Reglamento eIDAS: todo lo que necesita saber sobre la firma electrónica en Europa
Actualizado el
El reglamento eIDAS es el texto fundamental de la firma electrónica en Europa. Define tres niveles de firma (simple, avanzada, calificada), establece el valor legal de los actos electrónicos y regula a los proveedores de servicios de confianza. Esta guía le explica todo lo que necesita saber para estar en conformidad en 2026.
¿Qué es eIDAS y por qué fue creado?
Antes de eIDAS, cada Estado miembro de la Unión Europea tenía su propia regulación sobre firmas electrónicas, creando una fragmentación legal que impedía los intercambios transfronterizos. Una firma electrónica válida en Francia no era necesariamente reconocida en Alemania o España.
El reglamento (UE) n°910/2014, denominado eIDAS (Electronic IDentification, Authentication and trust Services), fue adoptado el 23 de julio de 2014 y entró en vigencia el 1 de julio de 2016. Como reglamento (no directiva), se aplica directa y uniformemente en los 27 Estados miembros, sin necesidad de transposición nacional.
eIDAS persigue tres objetivos principales: crear un mercado digital único en Europa mediante el reconocimiento mutuo de identidades electrónicas, garantizar la seguridad legal de las transacciones electrónicas transfronterizas, e instaurar un marco de confianza para los servicios digitales a través de los proveedores de servicios de confianza calificados (QTSP — Qualified Trust Service Provider).
Los 3 niveles de firma definidos por eIDAS
eIDAS establece una pirámide de tres niveles de firma electrónica, cada uno con sus propias exigencias técnicas y su valor probatorio.
Firma Electrónica Simple
Requisitos eIDAS
- Datos en forma electrónica vinculados a otros datos
- Utilizada para firmar (sin requisitos técnicos específicos)
- Puede ser un simple clic, una casilla marcada o un nombre escrito
Ejemplos de uso
- Aceptación de términos y condiciones
- Formulario en línea
- Correo de confirmación
Valor legal
Valor contractual básico, sin presunción legal
Firma Electrónica Avanzada
Requisitos eIDAS
- Vinculada de manera única al firmante
- Permite identificar al firmante
- Creada con datos bajo el control exclusivo del firmante
- Toda modificación posterior del documento es detectable
Ejemplos de uso
- Contratos de trabajo
- No se puede
- Contratos comerciales
- Poderes
Valor legal
Fuerte valor probatorio — recomendada para contratos importantes
Firma Electrónica Calificada
Requisitos eIDAS
- Cumple con todos los requisitos de AES
- Creada por un dispositivo de creación de firma calificado (QSCD)
- Basada en un certificado calificado emitido por un QTSP (lista de confianza UE)
Ejemplos de uso
- Actos autentificados digitales
- Licitaciones públicas exigentes
- Actos regulados
Valor legal
Presunción legal equivalente a la firma manuscrita (art. 25 eIDAS)
eIDAS 2.0: las novedades de 2024
El reglamento eIDAS fue revisado por el reglamento (UE) 2024/1183, publicado en el Diario Oficial de la UE el 30 de abril de 2024 y en vigor desde el 20 de mayo de 2024. Esta revisión moderniza el marco inicial para responder a los desafíos del ámbito digital contemporáneo: identidad digital de los ciudadanos, cloud soberano, resiliencia de los proveedores de servicios de confianza.
La medida estrella de eIDAS 2.0 es la Cartera europea de identidad digital (EUDIW). Antes de finales de 2026, cada Estado miembro deberá ofrecer a sus ciudadanos y residentes una aplicación que permita almacenar y presentar certificados de identidad autenticados — equivalente digital del carné de identidad, el permiso de conducir, los diplomas. Esta evolución tendrá un impacto directo en los procesos de firma calificada.
Cartera de identidad digital (EUDIW)
eIDAS 2.0 introduce la Cartera Europea de Identidad Digital: cada ciudadano europeo podrá almacenar sus certificados de identidad autenticados (carné de identidad, permiso de conducir, diplomas) en una aplicación móvil interoperable en toda la UE.
Refuerzo de los QTSP
Los requisitos aplicables a los proveedores de servicios de confianza calificados (QTSP) se refuerzan, en particular en materia de ciberseguridad, auditorías y continuidad de servicio.
Nuevos servicios de confianza
eIDAS 2.0 añade nuevos servicios calificados: archivo electrónico calificado, gestión de datos de atribución calificados, registro electrónico calificado (blockchain certificado).
Interoperabilidad reforzada
Mejor reconocimiento mutuo de identidades digitales entre Estados miembros. Las firmas calificadas emitidas en cualquier país de la UE son reconocidas en todos lados.
¿Cómo ser conforme con eIDAS en la práctica?
La conformidad con eIDAS no se reduce a la elección de un nivel de firma. Implica una reflexión sobre el conjunto del proceso: identificación de riesgos, selección de herramientas, conservación de pruebas y gobernanza documental.
Aquí hay una lista de verificación práctica para empresas que deseen asegurar sus procesos de firma electrónica en conformidad con eIDAS:
El enfoque de conformidad eIDAS de Certyneo
Certyneo implementa los niveles SES (Firma Electrónica Simple) y AES (Firma Electrónica Avanzada) del reglamento eIDAS. La firma avanzada se basa en una autenticación de dos factores: un enlace de uso único enviado por correo electrónico y un código OTP enviado por SMS a través de nuestro proveedor de OTP SMS. Este mecanismo cumple los cuatro criterios del artículo 26 de eIDAS para la firma avanzada.
Cada envolvente genera una pista de auditoría completa: marca de tiempo de cada acción (envío, apertura del enlace, validación del OTP, apuesta de firma, rechazo eventual), dirección IP del firmante, agente de usuario del navegador. Esta pista de auditoría se integra al pie de cada página del PDF final (footer de auditoría) y se conserva durante 10 años.
Los datos se alojan en Alemania (UE) (infraestructura IONOS), dentro de la Unión Europea, conforme a los requisitos de soberanía digital y al GDPR. Consulte nuestra página de seguridad y conformidad para todos los detalles técnicos.
Preguntas frecuentes sobre eIDAS
¿Qué es el reglamento eIDAS?
eIDAS (Identificación Electrónica, Autenticación y Servicios de Confianza) es el reglamento europeo (UE) n°910/2014 que establece un marco jurídico común para firmas electrónicas, sellos electrónicos, marcas de tiempo, servicios de entrega electrónica certificada y servicios de autenticación de sitios web en la Unión Europea. Entró en vigor el 1 de julio de 2016 y se aplica directamente en los 27 Estados miembros.
¿Cuál es la diferencia entre eIDAS y eIDAS 2.0?
eIDAS 2.0 (reglamento (UE) 2024/1183, en vigor desde el 20 de mayo de 2024) moderniza eIDAS 1.0 introduciendo principalmente la Cartera Europea de Identidad Digital (EUDIW — European Digital Identity Wallet), que permitirá a los ciudadanos europeos almacenar certificados de identidad digital verificados. Para las empresas, eIDAS 2.0 refuerza los requisitos de los proveedores de servicios de confianza cualificados (QTSP) y mejora la interoperabilidad transfronteriza.
¿Tiene valor legal una firma electrónica simple según eIDAS?
Sí. El artículo 25 de eIDAS prohíbe explícitamente rechazar efectos legales a una firma electrónica solo porque está en forma electrónica. Una firma simple (SES) tiene, por lo tanto, valor legal, pero no se beneficia de la presunción legal reservada para firmas calificadas (QES). En caso de litigio, corresponde a quien invoca la firma probar su autenticidad.
¿Cómo sé qué nivel eIDAS elegir para mis contratos?
La regla general es calibrar el nivel al riesgo legal y comercial del documento. Para documentos comunes con bajo riesgo (presupuestos, órdenes internas), la firma simple es suficiente. Para contratos comerciales importantes, contratos de trabajo, NDA o mandatos, se recomienda la firma avanzada (AES). La firma calificada (QES) se reserva para situaciones donde la ley lo exige explícitamente (ciertos actos administrativos, licitaciones públicas de gran alcance) o cuando el riesgo de impugnación es máximo.
¿Cómo Certyneo cumple con eIDAS?
Certyneo implementa la firma simple (SES) y la firma avanzada (AES) de conformidad con eIDAS. La firma avanzada se basa en un doble OTP correo + SMS (nuestro proveedor de OTP SMS) que vincula el firmante a su acto. Cada sobre genera un registro de auditoría con marca de tiempo integrado en el PDF final. Los datos se alojan en Alemania (UE), de conformidad con los requisitos de soberanía digital.
¿Se aplica eIDAS a empresas fuera de la Unión Europea?
eIDAS se aplica a los servicios de confianza prestados en la UE. Una empresa establecida fuera de la UE que desee que sus firmas sean reconocidas en la UE debe usar una solución conforme con eIDAS o un proveedor de confianza cualificado (QTSP) reconocido en la lista de confianza de un Estado miembro. Para intercambios B2B internacionales, existen acuerdos de reconocimiento mutuo con ciertos países terceros.