Proveedores eIDAS calificados: la lista oficial 2026

¿Por qué el estado "calificado" eIDAS es decisivo para tu empresa?

Desde la entrada en vigor del Reglamento eIDAS (n.º 910/2014), el mercado europeo de la firma electrónica se ha reestructurado profundamente en torno a una jerarquía de tres niveles: la firma electrónica simple (SES), la firma electrónica avanzada (AES) y la firma electrónica calificada (QES). Esta última es la única que se beneficia de una presunción legal de equivalencia con la firma manuscrita en todos los Estados miembros de la Unión Europea.

Para que una empresa pueda ofrecer firmas calificadas, debe haber sido auditada e inscrita obligatoriamente en la lista de confianza (Trust List) de su Estado miembro. En Francia, es la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) la que mantiene este registro oficial, que a su vez se republica en la lista europea centralizada gestionada por la Comisión Europea.

Comprender esta arquitectura es fundamental antes de firmar cualquier contrato comercial sensible. Para profundizar en las bases reglamentarias, nuestra guía completa sobre el Reglamento eIDAS 2.0 detalla todas las obligaciones y los cambios introducidos por el Reglamento UE 2024/1183 (eIDAS 2.0).

---

¿Cómo se certifican los proveedores de servicios de confianza calificados?

El camino hacia el estado de Proveedor de Servicios de Confianza Calificado (PSCQ) es exigente. Implica una auditoría realizada por un organismo de evaluación de la conformidad (CAB, Conformity Assessment Body) acreditado, conforme a las normas ETSI EN 319 401 (requisitos generales) y ETSI EN 319 411-2 para certificados calificados.

Las etapas de calificación ANSSI

1. Presentación del expediente de calificación: el proveedor presenta su documentación técnica, de seguridad y organizacional a la ANSSI.
2. Auditoría por un CAB acreditado: un organismo tercero —como Bureau Veritas, LSTI o Apave Certification— verifica la conformidad in situ y de conformidad con la documentación.
3. Decisión de calificación: la ANSSI pronuncia la calificación e inscribe al proveedor en la lista de confianza francesa (TL-FR).
4. Renovación periódica: la calificación se reevalúa, generalmente cada dos años, para garantizar el mantenimiento de los requisitos.

¿Qué verifica concretamente la auditoría?

El auditor examina especialmente:

• La seguridad física de los centros de datos que albergan las claves criptográficas (módulos HSM certificados CC EAL 4+ o FIPS 140-2 Level 3 mínimo);
• Las políticas de certificación (CP) y las declaraciones de prácticas de certificación (CPS) publicadas por el proveedor;
• Los procedimientos de verificación de identidad de los firmantes (cara a cara o verificación de identidad a distancia conforme a la norma EN 419 241-1);
• La gestión de revocaciones y la disponibilidad de los servicios OCSP/CRL.

Estos criterios explican por qué solo un puñado de actores alcanzan y mantienen este nivel de certificación en Francia.

---

Los proveedores eIDAS calificados registrados en Francia en 2026

La lista oficial de proveedores calificados puede consultarse en cualquier momento en el portal oficial de la Comisión Europea (eidas.ec.europa.eu/efts), filtrando por "Francia" y el servicio "QCertESig" (Qualified Certificate for Electronic Signature). Aquí están los actores que figuraban en el registro al momento de la redacción de este artículo (junio de 2026):

Actores franceses inscritos en la Trust List

| Proveedor | Tipo de servicio calificado | Particularidad | |---|---|---| | Certigna (Dhimyotis) | Certificados calificados, sellado de tiempo calificado | Grupo La Poste, certificado eIDAS desde 2016 | | Certinomis | Certificados calificados | Filial de La Poste, orientado al sector público | | ChamberSign France | Certificados calificados | Red de las CCI, fuerte implantación PYME/TPE | | Keynectis / DocuSign France | Certificados calificados | Adquirido por DocuSign, mantenimiento de la etiqueta ANSSI | | Universign (Tessi) | Certificados calificados, sellado de tiempo | Pionero del mercado, integrado en Tessi group | | Entrust (ex-Datacard) | Certificados calificados | Actor internacional, Trust List multi-Estados miembros | | Oodrive Sign | Certificados calificados | Editor soberano francés, calificado SecNumCloud |

> Advertencia: esta lista se proporciona a título informativo. Solo la Trust List oficial de la Comisión Europea hace fe. Verifica siempre el estado actual en el portal ETSI antes de cualquier compromiso contractual.

Proveedores extranjeros reconocidos en Francia mediante la Trust List europea

En virtud del principio de reconocimiento mutuo establecido por el artículo 25 del Reglamento eIDAS, una firma calificada emitida por un PSCQ inscrito en la lista de confianza de otro Estado miembro produce los mismos efectos jurídicos en Francia. Entre los actores no franceses frecuentemente utilizados:

• Namirial (Italia): fuerte en firma calificada a distancia (QES remote signing);
• SwissSign (Suiza): atención, Suiza no es miembro de la UE; el reconocimiento es parcial;
• Qualified.one / Asseco Data Systems (Polonia): actor público europeo, frecuente en mercados transfronterizos.

Para comparar estas soluciones según tus necesidades empresariales, consulta nuestro comparativo de soluciones de firma electrónica que analiza los criterios de precio, conformidad e integración de API.

---

¿Cómo elegir el proveedor eIDAS calificado adecuado para tu organización?

Figurar en la Trust List es una condición necesaria, pero no suficiente. La elección de un PSCQ debe basarse en varios criterios complementarios.

Criterios técnicos y de integración

• API REST o SDK disponible: imprescindible para automatizar la firma en tus flujos de trabajo empresariales (ERP, SIRH, CRM);
• Formatos de firma soportados: PAdES para PDF, XAdES para XML, CAdES para archivos binarios — todos normalizados por ETSI EN 319 100;
• Disponibilidad del servicio: SLA superior al 99,9% garantizado contractualmente, con períodos de mantenimiento previstos fuera del horario laboral;
• Alojamiento de datos: prefiere un alojamiento en Francia o en la UE, idealmente calificado SecNumCloud para datos sensibles.

Criterios jurídicos y de conformidad

• Verifica que el proveedor proporcione un informe de calificación actualizado (menos de 24 meses);
• Exige una política de certificación publicada (CP) accesible públicamente y auditada;
• Asegúrate de que las condiciones generales establezcan explícitamente la entrega de certificados calificados conforme al Anexo I del Reglamento eIDAS.

Criterios operacionales y de soporte

• Procedimiento de registro de firmantes: cara a cara en agencia, videoidentificación conforme a eIDAS o NFC desde un documento de identidad electrónico;
• Soporte en francés con plazos de respuesta contractuales;
• Formación y documentación disponibles para tus equipos legales e informáticos.

Si tu organización gestiona flujos documentales de RRHH importantes, nuestra página dedicada a la firma electrónica para equipos de RRHH detalla los casos de uso específicos (contratos de trabajo, enmiendas, incorporación) y los niveles de firma recomendados por tipo de documento.

---

eIDAS 2.0: ¿qué cambios para los proveedores calificados en 2026?

El Reglamento eIDAS 2.0 (Reglamento UE 2024/1183, que entró en aplicación progresiva desde mayo de 2024) introduce varias evoluciones estructurales que impactan directamente a los PSCQ y sus clientes.

La Cartera Europea de Identidad Numérica (EUDI Wallet)

El artículo 6a del Reglamento revisado obliga a los Estados miembros a ofrecer, antes de septiembre de 2026, una cartera de identidad digital (EUDI Wallet) reconocida en toda la UE. Para los proveedores calificados, esto significa:

• La obligación de aceptar los atributos de identidad emitidos por la cartera como prueba de identidad para el registro de firmantes;
• El surgimiento de un nuevo servicio calificado: la entrega de atestaciones de atributos calificados (Qualified Electronic Attestation of Attributes, QEAA).

Nuevos servicios calificados y ampliación del perímetro

eIDAS 2.0 amplía la lista de servicios de confianza calificados para incluir:

• Los servicios de archivo electrónico calificado (QPDS, artículo 45f);
• Los servicios de gestión de dispositivos de creación de firma a distancia (QRCD).

Estas evoluciones representan tanto una limitación de cumplimiento normativo (plazos ajustados para proveedores existentes) como una oportunidad de diferenciación para los nuevos actores capaces de integrar rápidamente las especificaciones técnicas publicadas por la ENISA y ETSI.

Para las empresas que contemplan una migración desde una plataforma existente hacia una solución más conforme, nuestra guía de migración desde DocuSign o YouSign hacia Certyneo presenta los pasos concretos y los puntos de vigilancia regulatoria.

Marco legal aplicable a los proveedores eIDAS calificados

Reglamento eIDAS y derecho europeo

El fundamento jurídico es el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (denominado "Reglamento eIDAS"), tal como fue modificado por el Reglamento (UE) 2024/1183 (eIDAS 2.0). Este Reglamento es directamente aplicable en todos los Estados miembros sin necesidad de transposición nacional.

Sus disposiciones clave para los proveedores calificados:

• Artículo 17: obligación de cada Estado miembro de designar un órgano de control (en Francia, la ANSSI);
• Artículo 20: procedimiento de supervisión, auditoría e inscripción en la lista de confianza;
• Artículo 25: presunción de equivalencia entre QES y firma manuscrita, con efecto jurídico garantizado en toda la UE;
• Anexo I: requisitos relativos a certificados calificados para firma electrónica;
• Anexo II: requisitos relativos a dispositivos de creación de firma calificada (QSCD).

Derecho francés

En derecho interno, la firma electrónica se regula por:

• Código Civil, artículos 1366 y 1367: el artículo 1366 reconoce el valor probatorio del escrito electrónico a condición de garantizar la identidad del autor y la integridad del documento. El artículo 1367 precisa que la firma electrónica consistente en un procedimiento fiable de identificación se presume fiable cuando se crea conforme al decreto de aplicación;
• Decreto n.º 2017-1416 de 28 de septiembre de 2017: define las condiciones en que la firma electrónica calificada se presume fiable en Francia, remitiendo explícitamente al Reglamento eIDAS;
• Ordenanza n.º 2005-674 de 16 de junio de 2005 relativa al cumplimiento de ciertos trámites contractuales por vía electrónica.

Protección de datos personales

Los procesos de registro y firma implican el tratamiento de datos personales (datos de identidad, biometría para videoidentificación). El proveedor calificado está sujeto al Reglamento (UE) 2016/679 (RGPD) y debe especialmente:

• Designar un DPO si el tratamiento es a gran escala;
• Documentar los tratamientos en el registro de la CNIL;
• Regular las transferencias fuera de la UE mediante garantías apropiadas (cláusulas contractuales tipo, decisión de adecuación).

Ciberseguridad y resiliencia

Desde octubre de 2024, la Directiva NIS2 (2022/2555/UE) se aplica a los proveedores de servicios de confianza calificados, clasificados como entidades esenciales. Deben implementar medidas de gestión de riesgos cibernéticos, notificar incidentes significativos a la ANSSI en 24 horas, y someterse a auditorías regulares. El incumplimiento expone a multas que pueden alcanzar 10 millones de euros o el 2% de la facturación anual mundial.

Normas técnicas de referencia

• ETSI EN 319 401: requisitos generales para proveedores de servicios de confianza;
• ETSI EN 319 411-2: perfil de política para certificados calificados;
• ETSI EN 319 132: formatos de firma XAdES;
• ETSI EN 319 122: formatos de firma CAdES;
• ETSI EN 319 162: formatos de firma PAdES (PDF).

Escenarios de uso: ¿cuándo es indispensable la firma calificada eIDAS?

Escenario 1 — Un despacho de abogados que gestiona actos bajo firma privada con alta valor probatorio

Un despacho de abogados especializado en derecho corporativo con unos veinte colaboradores tramita cada mes varias decenas de cesiones de participaciones sociales, protocolos de acuerdo y convenciones de garantía de activos y pasivos (GAP). Estos actos conllevan sumas que frecuentemente superan varios cientos de miles de euros y pueden ser objeto de impugnación en juicio.

Antes de migrar hacia un proveedor eIDAS calificado, el despacho utilizaba una solución de firma avanzada (AES), lo que era suficiente para la mayoría de los actos corrientes. Después de un incidente en el que la parte contraria impugnó la autenticidad de una firma durante un litigio, el despacho optó por la QES para todos los actos de alto riesgo. Resultado: reducción del 90% del tiempo dedicado a producir pruebas de firma durante los procedimientos contenciosos, gracias a la presunción legal irrefutable inherente a la QES. El sobrecosto unitario por firma (aproximadamente 2 a 5 € según los volúmenes) fue absorbido completamente por la disminución de gastos de litigio.

Escenario 2 — Una empresa mediana gestando contratos de proveedores transfronterizos

Una empresa mediana (ETI) del sector del equipamiento industrial, con proveedores establecidos en Francia, Alemania, Italia y Polonia, debía hasta entonces enviar sus contratos marco por correo postal u organizar reuniones presenciales para firmar, generando plazos de 10 a 21 días hábiles por contrato.

Al desplegar una solución conectada a un PSCQ europeo inscrito en la Trust List, la empresa redujo el ciclo de firma a menos de 48 horas en promedio. El reconocimiento mutuo entre Estados miembros garantiza el valor jurídico sin necesidad de legalización adicional. Sobre un portafolio de 350 contratos de proveedores anuales, la ganancia estimada en costos administrativos y logísticos supera 40.000 € al año, según rangos coherentes con los estudios sectoriales publicados por ACFE y APQC.

Escenario 3 — Un agrupamiento hospitalario sometido a exigencias del sector sanitario

Un agrupamiento hospitalario de aproximadamente 1.200 camas debe firmar electrónicamente contratos públicos, convenios de investigación clínica y contratos de médicos hospitalarios. Estos documentos están sujetos al Código de Contratación Pública, que exige una firma electrónica conforme al RGS (Referencial General de Seguridad) de nivel ** o, desde la desmaterialización de contratos públicos, a un nivel equivalente eIDAS.

Al apoyarse en un PSCQ inscrito en la Trust List francesa, el agrupamiento garantiza el cumplimiento con el artículo R. 2132-7 del Código de Contratación Pública mientras reduce los plazos de firma de contratos de 15 días a menos de 72 horas. La integración API con el sistema de información hospitalario (SIH) permitió automatizar el envío y seguimiento de documentos, liberando aproximadamente 0,4 ETP en tareas administrativas relacionadas con contratos.

Conclusión

Elegir un proveedor eIDAS calificado no es una simple compra de software: es una decisión estratégica que compromete el valor probatorio de tus actos, la conformidad regulatoria de tu organización y la confianza de tus socios comerciales e institucionales. En 2026, con la entrada en vigor progresiva de eIDAS 2.0 y las nuevas obligaciones NIS2, el nivel de exigencia solo aumenta.

Los puntos esenciales a retener: verifica sistemáticamente la inscripción en la Trust List oficial, exige una política de certificación publicada, y adapta el nivel de firma (QES, AES, SES) al riesgo jurídico de cada documento.

Certyneo te acompaña en esta iniciativa dándote acceso a certificados calificados a través de PSCQ referenciados, una API de integración robusta y soporte jurídico dedicado. ¿Listo para pasar a la firma calificada? Solicita una demostración o crea tu cuenta en Certyneo y pon tu organización en conformidad hoy mismo.