eIDAS 2 Cartera de Identidad Digital: Guía 2026

La entrada en vigencia del reglamento eIDAS 2 marca un punto de inflexión histórico para la gestión de la identidad digital en Europa. Con el EUDI Wallet — European Digital Identity Wallet — cada ciudadano y cada empresa dispondrá pronto de una cartera digital soberana, interoperable y reconocida en los 27 Estados miembros. Para las direcciones jurídicas, RH, cumplimiento y TI, este proyecto regulatorio abre tantas oportunidades como desafíos operacionales. Este artículo descifra el funcionamiento técnico y jurídico del EUDI Wallet, sus implicaciones concretas para las empresas y la manera en que se articula con las soluciones de firma electrónica cualificada ya implementadas.

¿Qué es eIDAS 2 y el EUDI Wallet?

Del reglamento eIDAS 1.0 al reglamento eIDAS 2.0: una evolución estructural

Adoptado en 2014, el reglamento eIDAS n°910/2014 sentó las bases de la confianza digital en Europa: firmas electrónicas cualificadas, sellos, marcas de tiempo y servicios de autenticación. Pero una década después, sus limitaciones se hicieron evidentes: interoperabilidad insuficiente entre Estados miembros, adopción desigual de identidades digitales nacionales, ausencia de una cartera unificada. El reglamento (UE) 2024/1183, denominado eIDAS 2, adoptado formalmente el 11 de abril de 2024 en el Diario Oficial de la UE, corrige estas brechas al imponer un marco común de identidad digital soberana.

Para profundizar en el conjunto del nuevo marco regulatorio, consulta nuestra guía completa sobre el reglamento eIDAS 2.0.

El EUDI Wallet: arquitectura y principios fundadores

El EUDI Wallet (European Digital Identity Wallet) es una aplicación móvil y/o de software que cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes a más tardar en 2026, de conformidad con el artículo 5a del reglamento revisado. Concretamente, esta cartera digital permite:

• Almacenar y presentar atributos de identidad verificados: documento de identidad, permiso de conducir, diplomas, acreditaciones profesionales, número de IVA comunitario para personas jurídicas.
• Autenticar al usuario ante servicios públicos y privados en niveles de aseguramiento elevados (LoA High según el anexo I del reglamento).
• Firmar electrónicamente documentos con un nivel cualificado, apoyándose en Dispositivos Cualificados de Creación de Firma Electrónica (QSCD) certificados.
• Compartir selectivamente los datos (principio de selective disclosure) sin revelar más información de la necesaria — una contribución importante para la conformidad RGPD.

La arquitectura se basa en las especificaciones técnicas publicadas por la Comisión Europea a través del Marco de Arquitectura y Referencia (ARF), mantenido por el consorcio EUDIW (European Digital Identity Wallet). Los formatos de presentación adoptados incluyen ISO/IEC 18013-5 (mDL — mobile Driver's Licence) y SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dos estándares abiertos que garantizan la portabilidad.

¿Quién está afectado? Empresas relayos (Relying Parties)

El reglamento eIDAS 2 introduce la noción de Relying Party (parte confiada). Cualquier organización — empresa privada, administración, plataforma en línea — que acepte atributos de identidad provenientes del EUDI Wallet debe registrarse ante su Estado miembro y respetar un conjunto de obligaciones técnicas y de seguridad. El artículo 5b del reglamento precisa que las grandes plataformas (en el sentido de la DSA) y ciertos sectores (banca, sanidad, energía) estarán obligados a aceptar el EUDI Wallet desde la entrada en producción nacional.

Funcionamiento técnico del EUDI Wallet para las empresas

El flujo de autenticación y firma paso a paso

Entender el flujo técnico es imprescindible para anticipar la integración en los sistemas de información. Un escenario típico de firma de contrato vía EUDI Wallet se desarrolla así:

1. Inicialización: la Relying Party (p. ej.: tu plataforma SaaS) genera una solicitud de presentación conforme al protocolo OpenID4VP (OpenID for Verifiable Presentations).
2. Notificación: el usuario recibe una notificación en su EUDI Wallet móvil.
3. Consentimiento y selección: el usuario elige los atributos a compartir (nombre, apellido, fecha de nacimiento) a través de la interfaz selective disclosure.
4. Presentación verificable: la cartera genera una prueba criptográfica firmada por el Emisor de Confianza (el Estado miembro o un proveedor acreditado).
5. Verificación: la Relying Party verifica la prueba a través del registro de confianza europeo (Trust Framework), sin almacenar datos superfluos.
6. Firma cualificada: si se requiere un acto de firma, el QSCD incorporado en la cartera o alojado en la nube (QSign) produce una firma cualificada conforme a ETSI EN 319 132.

Este flujo garantiza un nivel de aseguramiento LoA High, el más elevado previsto por el reglamento, equivalente a una verificación cara a cara.

Integración con plataformas de firma electrónica existentes

Los editores de soluciones de firma electrónica deben integrar los protocolos OpenID4VCI (emisión) y OpenID4VP (presentación) para conectarse al ecosistema EUDI. Para las empresas que ya utilizan una plataforma conforme a eIDAS 1.0, la transición a eIDAS 2 implica una actualización de versión técnica, pero preserva el valor jurídico de las firmas ya realizadas. Por lo tanto, es estratégico evaluar la hoja de ruta de tu proveedor actual, especialmente si consideras migrar de DocuSign o YouSign a una solución más conforme.

Identidad digital de personas jurídicas: el desafío empresarial

EIDAS 2 no se limita a personas físicas. El artículo 5a §3 prevé explícitamente carteras para personas jurídicas, permitiendo a las empresas:

• Probar su existencia legal (equivalente a un extracto Kbis digital verificable).
• Delegar poderes de firma a sus colaboradores de manera auditada y revocable.
• Automatizar la verificación de KYB (Know Your Business) en procesos contractuales B2B.

Esta dimensión es especialmente transformadora para los procesos de firma electrónica en la empresa, particularmente en los sectores RH, jurídico y financiero.

Calendario de despliegue y obligaciones regulatorias 2024-2026

Fases de implementación según el reglamento

El reglamento (UE) 2024/1183 fija un calendario vinculante:

• Abril de 2024: publicación en el Diario Oficial, entrada en vigor 20 días después.
• Fin de 2024: publicación de actos de ejecución (Implementing Acts) que definen las especificaciones técnicas obligatorias.
• 2025: despliegue de carteras piloto nacionales (proyectos large-scale pilots: EU Digital Identity Wallet Large Scale Pilots, financiados con 46 millones de euros por la Comisión).
• Fin de 2026: puesta a disposición obligatoria por todos los Estados miembros de al menos un EUDI Wallet operacional. Las grandes plataformas y sectores regulados deberán aceptarlo.

Para las empresas francesas, el despliegue se apoya en la identidad digital La Poste y los trabajos de la ANSSI respecto a la certificación de Emisores de Confianza nacionales.

Obligaciones para las Relying Parties

Las empresas que deseen o deban aceptar el EUDI Wallet están sujetas a varias obligaciones:

1. Registro ante la autoridad nacional competente (en Francia, la ANSSI y la CNIL según los casos).
2. Conformidad técnica con las especificaciones del ARF v2.x publicadas en GitHub por la Comisión Europea.
3. Transparencia: publicar en un registro público los atributos solicitados y la finalidad del tratamiento.
4. Minimización de datos: solicitar solo los atributos estrictamente necesarios — obligación reforzada por el RGPD.
5. Registro de auditoría: conservar los registros de las presentaciones verificables para auditoría, sin almacenar los datos de identidad brutos.

Las empresas que integren el EUDI Wallet en sus flujos de firma electrónica para bufetes de abogados o para la gestión de RH obtendrán una ventaja competitiva significativa a partir de 2026.

Desafíos estratégicos y oportunidades para las empresas

Reducción de fricciones en procesos KYC/KYB

Uno de los beneficios más inmediatos del EUDI Wallet es la eliminación de verificaciones de identidad manuales. Hoy en día, la incorporación de un nuevo cliente o socio implica el envío de justificantes, verificaciones humanas y plazos de procesamiento. Con el EUDI Wallet, la verificación se vuelve instantánea, criptográficamente certificada y auditada. Los sectores bancario, inmobiliario y de seguros — sujetos a obligaciones ALA-CFT — ven aquí una oportunidad importante para la conformidad automatizada. El sector de la firma electrónica en bienes raíces se ve particularmente impactado, con procesos de verificación de identidad que hoy representan hasta el 40 % del tiempo administrativo.

Soberanía digital y reducción de la dependencia de los GAFAM

El EUDI Wallet responde a una ambición política fuerte: reducir la dependencia de los europeos de sistemas de identidad operados por actores no europeos (Google, Apple, Meta). Para las empresas, esto se traduce en una infraestructura de autenticación interoperable, abierta y no cautiva, basada en estándares ISO y W3C en lugar de SDK propietarios. Esta soberanía también es un argumento comercial de diferenciación en las licitaciones públicas, cada vez más sensibles a cláusulas de localización de datos.

Impacto en la firma electrónica cualificada y los PSTC

Los Proveedores de Servicios de Confianza Cualificados (PSTC — Qualified Trust Service Providers) ven su rol evolucionar. Con el EUDI Wallet, los QSCD pueden ser alojados directamente en la cartera o delegados a un PSTC en la nube (Firma Remota Cualificada). Para las empresas, esto significa que la firma cualificada — hasta ahora reservada a los casos más críticos por su complejidad — se vuelve accesible y escalable. Nuestro comparativo de soluciones de firma electrónica ahora integra este criterio de compatibilidad con EUDI Wallet en su análisis.

Marco legal aplicable al EUDI Wallet y a las empresas

Reglamento eIDAS 2: (UE) 2024/1183

El texto fundacional es el reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo del 11 de abril de 2024, que modifica el reglamento eIDAS n°910/2014. Es directamente aplicable en todos los Estados miembros sin transposición legislativa nacional, lo que garantiza uniformidad jurídica europea. Los artículos 5a a 5c definen las obligaciones relativas al EUDI Wallet, los niveles de aseguramiento y los derechos de los usuarios. El artículo 46f introduce obligaciones específicas para las Relying Parties de sectores regulados.

Código Civil francés: artículos 1366 y 1367

En derecho francés, la firma electrónica cualificada producida vía EUDI Wallet se beneficia de la presunción de fiabilidad prevista por el artículo 1367 del Código Civil: «La firma electrónica consiste en el uso de un procedimiento fiable de identificación que garantiza su vínculo con el acto al que se adjunta.» La fiabilidad se presume cuando la firma es cualificada en el sentido de eIDAS. El artículo 1366 asimila el escrito electrónico al escrito en papel siempre que su autor sea identificado y se garantice la integridad — dos condiciones que el EUDI Wallet cumple de forma nativa.

RGPD n°2016/679: articulación con la minimización de datos

El reglamento (UE) 2016/679 (RGPD) se aplica plenamente a las Relying Parties que procesan atributos de identidad provenientes del EUDI Wallet. Los principios de minimización de datos (art. 5 §1c), de limitación de la finalidad (art. 5 §1b) y de privacy by design (art. 25) deben integrarse desde el diseño de la integración técnica. La selective disclosure nativa del EUDI Wallet facilita técnicamente la conformidad, pero la empresa sigue siendo responsable (art. 24) de documentar sus bases legales de tratamiento.

Normas ETSI y estándares técnicos

La firma cualificada producida vía EUDI Wallet debe respetar las normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) y ETSI EN 319 162 (PAdES) para los formatos de firma electrónica avanzada y cualificada. Las políticas de certificación se definen en la ETSI EN 319 401 (Requisitos Generales de Política para Proveedores de Servicios de Confianza). Los actos de ejecución de la Comisión precisan los requisitos de certificación de los Emisores de Confianza (norma ISO/IEC 27001 y criterios comunes EAL 4+).

Directiva NIS2: (UE) 2022/2555

Los operadores de infraestructura EUDI Wallet (Estados miembros, Emisores de Confianza, PSTC) están sujetos a las obligaciones de la directiva NIS2 (UE) 2022/2555, transpuesta en Francia por la ley n°2023-703. Para las empresas usuarias, NIS2 impone obligaciones de gestión de riesgos relacionados con proveedores terceros (art. 21 §2d), lo que incluye proveedores de soluciones que integran el EUDI Wallet. Un análisis de impacto de riesgos de la cadena de suministro digital es por lo tanto recomendable antes de cualquier despliegue.

Escenarios de uso del EUDI Wallet en la empresa

Escenario 1: Bufete de abogados — verificación de identidad y firma de mandatos

Un bufete de abogados litigantes de una veintena de colaboradores tramita cada mes varios cientos de mandatos, cartas de encargo y poderes. Hoy en día, la verificación de identidad de los clientes requiere el envío de documentos justificativos por correo electrónico, una verificación manual por la asistente jurídica y un plazo promedio de 48 horas. Con la integración del EUDI Wallet como mecanismo de autenticación, el cliente presenta su documento de identidad digital desde su cartera en menos de 90 segundos. La firma cualificada se produce sin fricciones adicionales. Según los comentarios observados en los proyectos piloto large-scale llevados a cabo entre 2023 y 2025, este tipo de flujo reduce el tiempo de procesamiento de la incorporación de clientes entre 60 y 75 % y elimina los riesgos de errores de entrada o documentos vencidos. El bufete también gana en conformidad ALA-CFT, siendo los atributos de identidad criptográficamente certificados por un Estado miembro.

Escenario 2: PYME industrial — gestión de contratos con proveedores y delegaciones de firma

Una PYME industrial de una centena de empleados gestiona aproximadamente 300 contratos con proveedores por año, implicando responsables de compras distribuidos en tres ubicaciones. La gestión de delegaciones de firma actualmente se documenta en papel y es difícil de auditar. Con el EUDI Wallet empresarial (persona jurídica), la dirección puede atribuir atributos de delegación verificables a cada responsable de compras: tope de compromiso, ámbito geográfico, duración de validez. Estos atributos se almacenan en la cartera del colaborador y se presentan automáticamente en cada acto de firma. En caso de salida o cambio de puesto, la revocación es instantánea y auditada. Este mecanismo reduce los riesgos de litigios contractuales vinculados a firmas no autorizadas y mejora la trazabilidad para auditorías internas. Las direcciones financieras generalmente constatan una reducción de 30 a 40 % del tiempo dedicado a la gestión y verificación de poderes de firma.

Escenario 3: Grupo hospitalario — consentimiento del paciente y acceso a datos de salud

Un grupo hospitalario que agrupa varios establecimientos y aproximadamente 1 500 agentes de salud enfrenta desafíos cada vez más complejos de consentimiento del paciente, particularmente para el acceso a los registros médicos compartidos a través de Mi Espacio Salud. La integración del EUDI Wallet como mecanismo de consentimiento informado permite al paciente validar, desde su teléfono inteligente, el acceso a sus datos por un médico especialista, precisando la duración y el ámbito del acceso. La selective disclosure garantiza que solo se compartan los atributos médicos pertinentes. Para los agentes de salud, la cartera proporciona su número RPPS (Repertorio Compartido de Profesionales de Salud) como atributo verificable, eliminando los procesos actuales de verificación manual. Este tipo de despliegue, coherente con el marco del Espacio Europeo de Datos de Salud (EHDS), puede reducir los plazos de acceso a datos de salud autorizados de varias horas a unos pocos segundos. Para saber más sobre los desafíos específicos del sector, nuestra guía sobre firma electrónica en salud detalla las restricciones regulatorias aplicables.

Conclusión

El EUDI Wallet y el reglamento eIDAS 2 constituyen la transformación más significativa de la identidad digital europea en una década. Para las empresas, el desafío no es simplemente cumplir con una nueva regulación, sino aprovechar la oportunidad de modernizar profundamente sus procesos de firma, incorporación y gestión de delegaciones. Los sectores jurídico, RH, salud e industrial están en primera línea. La clave del éxito radica en la anticipación: evaluar ahora la compatibilidad de tus herramientas actuales, formar a tus equipos y elegir socios cuya hoja de ruta esté alineada con eIDAS 2.

Certyneo acompaña a las empresas en esta transición con una plataforma de firma electrónica diseñada para ser compatible con EUDI Wallet desde su despliegue. Descubre nuestras ofertas y comienza gratuitamente para anticipar 2026 con total tranquilidad.