Transición eIDAS 1 a 2: impactos en la firma en 2025

El 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — fue publicado en el Diario Oficial de la Unión Europea, derogando progresivamente el reglamento n°910/2014 (eIDAS 1). Este texto representa la reforma más estructurante de la identidad digital y la firma electrónica en Europa desde 2016. Para las empresas chilenas que utilizan soluciones de firma electrónica en sus flujos contractuales, la transición no es una formalidad: implica ajustes técnicos, jurídicos y organizacionales cuyo horizonte se extiende hasta 2026 y más allá. Comprender el paso de eIDAS 1 a eIDAS 2 y su impacto en la firma electrónica en 2025 se ha convertido en una prioridad para las direcciones jurídicas, DSI y RRHH. Este artículo descifra las evoluciones fundamentales del marco, el calendario preciso de la transición y las medidas concretas a tomar para mantenerse conforme.

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la refundición de 2024: por qué era necesaria una revisión

eIDAS 1 había sentado las bases del reconocimiento mutuo de firmas electrónicas dentro de la Unión. Tres niveles jerárquicos — simple (SES), avanzada (AdES) y calificada (QES) — estructuraban el valor probatorio de las firmas, basados en una lista de proveedores de confianza (TSL). Pero en diez años, dos deficiencias principales aparecieron.

Primero, el reglamento original se aplicaba esencialmente a las relaciones con las administraciones públicas (G2B, G2C). No creaba obligaciones directas en las transacciones privadas (B2B, B2C), dejando un vacío normativo que cada Estado miembro llenaba de manera heterogénea. En segundo lugar, el auge de los servicios digitales — aplicaciones móviles, banca abierta, telemedicina — había revelado la ausencia de un sistema de identidad digital portátil e interoperable a nivel continental.

eIDAS 2 responde a estos dos desafíos introduciendo el monedero europeo de identidad digital (EU Digital Identity Wallet, EUDIW) y ampliando el alcance de los servicios de confianza a nuevos casos de uso: archivo electrónico calificado, certificaciones de atributos calificados, registros electrónicos calificados (incluyendo aplicaciones blockchain certificadas).

Las nuevas categorías de servicios de confianza calificados

El reglamento eIDAS 2 extiende la lista de servicios de confianza calificados (artículo 3 y anexo IV revisado). Además de las firmas, sellos y sellos de tiempo calificados ya reconocidos por eIDAS 1, ahora son calificados:

• Los servicios de archivo electrónico calificado (art. 34 bis): obligación de preservar la integridad y legibilidad de los documentos firmados a largo plazo, con requisitos reforzados para los proveedores (QTSP).
• Los servicios de gestión de dispositivos de creación de firma a distancia calificados (QRCD): regulación reforzada de las soluciones de firma a distancia mediante HSM (Hardware Security Module) en la nube.
• Las certificaciones de atributos calificados: mecanismo que permite a un tercero de confianza certificar atributos de una entidad (ej. calidad de abogado, estatus de médico) sin revelar el conjunto de la identidad.
• Los registros electrónicos calificados: reconocimiento de registros distribuidos bajo condiciones estrictas de auditabilidad y resiliencia.

Para los usuarios de soluciones de firma electrónica, esta extensión significa que los servicios de confianza calificados disponibles en el mercado se diversificarán, y que los criterios de selección de un proveedor (QTSP) deben integrar estas nuevas capacidades.

El EUDIW: el monedero de identidad digital como infraestructura de la firma

La innovación más visible de eIDAS 2 sigue siendo el EUDIW. Cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes un monedero de identidad digital gratuito, interoperable con todos los demás Estados miembros, antes del 26 de noviembre de 2026 (plazo de conformidad nacional según el artículo 5 bis). Este monedero permitirá:

• autenticar al usuario con un nivel de seguridad alto (LoA High) sin recurrir a un proveedor tercero de identificación;
• firmar electrónicamente documentos con valor calificado (QES) directamente desde el monedero;
• compartir atributos de identidad selectivos (selective disclosure), respetando así el principio de minimización de datos del RGPD.

Para las empresas, el EUDIW simplifica teóricamente los procedimientos de verificación de identidad previos a la firma calificada, eliminando la fricción de la videoidentificación o la identificación presencial. En la práctica, el impacto dependerá del ritmo de despliegue nacional — Chile está en proceso de evaluar la implementación de sistemas similares en coordinación con directivas internacionales.

Calendario preciso de la transición eIDAS 1 a eIDAS 2

Los hitos regulatorios a conocer

El reglamento 2024/1183 entró en vigencia el 20 de mayo de 2024, pero su aplicación es progresiva. Aquí están los hitos clave:

| Fecha | Evento | |------|----------| | 20 de mayo de 2024 | Publicación en DOUE, entrada en vigencia formal | | 20 de noviembre de 2024 | Plazo de 6 meses para la adopción de actos de ejecución por la Comisión (especificaciones técnicas del EUDIW) | | Fin de 2025 | Publicación de normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando requisitos eIDAS 2 | | 26 de mayo de 2026 | Fecha límite para la conformidad de los Estados miembros sobre nuevas categorías de servicios calificados | | 26 de noviembre de 2026 | Puesta a disposición obligatoria del EUDIW por cada Estado miembro | | 2027-2028 | Revisión completa de las listas de confianza nacionales (TSL) y acreditación de nuevos QTSP |

eIDAS 1 sigue siendo válida y las firmas emitidas bajo su régimen conservan su pleno valor jurídico. No hay ninguna obligación de resfirmar documentos existentes. Por el contrario, los proveedores de confianza calificados deberán renovar su acreditación según las nuevas normas técnicas antes de 2027.

Lo que no cambia y lo que debe vigilarse

La continuidad es un principio cardinal de la transición. Los tres niveles de firma (SES, AdES, QES) se mantienen con sus definiciones sin cambios. La presunción de equivalencia con una firma manuscrita asociada a la QES (artículo 25 eIDAS 1, retomado en el artículo 27 eIDAS 2) sigue en vigencia. El valor probatorio de sus firmas electrónicas actuales no se cuestiona.

Lo que debe vigilarse en cambio: los actos de ejecución (implementing acts) publicados por la Comisión Europea a lo largo de 2025-2026 fijarán las especificaciones técnicas precisas del EUDIW y de las nuevas categorías de servicios. Estos textos de nivel 2 tienen una importancia práctica considerable para los integradores y editores de software. Para las empresas utilizando la firma electrónica en sus procesos de RRHH o jurídicos, se recomienda pedir a su proveedor una hoja de ruta de conformidad eIDAS 2.

Impacto concreto en las empresas y sus soluciones de firma

¿Qué flujos están concernidos en prioridad?

La transición eIDAS 1 a eIDAS 2 no tiene el mismo impacto según el nivel de firma utilizado. Para las empresas, tres situaciones se distinguen:

Firma electrónica simple (SES): utilizada para enmiendas de bajo valor, acuses de recibo, formularios internos. Ninguna obligación de actualización inmediata. Las reglas probatorias siguen siendo regidas por el Código Civil (art. 1366-1367) y no directamente por eIDAS.

Firma electrónica avanzada (AdES/AdESQC): las empresas que utilizan soluciones B2B para contratos comerciales, contratos de trabajo desmaterializados o actos inmobiliarios deben verificar que su proveedor mantiene conformidad con las normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) y EN 319 142 (PAdES) en sus versiones revisadas para eIDAS 2. Estas normas serán publicadas por ETSI antes de fin de 2025.

Firma electrónica calificada (QES): los proveedores calificados (QTSP) deberán pasar a una nueva acreditación eIDAS 2. El período transitorio otorga un plazo razonable (hasta 2027), pero los procesos de licitación iniciados a partir de 2025 deberían integrar una cláusula de conformidad eIDAS 2 en los criterios de selección. Para las organizaciones comparando opciones disponibles, el comparativo de soluciones de firma electrónica permite evaluar la madurez de los editores en este tema.

Nuevos requisitos para los proveedores de confianza calificados (QTSP)

eIDAS 2 endurece los requisitos aplicables a los QTSP en tres puntos mayores:

1. Seguridad de sistemas: alineación obligatoria con NIS2 (directiva (UE) 2022/2555) para los QTSP, ahora clasificados como entidades esenciales. Esto se traduce en obligaciones de notificación de incidentes en 24 horas, auditorías de seguridad anuales y la implementación de planes de continuidad del negocio.

1. Responsabilidad reforzada: el artículo 13 eIDAS 2 amplía el régimen de responsabilidad de los QTSP. En caso de incumplimiento probado, la carga de la prueba se invierte: el proveedor debe demostrar que no cometió negligencia, y no al contrario.

1. Interoperabilidad obligatoria: los QTSP deberán exponer APIs estandarizadas compatibles con el EUDIW para permitir la integración nativa de monederos de identidad. Este requisito acelerará la modernización de las interfaces de integración disponibles para los desarrolladores.

Para las empresas considerando cambiar de proveedor en este contexto, migrar de DocuSign o YouSign hacia una solución conforme eIDAS 2 es un enfoque que merece ser anticipado desde ahora en lugar de en urgencia en 2027.

Datos personales y eIDAS 2: la articulación con el RGPD

El EUDIW recoge y trata datos de identidad de carácter personal. El reglamento eIDAS 2 prevé explícitamente (considerando 11 y artículo 5 bis §14) que el conjunto del dispositivo debe ser conforme al RGPD (reglamento (UE) 2016/679). Varios puntos de atención:

• Selective disclosure: el monedero debe permitir al usuario compartir solo los atributos estrictamente necesarios para la transacción (principio de minimización, art. 5(1)(c) RGPD). Para una firma de contrato, solo la verificación de mayoría de edad podría compartirse sin revelar la fecha de nacimiento completa.
• Transferencias fuera de la UE: los datos de identidad tratados en el marco del EUDIW no pueden ser transferidos fuera del EEE salvo con garantías apropiadas (art. 46 RGPD). Los proveedores utilizando infraestructuras en la nube estadounidenses deben documentar su conformidad.
• Conservación de registros de firma: el archivo de las pruebas de firma debe respetar la duración de conservación proporcional a la naturaleza del documento. El nuevo servicio de archivo calificado eIDAS 2 ofrece un marco técnico para responder a este requisito.

Las empresas que manejan contratos de trabajo internacionales están particularmente concernidas por esta articulación RGPD/eIDAS 2, especialmente cuando los signatarios residen fuera de la UE.

Marco legal aplicable a la transición eIDAS 1 a eIDAS 2

Textos de referencia

La transición se basa en un conjunto de textos que es indispensable dominar:

A nivel europeo:

• Reglamento (UE) n°910/2014 (eIDAS 1): aún en vigencia hasta su derogación progresiva por eIDAS 2. Define los tres niveles de firma (SES, AdES, QES) y el régimen de los QTSP.
• Reglamento (UE) 2024/1183 (eIDAS 2): entrado en vigencia el 20 de mayo de 2024. Modifica sustancialmente eIDAS 1 sin derogarlo inmediatamente. Las disposiciones relativas al EUDIW se aplican desde la publicación de los actos de ejecución.
• Reglamento (UE) 2016/679 (RGPD): se aplica integralmente al tratamiento de datos de identidad en el marco del EUDIW y de los procesos de firma. El artículo 5 bis §14 de eIDAS 2 recuerda esta subordinación explícitamente.
• Directiva (UE) 2022/2555 (NIS2): impone obligaciones de ciberseguridad reforzadas a los QTSP, ahora clasificados como entidades esenciales. Transpuesta en derecho francés por la ordenanza n°2024-821 del 20 de junio de 2024 (en curso de decreto de aplicación).

A nivel nacional (Chile):

• Leyes sobre firma electrónica y comercio electrónico: Chile cuenta con la Ley n° 19.799 de 1999 sobre documentos electrónicos y firma electrónica, que establece el marco para el reconocimiento de las firmas electrónicas. Esta normativa debe alinearse progresivamente con los estándares eIDAS 2.
• Marco de ciberseguridad: en contexto de NIS2, las entidades públicas y proveedores de servicios críticos en Chile deben implementar estándares de seguridad equivalentes, gestionados por CSIRT Chile y coordinados con la política de seguridad digital nacional.

Normas técnicas ETSI aplicables

Las normas ETSI constituyen el nivel 3 de la jerarquía normativa. Las versiones actuales aplicables:

• EN 319 132-1/2: formato XAdES (firmas XML avanzadas)
• EN 319 122-1/2: formato CAdES (firmas CMS avanzadas)
• EN 319 142-1/2: formato PAdES (firmas PDF avanzadas)
• EN 319 401: requisitos generales para proveedores de servicios de confianza
• EN 319 411-1/2: requisitos para AC que emiten certificados calificados

Estas normas serán revisadas antes de fin de 2025 para integrar los nuevos requisitos de eIDAS 2. Los contratos con los QTSP deben incluir una cláusula de actualización hacia las versiones revisadas sin sobrecosto.

Riesgos jurídicos de incumplimiento

Una firma emitida por un proveedor que ya no estuviera acreditado después de 2027 no perdería automáticamente su valor jurídico para los documentos ya firmados, pero ya no se beneficiaría de la presunción legal de equivalencia con una firma manuscrita (art. 25 eIDAS). La carga de la prueba de la integridad e identidad del firmante recaería entonces enteramente en la empresa en caso de litigio. Este riesgo probatorio es particularmente sensible para los actos cuyo plazo de prescripción es largo (5 años en materia comercial, 30 años para derechos reales inmobiliarios).

Escenarios de uso: cómo las organizaciones anticipan la transición eIDAS 2

Escenario 1: un despacho de abogados de 25 colaboradores racionaliza su conformidad documental

Un despacho de abogados especializado en derecho corporativo, con aproximadamente 25 colaboradores y una actividad intensa de firma de mandatos, actos de cesión y protocolos de acuerdo, utilizaba hasta 2024 una solución de firma avanzada (AdES) para la totalidad de sus flujos. Ante el anuncio de eIDAS 2, el despacho realizó una auditoría de sus 1.200 documentos firmados anualmente para identificar aquellos que necesitaban una QES según las nuevas recomendaciones de su colegio profesional.

Resultado: 15% de los actos (aproximadamente 180 por año) fueron reclasificados hacia la firma calificada, lo que permitió asegurar el régimen probatorio de estos documentos. El despacho negoció con su editor de firma una cláusula que garantizaba la conformidad eIDAS 2 desde la publicación de los actos de ejecución, sin sobrecosto. El tiempo administrativo vinculado a la verificación de identidad de los signatarios disminuyó en 40% gracias a la anticipación de la integración EUDIW planeada para 2026.

Escenario 2: una PYME industrial de 150 empleados asegura su cadena contractual de proveedores

Una PYME industrial que gestiona aproximadamente 350 contratos de proveedores por año — órdenes de compra, NDA, contratos-marco — funcionaba con dos soluciones de firma distintas para sus flujos internos y externos, creando una fragmentación de las pruebas de auditoría. En el contexto de la transición eIDAS 2 y los nuevos requisitos de archivo calificado, la DSI decidió unificar su plataforma.

Al migrar hacia una solución única integrando el archivo electrónico calificado (futura categoría eIDAS 2), la PYME redujo sus costos de almacenamiento asegurado en 30% y consolidó sus pruebas de firma en un cofre-fuerte digital conforme. El conjunto de la cadena documental es ahora auditable en menos de 2 minutos durante los controles de proveedores — un requisito creciente de sus clientes en la industria manufacturera.

Escenario 3: un grupo hospitalario de aproximadamente 600 camas prepara la integración EUDIW

Un grupo hospitalario público utilizaba la firma electrónica calificada para sus contratos médicos y sus mercados públicos, conforme a las obligaciones del código de compra pública. Con eIDAS 2, el servicio informático identificó dos desafíos prioritarios: la futura integración de un monedero de identidad digital para los médicos libres interviniendo en el establecimiento, y la conformidad NIS2 de su QTSP.

El grupo inscribió en su esquema director digital 2025-2028 un lote específico «conformidad eIDAS 2», con un presupuesto previsto de 45.000 EUR para la migración técnica y la capacitación de agentes. El objetivo es poder aceptar firmas mediante EUDIW desde el despliegue nacional previsto para noviembre de 2026, reduciendo así los plazos de contractualización con profesionales de la salud libres de 3 días a menos de 4 horas en promedio según los benchmarks sectoriales disponibles.

Conclusión

La transición eIDAS 1 a eIDAS 2 no es una ruptura sino una evolución estructurada, con un calendario preciso extendiéndose hasta 2027. Los impactos en la firma electrónica son reales — extensión de los servicios calificados, llegada del EUDIW, endurecimiento de los requisitos NIS2 para los QTSP — pero manejables en la medida que sean anticipados. Las empresas que actúan ahora se benefician de un margen de maniobra para auditar sus flujos, asegurar sus contratos con sus proveedores y capacitar a sus equipos sin presión de urgencia regulatoria.

Certyneo acompaña a las empresas en esta transición con una hoja de ruta de conformidad eIDAS 2 clara, formatos de firma mantenidos actualizados y una arquitectura lista para la integración EUDIW. ¿Listo para asegurar tus flujos de firma en este nuevo marco regulatorio? Descubre nuestras ofertas y comienza gratuitamente en Certyneo.