Prestadores eIDAS calificados: la lista oficial 2026

¿Por qué el estatus « calificado » eIDAS es decisivo para tu empresa?

Desde la entrada en vigor del Reglamento eIDAS (nº 910/2014), el mercado europeo de firma electrónica se ha reestructurado profundamente en torno a una jerarquía de tres niveles: la firma electrónica simple (SES), la firma electrónica avanzada (AES) y la firma electrónica calificada (QES). Esta última es la única que se beneficia de una presunción legal de equivalencia con la firma manuscrita en todos los Estados miembros de la Unión Europea.

Para que una empresa pueda ofrecer firmas calificadas, debe haber sido obligatoriamente auditada e inscrita en la lista de confianza (Trust List) de su Estado miembro. En Francia, es la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) la que mantiene este registro oficial, que a su vez se republica en la lista europea centralizada gestionada por la Comisión Europea.

Comprender esta arquitectura es fundamental antes de firmar cualquier contrato comercial sensible. Para profundizar en las bases regulatorias, nuestra guía completa sobre el Reglamento eIDAS 2.0 detalla todas las obligaciones y evoluciones introducidas por el reglamento revisado eIDAS 2.0 (Reglamento UE 2024/1183).

---

¿Cómo se certifican los prestadores de servicios de confianza calificados?

El camino hacia el estatus de Prestador de Servicios de Confianza Calificado (PSCQ) es exigente. Implica una auditoría realizada por un organismo de evaluación de la conformidad (CAB, Conformity Assessment Body) acreditado, según las normas ETSI EN 319 401 (requisitos generales) y ETSI EN 319 411-2 para certificados calificados.

Las etapas de calificación ANSSI

1. Presentación del expediente de calificación: el prestador presenta su documentación técnica, de seguridad y organizacional a la ANSSI.
2. Auditoría por un CAB acreditado: un organismo tercero —como Bureau Veritas, LSTI o Apave Certification— verifica la conformidad en sitio y en documentos.
3. Decisión de calificación: la ANSSI declara la calificación e inscribe al prestador en la lista de confianza francesa (TL-FR).
4. Renovación periódica: la calificación se reevalúa, generalmente cada dos años, para garantizar el mantenimiento de los requisitos.

¿Qué verifica concretamente la auditoría?

El auditor examina específicamente:

• La seguridad física de los centros de datos que albergan las claves criptográficas (módulos HSM certificados CC EAL 4+ o FIPS 140-2 Level 3 como mínimo);
• Las políticas de certificación (CP) y las declaraciones de prácticas de certificación (CPS) publicadas por el prestador;
• Los procedimientos de verificación de identidad de los firmantes (cara a cara o verificación de identidad a distancia conforme a la norma EN 419 241-1);
• La gestión de revocaciones y la disponibilidad de servicios OCSP/CRL.

Estos criterios explican por qué solo un puñado de actores alcanzan y mantienen este nivel de certificación en Francia.

---

Los prestadores eIDAS calificados referenciados en Francia en 2026

La lista oficial de prestadores calificados se puede consultar en cualquier momento en el portal oficial de la Comisión Europea (eidas.ec.europa.eu/efts), filtrando por « Francia » y el servicio « QCertESig » (Qualified Certificate for Electronic Signature). Estos son los actores que figuraban en el registro al momento de la redacción de este artículo (junio de 2026):

Actores franceses inscritos en la Trust List

| Prestador | Tipo de servicio calificado | Particularidad | |---|---|---| | Certigna (Dhimyotis) | Certificados calificados, sello de tiempo calificado | Grupo La Poste, certificado eIDAS desde 2016 | | Certinomis | Certificados calificados | Filial La Poste, orientada sector público | | ChamberSign France | Certificados calificados | Red de CCI, fuerte anclaje PYME/TPE | | Keynectis / DocuSign France | Certificados calificados | Adquirido por DocuSign, mantenimiento del label ANSSI | | Universign (Tessi) | Certificados calificados, sello de tiempo | Pionero del mercado, integrado en grupo Tessi | | Entrust (ex-Datacard) | Certificados calificados | Actor internacional, Trust List multi-Estados miembros | | Oodrive Sign | Certificados calificados | Editor soberano francés, certificado SecNumCloud |

> Advertencia: esta lista se proporciona a título indicativo e informativo. Solo la Trust List oficial de la Comisión Europea tiene valor. Verifica siempre el estado actual en el portal ETSI antes de cualquier compromiso contractual.

Prestadores extranjeros reconocidos en Francia a través de la Trust List europea

En virtud del principio de reconocimiento mutuo establecido en el artículo 25 del Reglamento eIDAS, una firma calificada emitida por un PSCQ inscrito en la lista de confianza de otro Estado miembro produce los mismos efectos jurídicos en Francia. Entre los actores no franceses frecuentemente utilizados:

• Namirial (Italia): fuerte en firma calificada a distancia (QES remote signing);
• SwissSign (Suiza): atención, Suiza no es miembro de la UE; el reconocimiento es parcial;
• Qualified.one / Asseco Data Systems (Polonia): actor público europeo, frecuente en mercados transfronterizos.

Para comparar estas soluciones según tus necesidades de negocio, consulta nuestro comparativo de soluciones de firma electrónica que analiza criterios de precio, conformidad e integración API.

---

¿Cómo elegir el prestador eIDAS calificado adecuado para tu organización?

Figurar en la Trust List es una condición necesaria, pero no suficiente. La elección de un PSCQ debe apoyarse en varios criterios complementarios.

Criterios técnicos e integración

• API REST o SDK disponible: indispensable para automatizar la firma en tus flujos de negocio (ERP, SIRH, CRM);
• Formatos de firma soportados: PAdES para PDF, XAdES para XML, CAdES para archivos binarios — todos normalizados por ETSI EN 319 100;
• Disponibilidad del servicio: SLA superior a 99,9% garantizado contractualmente, con ventanas de mantenimiento previstas fuera del horario de oficina;
• Alojamiento de datos: prefiere un alojamiento en Francia o en la UE, idealmente certificado SecNumCloud para datos sensibles.

Criterios jurídicos y conformidad

• Verifica que el prestador proporcione un informe de calificación actualizado (menos de 24 meses);
• Exige una política de certificación publicada (CP) accesible públicamente y auditada;
• Asegúrate de que las condiciones generales prevean explícitamente la emisión de certificados calificados según el Anexo I del Reglamento eIDAS.

Criterios operacionales y soporte

• Procedimiento de inscripción de firmantes: cara a cara en agencia, identificación por video conforme a eIDAS o NFC desde un título de identidad electrónica;
• Soporte en francés con plazos de respuesta contractuales;
• Capacitación y documentación disponibles para tus equipos jurídicos e IT.

Si tu organización gestiona importantes flujos documentales de RR.HH., nuestra página dedicada a la firma electrónica para equipos de RR.HH. detalla casos de uso específicos (contratos de trabajo, enmiendas, onboarding) y los niveles de firma recomendados por tipo de documento.

---

eIDAS 2.0: ¿qué cambios para los prestadores calificados en 2026?

El Reglamento eIDAS 2.0 (Reglamento UE 2024/1183, en aplicación progresiva desde mayo de 2024) introduce varias evoluciones estructurales que impactan directamente en los PSCQ y sus clientes.

La Cartera Europea de Identidad Digital (EUDI Wallet)

El artículo 6a del reglamento revisado obliga a los Estados miembros a ofrecer, antes de septiembre de 2026, una cartera de identidad digital (EUDI Wallet) reconocida en toda la UE. Para los prestadores calificados, esto significa:

• La obligación de aceptar los atributos de identidad procedentes de la cartera como prueba de identidad para la inscripción de firmantes;
• La emergencia de un nuevo servicio calificado: la emisión de certificaciones de atributos calificados (Qualified Electronic Attestation of Attributes, QEAA).

Nuevos servicios calificados y ampliación del perímetro

eIDAS 2.0 amplía la lista de servicios de confianza calificados para incluir:

• Los servicios de archivo electrónico calificado (QPDS, artículo 45f);
• Los servicios de gestión de dispositivos de creación de firma a distancia (QRCD).

Estas evoluciones representan tanto una limitación de cumplimiento normativo (plazos apretados para prestadores existentes) como una oportunidad de diferenciación para nuevos entrantes capaces de integrar rápidamente las especificaciones técnicas publicadas por la ENISA y ETSI.

Para las empresas que contemplan una migración desde una plataforma existente hacia una solución más conforme, nuestra guía de migración desde DocuSign o YouSign hacia Certyneo presenta los pasos concretos y los puntos de vigilancia regulatoria.

Marco legal aplicable a los prestadores eIDAS calificados

Reglamento eIDAS y derecho europeo

El fundamento jurídico es el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (denominado « reglamento eIDAS »), tal como se modifica por el Reglamento (UE) 2024/1183 (eIDAS 2.0). Este reglamento es directamente aplicable en todos los Estados miembros sin necesidad de transposición nacional.

Sus disposiciones clave para los prestadores calificados:

• Artículo 17: obligación de cada Estado miembro de designar un organismo de control (en Francia, la ANSSI);
• Artículo 20: procedimiento de supervisión, auditoría e inscripción en la lista de confianza;
• Artículo 25: presunción de equivalencia entre QES y firma manuscrita, con efecto jurídico garantizado en toda la UE;
• Anexo I: requisitos relativos a certificados calificados para firma electrónica;
• Anexo II: requisitos relativos a dispositivos de creación de firma calificada (QSCD).

Derecho francés

En el derecho interno, la firma electrónica está regulada por:

• Código Civil, artículos 1366 y 1367: el artículo 1366 reconoce el valor probatorio del escrito electrónico siempre que garantice la identidad del autor y la integridad del documento. El artículo 1367 precisa que la firma electrónica consistente en un procedimiento fiable de identificación se presume fiable cuando se crea de conformidad con el decreto de aplicación;
• Decreto nº 2017-1416 de 28 de septiembre de 2017: define las condiciones en que la firma electrónica calificada se presume fiable en Francia, remitiendo explícitamente al Reglamento eIDAS;
• Ordenanza nº 2005-674 de 16 de junio de 2005 relativa a la realización de ciertos trámites contractuales por vía electrónica.

Protección de datos personales

Los procesos de inscripción y firma implican el tratamiento de datos personales (datos de identidad, biometría para identificación por video). El prestador calificado está sujeto al Reglamento (UE) 2016/679 (RGPD) y debe en particular:

• Designar un DPO si el tratamiento es a gran escala;
• Documentar los tratamientos en el registro de la CNIL;
• Enmarcar las transferencias fuera de la UE por garantías apropiadas (cláusulas contractuales tipo, decisión de adecuación).

Ciberseguridad y resiliencia

Desde octubre de 2024, la Directiva NIS2 (2022/2555/UE) se aplica a los prestadores de servicios de confianza calificados, clasificados como entidades esenciales. Deben implementar medidas de gestión de riesgos cibernéticos, notificar incidentes significativos a la ANSSI dentro de 24 horas, y someterse a auditorías periódicas. El incumplimiento expone a multas de hasta 10 millones de euros o el 2% del volumen de negocios anual mundial.

Normas técnicas de referencia

• ETSI EN 319 401: requisitos generales para prestadores de servicios de confianza;
• ETSI EN 319 411-2: perfil de política para certificados calificados;
• ETSI EN 319 132: formatos de firma XAdES;
• ETSI EN 319 122: formatos de firma CAdES;
• ETSI EN 319 162: formatos de firma PAdES (PDF).

Escenarios de uso: ¿cuándo es indispensable la firma calificada eIDAS?

Escenario 1 — Un despacho de abogados que gestiona actos bajo firma privada con alto valor probatorio

Un despacho de abogados de negocios de unos veinte colaboradores trata cada mes varias decenas de cesiones de participaciones sociales, protocolos de acuerdo y convenios de garantía de activos y pasivos (GAP). Estos actos comprometen sumas a menudo superiores a varios cientos de miles de euros y son susceptibles de ser impugnados en juicio.

Antes de migrar hacia un prestador eIDAS calificado, el despacho utilizaba una solución de firma avanzada (AES), lo que era suficiente para la mayoría de actos corrientes. Tras un incidente en el que la parte contraria cuestionó la autenticidad de una firma durante un litigio, el despacho optó por la QES para todos los actos de alto riesgo. Resultado: reducción del 90% del tiempo dedicado a producir pruebas de firma durante procedimientos contenciosos, gracias a la presunción legal irrefutable vinculada a la QES. El sobrecosto unitario por firma (alrededor de 2 a 5 € según volúmenes) fue completamente absorbido por la reducción de gastos contenciosos.

Escenario 2 — Una ETI industrial que gestiona contratos de proveedores transfronterizos

Una empresa de tamaño mediano (ETI) del sector de equipo industrial, con proveedores establecidos en Francia, Alemania, Italia y Polonia, debía hasta entonces enviar sus contratos marco por correo postal u organizar encuentros de firma presencial, generando plazos de 10 a 21 días laborales por contrato.

Al desplegar una solución conectada a un PSCQ europeo inscrito en la Trust List, la empresa redujo el ciclo de firma a menos de 48 horas en promedio. El reconocimiento mutuo entre Estados miembros garantiza el valor jurídico sin necesidad de legalización adicional. En un portafolio de 350 contratos de proveedores anuales, la ganancia estimada en costos administrativos y logísticos supera 40 000 € por año, según horquillas coherentes con los estudios sectoriales publicados por ACFE y APQC.

Escenario 3 — Un agrupamiento hospitalario sujeto a requisitos del sector sanitario

Un agrupamiento hospitalario de aproximadamente 1 200 camas debe firmar electrónicamente licitaciones públicas, convenios de investigación clínica y contratos de médicos hospitalarios. Estos documentos están sujetos al Código de Contratación Pública, que exige firma electrónica conforme al RGS (Referencial General de Seguridad) de nivel ** o, desde la desmaterialización de licitaciones públicas, a un nivel equivalente eIDAS.

Al apoyarse en un PSCQ inscrito en la Trust List francesa, el agrupamiento garantiza la conformidad con el artículo R. 2132-7 del Código de Contratación Pública mientras reduce los plazos de firma de licitaciones de 15 días a menos de 72 horas. La integración API con el sistema de información hospitalario (SIH) permitió automatizar el envío y seguimiento de documentos, liberando aproximadamente 0,4 ETP en tareas administrativas relacionadas con contratos.

Conclusión

Elegir un prestador eIDAS calificado no es una simple compra de software: es una decisión estratégica que compromete el valor probatorio de tus actos, la conformidad regulatoria de tu organización y la confianza de tus socios comerciales e institucionales. En 2026, con la entrada en vigor progresiva de eIDAS 2.0 y las nuevas obligaciones NIS2, el nivel de exigencia solo aumenta.

Los puntos esenciales a recordar: verifica sistemáticamente la inscripción en la Trust List oficial, exige una política de certificación publicada, y adapta el nivel de firma (QES, AES, SES) al riesgo jurídico de cada documento.

Certyneo te acompaña en este camino dándote acceso a certificados calificados a través de PSCQ referenciados, una API de integración robusta y soporte jurídico dedicado. ¿Listo para pasar a firma calificada? Solicita una demostración o crea tu cuenta en Certyneo y pon tu organización en conformidad hoy mismo.