tendrá un impacto directo en los procesos de firma calificada.
Cartera de identidad digital (EUDIW)
eIDAS 2.0 introduce la Cartera de Identidad Digital Europea: cada ciudadano europeo podrá almacenar sus certificados de identidad certificados (carné de identidad, carné de conducir, diplomas) en una aplicación móvil interoperable en toda la UE.
Refuerzo de QTSP
Se refuerzan los requisitos aplicables a los proveedores de servicios de confianza calificados (QTSP), en particular en materia de ciberseguridad, auditorías y continuidad de servicio.
Nuevos servicios de confianza
eIDAS 2.0 añade nuevos servicios calificados: archivo electrónico calificado, gestión de datos de atribución calificada, registro electrónico calificado (blockchain certificada).
Interoperabilidad reforzada
Mejor reconocimiento mutuo de identidades digitales entre Estados miembros. Las firmas calificadas emitidas en cualquier país de la UE son reconocidas en todas partes.
¿Cómo ser conforme a eIDAS en la práctica?
La conformidad con eIDAS no se reduce a elegir un nivel de firma. Implica una reflexión sobre todo el proceso: identificación de riesgos, elección de herramientas, conservación de pruebas y gobernanza documental.
Aquí hay una lista de verificación práctica para las empresas que deseen asegurar sus procesos de firma electrónica en conformidad con eIDAS:
Enfoque de conformidad eIDAS de Certyneo
Certyneo implementa los niveles SES (Firma Electrónica Simple) y AES (Firma Electrónica Avanzada) del reglamento eIDAS. La firma avanzada se basa en una autenticación de doble factor: un enlace de uso único enviado por correo electrónico y un código OTP enviado por SMS a través de nuestro proveedor de OTP SMS. Este mecanismo cumple los cuatro criterios del artículo 26 de eIDAS para la firma avanzada.
Cada sobre genera una pista de auditoría completa: fecha y hora de cada acción (envío, apertura del enlace, validación de OTP, apposición de firma, rechazo eventual), dirección IP del firmante, user-agent del navegador. Esta pista de auditoría se integra en la parte inferior de cada página del PDF final (pie de auditoría) y se conserva durante 10 años.
Los datos se alojan en Alemania (UE) (infraestructura IONOS), dentro de la Unión Europea, en conformidad con los requisitos de soberanía digital y RGPD. Consulte nuestra página de seguridad y conformidad para todos los detalles técnicos.
Preguntas frecuentes sobre eIDAS
¿Qué es el reglamento eIDAS?
eIDAS (Identificación Electrónica, Autenticación y Servicios de Confianza) es el reglamento europeo (UE) n°910/2014 que establece un marco jurídico común para firmas electrónicas, sellos electrónicos, marcas de tiempo, servicios de envío certificado electrónico y servicios de autenticación de sitios web en la Unión Europea. Entró en vigor el 1 de julio de 2016 y se aplica directamente en los 27 Estados miembros.
¿Cuál es la diferencia entre eIDAS y eIDAS 2.0?
eIDAS 2.0 (reglamento (UE) 2024/1183, en vigor desde el 20 de mayo de 2024) moderniza eIDAS 1.0 introduciendo especialmente la Cartera Europea de Identidad Digital (EUDIW — European Digital Identity Wallet), que permitirá a los ciudadanos europeos almacenar attestaciones de identidad digital certificadas. Para las empresas, eIDAS 2.0 refuerza los requisitos de los proveedores de servicios de confianza calificados (QTSP) y mejora la interoperabilidad transfronteriza.
¿Tiene valor legal una firma electrónica simple según eIDAS?
Sí. El artículo 25 de eIDAS prohíbe explícitamente rechazar efectos legales a una firma electrónica solo porque sea en forma electrónica. Una firma simple (SES) tiene valor legal, pero no disfruta de la presunción legal reservada para firmas calificadas (QES). En caso de disputa, corresponde a quien invoca la firma probar su autenticidad.
¿Cómo sé qué nivel eIDAS elegir para mis contratos?
La regla general es calibrar el nivel según el riesgo jurídico y comercial del documento. Para documentos comunes de bajo riesgo (presupuestos, pedidos internos), la firma simple es suficiente. Para contratos comerciales importantes, contratos de trabajo, NDA o poderes, se recomienda firma avanzada (AES). La firma calificada (QES) se reserva para situaciones donde la ley la exige explícitamente (ciertos actos administrativos, licitaciones públicas de gran envergadura) o cuando el riesgo de impugnación es máximo.
¿Cómo Certyneo es conforme a eIDAS?
Certyneo implementa la firma simple (SES) y la firma avanzada (AES) conforme a eIDAS. La firma avanzada se basa en un doble OTP correo electrónico + SMS (nuestro proveedor de OTP SMS) que vincula al firmante a su acto. Cada sobre genera una pista de auditoría con marca de tiempo integrada al PDF final. Los datos se alojan en Alemania (UE), conforme a los requisitos de soberanía digital.
¿Se aplica eIDAS a empresas fuera de la Unión Europea?
eIDAS se aplica a los servicios de confianza proporcionados en la UE. Una empresa establecida fuera de la UE que desee que sus firmas sean reconocidas en la UE debe utilizar una solución conforme a eIDAS o un proveedor de confianza calificado (QTSP) reconocido en la lista de confianza de un Estado miembro. Para intercambios B2B internacionales, existen acuerdos de reconocimiento mutuo con algunos países terceros.