eIDAS 2 Cartera de Identidad Digital: Guía 2026

La entrada en vigor del reglamento eIDAS 2 marca un punto de inflexión histórico para la gestión de la identidad digital en Europa. Con EUDI Wallet — European Digital Identity Wallet — cada ciudadano y cada empresa dispondrá pronto de una cartera digital soberana, interoperable y reconocida en los 27 Estados miembros. Para los departamentos legales, RRHH, cumplimiento y TI, este proyecto regulatorio abre tantas oportunidades como desafíos operacionales. Este artículo descifra el funcionamiento técnico y legal de EUDI Wallet, sus implicaciones concretas para las empresas y cómo se articula con las soluciones de firma electrónica cualificada ya implementadas.

¿Qué es eIDAS 2 y EUDI Wallet?

Del reglamento eIDAS 1.0 al reglamento eIDAS 2.0: una evolución estructural

Adoptado en 2014, el reglamento eIDAS n°910/2014 sentó las bases de la confianza digital en Europa: firmas electrónicas cualificadas, sellos, marcas de tiempo y servicios de autenticación. Pero una década después, sus limitaciones se hicieron evidentes: interoperabilidad insuficiente entre Estados miembros, adopción desigual de identidades digitales nacionales, ausencia de una cartera unificada. El reglamento (UE) 2024/1183, denominado eIDAS 2, adoptado oficialmente el 11 de abril de 2024 en el Diario Oficial de la UE, corrige estas deficiencias al imponer un marco común de identidad digital soberana.

Para profundizar en el conjunto del nuevo marco regulatorio, consulte nuestra guía completa sobre el reglamento eIDAS 2.0.

EUDI Wallet: arquitectura y principios fundadores

EUDI Wallet (European Digital Identity Wallet) es una aplicación móvil y/o software que cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes a más tardar en 2026, conforme al artículo 5a del reglamento revisado. Concretamente, esta cartera digital permite:

• Almacenar y presentar atributos de identidad verificados: documento de identidad, permiso de conducir, diplomas, acreditaciones profesionales, número de IVA intracomunitario para personas jurídicas.
• Autenticar al usuario ante servicios públicos y privados en niveles de garantía elevados (LoA High según el anexo I del reglamento).
• Firmar electrónicamente documentos con nivel cualificado, apoyándose en Qualified Electronic Signature Creation Devices (QSCD) certificados.
• Compartir selectivamente datos (principio de selective disclosure) sin revelar más información de la necesaria — una aportación importante para el cumplimiento de RGPD.

La arquitectura se basa en las especificaciones técnicas publicadas por la Comisión Europea a través de la Architecture and Reference Framework (ARF), mantenida por el consorcio EUDIW (European Digital Identity Wallet). Los formatos de presentación adoptados incluyen notably ISO/IEC 18013-5 (mDL — mobile Driver's Licence) y SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dos estándares abiertos que garantizan la portabilidad.

¿A quién afecta? Empresas proveedoras de servicios (Relying Parties)

El reglamento eIDAS 2 introduce la noción de Relying Party (parte confiadora). Cualquier organización — empresa privada, administración, plataforma en línea — que acepte atributos de identidad provenientes de EUDI Wallet debe registrarse ante su Estado miembro y respetar un conjunto de obligaciones técnicas y de seguridad. El artículo 5b del reglamento precisa que las grandes plataformas (en el sentido de la DSA) y ciertos sectores (banca, sanidad, energía) estarán obligadas a aceptar EUDI Wallet desde la entrada en producción nacional.

Funcionamiento técnico de EUDI Wallet para las empresas

El flujo de autenticación y firma paso a paso

Comprender el flujo técnico es indispensable para anticipar la integración en los sistemas de información. Un escenario típico de firma de contrato vía EUDI Wallet se desarrolla así:

1. Inicialización: la Relying Party (ej.: su plataforma SaaS) genera una solicitud de presentación conforme al protocolo OpenID4VP (OpenID for Verifiable Presentations).
2. Notificación: el usuario recibe una notificación en su EUDI Wallet móvil.
3. Consentimiento y selección: el usuario elige los atributos a compartir (nombre, apellido, fecha de nacimiento) a través de la interfaz de selective disclosure.
4. Presentación verificable: la cartera genera una prueba criptográfica firmada por el Trusted Issuer (el Estado miembro o un proveedor acreditado).
5. Verificación: la Relying Party verifica la prueba a través del registro de confianza europeo (Trust Framework), sin almacenar datos innecesarios.
6. Firma cualificada: si se requiere un acto de firma, el QSCD integrado en la cartera u hospedado en la nube (QSign) produce una firma cualificada conforme a ETSI EN 319 132.

Este flujo garantiza un nivel de garantía LoA High, el más elevado previsto por el reglamento, equivalente a una verificación cara a cara.

Integración con plataformas de firma electrónica existentes

Los editores de soluciones de firma electrónica deben integrar los protocolos OpenID4VCI (emisión) y OpenID4VP (presentación) para conectarse al ecosistema EUDI. Para las empresas que ya utilizan una plataforma conforme a eIDAS 1.0, la transición hacia eIDAS 2 implica una actualización técnica, pero preserva el valor jurídico de las firmas ya realizadas. Por lo tanto, es estratégico evaluar la hoja de ruta de su proveedor actual, especialmente si contempla migrar de DocuSign o YouSign hacia una solución más conforme.

Identidad digital de personas jurídicas: el desafío empresarial

eIDAS 2 no se limita a personas físicas. El artículo 5a §3 prevé explícitamente carteras para personas jurídicas, permitiendo a las empresas:

• Probar su existencia legal (equivalente a un certificado Kbis digital verificable).
• Delegar poderes de firma a sus colaboradores de manera auditada y revocable.
• Automatizar la verificación de KYB (Know Your Business) en procesos contractuales B2B.

Esta dimensión es particularmente transformadora para los procesos de firma electrónica en empresa, en particular en los sectores de RRHH, legal y financiero.

Calendario de despliegue y obligaciones regulatorias 2024-2026

Fases de implementación según el reglamento

El reglamento (UE) 2024/1183 fija un calendario vinculante:

• Abril de 2024: publicación en el Diario Oficial, entrada en vigor 20 días después.
• Finales de 2024: publicación de actos de ejecución (Implementing Acts) definiendo las especificaciones técnicas obligatorias.
• 2025: despliegue de carteras piloto nacionales (proyectos de pruebas a gran escala: EU Digital Identity Wallet Large Scale Pilots, financiados con 46 millones de euros por la Comisión).
• Finales de 2026: puesta a disposición obligatoria por todos los Estados miembros de al menos una EUDI Wallet operacional. Las grandes plataformas y sectores regulados deberán aceptarla.

Para las empresas francesas, el despliegue se apoya en la identidad digital de La Poste y los trabajos de ANSSI sobre la certificación de Trusted Issuers nacionales.

Obligaciones para Relying Parties

Las empresas que deseen o deban aceptar EUDI Wallet están sujetas a varias obligaciones:

1. Registro ante la autoridad nacional competente (en Francia, ANSSI y CNIL según los casos).
2. Conformidad técnica con las especificaciones de ARF v2.x publicadas en GitHub por la Comisión Europea.
3. Transparencia: publicar en un registro público los atributos solicitados y la finalidad del tratamiento.
4. Minimización de datos: solicitar solo los atributos estrictamente necesarios — obligación reforzada por el RGPD.
5. Registro de auditoría: conservar los logs de presentaciones verificables para auditoría, sin almacenar datos de identidad brutos.

Las empresas que integren EUDI Wallet en sus flujos de firma electrónica para despachos de abogados o para la gestión de RRHH se beneficiarán de una ventaja competitiva significativa a partir de 2026.

Desafíos estratégicos y oportunidades para las empresas

Reducción de fricciones en procesos KYC/KYB

Uno de los beneficios más inmediatos de EUDI Wallet es la supresión de verificaciones de identidad manuales. Actualmente, la incorporación de un nuevo cliente o socio implica envío de justificantes por correo electrónico, verificación manual por personal y tiempos de procesamiento. Con EUDI Wallet, la verificación se realiza al instante, certificada criptográficamente y auditada. Los sectores bancario, inmobiliario y de seguros — sujetos a obligaciones LCB-FT — ven aquí una oportunidad importante de cumplimiento automatizado. El sector de la firma electrónica en inmobiliaria es particularmente impactado, con procesos de verificación de identidad que actualmente representan hasta el 40 % del tiempo administrativo.

Soberanía digital y reducción de dependencia de GAFAM

EUDI Wallet responde a una ambición política fuerte: reducir la dependencia de los europeos en sistemas de identidad operados por actores no europeos (Google, Apple, Meta). Para las empresas, esto se traduce en una infraestructura de autenticación interoperable, abierta y no cautiva, basada en estándares ISO y W3C en lugar de SDK propietarios. Esta soberanía también es un argumento comercial de diferenciación en licitaciones públicas, cada vez más sensibles a cláusulas de localización de datos.

Impacto en firma electrónica cualificada y QTSP

Los Proveedores de Servicios de Confianza Cualificados (QTSP — Qualified Trust Service Providers) ven su función evolucionar. Con EUDI Wallet, los QSCD pueden ser hospedados directamente en la cartera o delegados a un QTSP en la nube (Remote Qualified Signature). Para las empresas, esto significa que la firma cualificada — hasta ahora reservada a casos más críticos por su complejidad — se vuelve accesible y escalable. Nuestro comparativo de soluciones de firma electrónica integra ahora este criterio de compatibilidad con EUDI Wallet en su análisis.

Marco legal aplicable a EUDI Wallet y las empresas

Reglamento eIDAS 2: (UE) 2024/1183

El texto fundamental es el reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024, modificando el reglamento eIDAS n°910/2014. Es directamente aplicable en todos los Estados miembros sin necesidad de transposición legislativa nacional, lo que garantiza uniformidad jurídica europea. Los artículos 5a a 5c definen las obligaciones relativas a EUDI Wallet, los niveles de garantía y los derechos de los usuarios. El artículo 46f introduce obligaciones específicas para Relying Parties de sectores regulados.

Código Civil francés: artículos 1366 y 1367

En derecho francés, la firma electrónica cualificada producida vía EUDI Wallet se beneficia de la presunción de fiabilidad prevista por el artículo 1367 del Código Civil: « La firma electrónica consiste en el uso de un procedimiento fiable de identificación que garantice su vínculo con el acto al que se adjunta. » La fiabilidad se presume cuando la firma es cualificada en el sentido de eIDAS. El artículo 1366 asimila el escrito electrónico al escrito en papel siempre que su autor sea identificado y la integridad garantizada — dos condiciones que EUDI Wallet cumple nativamente.

RGPD n°2016/679: articulación con minimización de datos

El reglamento (UE) 2016/679 (RGPD) se aplica plenamente a Relying Parties que traten atributos de identidad procedentes de EUDI Wallet. Los principios de minimización de datos (art. 5 §1c), de limitación de finalidad (art. 5 §1b) y de privacy by design (art. 25) deben integrarse desde el diseño de la integración técnica. La selective disclosure nativa de EUDI Wallet facilita técnicamente el cumplimiento, pero la empresa sigue siendo responsable (art. 24) de documentar sus bases legales de tratamiento.

Normas ETSI y estándares técnicos

La firma cualificada producida vía EUDI Wallet debe cumplir con las normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) y ETSI EN 319 162 (PAdES) para formatos de firma electrónica avanzada y cualificada. Las políticas de certificación se definen en ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Los actos de ejecución de la Comisión precisan las exigencias de certificación de Trusted Issuers (norma ISO/IEC 27001 y criterios comunes EAL 4+).

Directiva NIS2: (UE) 2022/2555

Los operadores de infraestructura EUDI Wallet (Estados miembros, Trusted Issuers, QTSP) están sujetos a obligaciones de la directiva NIS2 (UE) 2022/2555, transpuesta en Francia por la ley n°2023-703. Para las empresas usuarias, NIS2 impone obligaciones de gestión de riesgos relacionados con proveedores terceros (art. 21 §2d), lo que incluye proveedores de soluciones que integren EUDI Wallet. Un análisis de impacto de riesgos de la cadena de suministro digital es por tanto recomendado antes de cualquier despliegue.

Escenarios de uso de EUDI Wallet en la empresa

Escenario 1: Despacho de abogados — verificación de identidad y firma de mandatos

Un despacho de abogados de negocios de una veintena de colaboradores tramita mensualmente varios cientos de mandatos, cartas de encargo y poderes. Actualmente, la verificación de identidad de clientes impone envío de justificantes por correo electrónico, verificación manual por la asistente jurídica y un plazo medio de 48 horas. Con la integración de EUDI Wallet como mecanismo de autenticación, el cliente presenta su documento de identidad digital desde su cartera en menos de 90 segundos. La firma cualificada se produce inmediatamente, sin fricción adicional. Según los comentarios observados en los pilotes a gran escala realizados entre 2023 y 2025, este tipo de flujo reduce el tiempo de procesamiento de la incorporación de cliente de 60 a 75 % y elimina riesgos de errores de entrada o documentos expirados. El despacho gana también en cumplimiento LCB-FT, siendo los atributos de identidad certificados criptográficamente por un Estado miembro.

Escenario 2: PYME industrial — gestión de contratos de proveedores y delegaciones de firma

Una PYME industrial de alrededor de cien empleados gestiona aproximadamente 300 contratos de proveedores por año, involucrando responsables de compras distribuidos en tres sedes. La gestión de delegaciones de firma se documenta actualmente en papel y es difícil de auditar. Con EUDI Wallet empresarial (persona jurídica), la dirección puede atribuir atributos de delegación verificables a cada responsable de compras: límite de compromiso, ámbito geográfico, duración de validez. Estos atributos se almacenan en la cartera del colaborador y se presentan automáticamente en cada acto de firma. En caso de salida o cambio de puesto, la revocación es instantánea y auditada. Este mecanismo reduce riesgos de litigios contractuales vinculados a firmas no autorizadas y mejora la trazabilidad para auditorías internas. Las direcciones financieras constatan generalmente una reducción de 30 a 40 % del tiempo dedicado a la gestión y verificación de poderes de firma.

Escenario 3: Agrupación sanitaria — consentimiento del paciente y acceso a datos de salud

Una agrupación sanitaria que reagrupa varios establecimientos y aproximadamente 1 500 agentes sanitarios afronta desafíos de consentimiento del paciente cada vez más complejos, en particular para el acceso a expedientes médicos compartidos vía Mon Espace Santé. La integración de EUDI Wallet como mecanismo de consentimiento informado permite al paciente validar, desde su smartphone, el acceso a sus datos por un médico especialista, precisando la duración y ámbito del acceso. La selective disclosure garantiza que solo los atributos médicos pertinentes se compartan. Para los agentes sanitarios, la cartera proporciona su número RPPS (Repertorio Compartido de Profesionales de Sanidad) como atributo verificable, eliminando los procesos de verificación manual actuales. Este tipo de despliegue, coherente con el marco del Espacio Europeo de Datos de Salud (EHDS), puede reducir los tiempos de acceso a datos de salud autorizados de varias horas a pocos segundos. Para saber más sobre los desafíos específicos del sector, nuestra guía sobre firma electrónica en sanidad detalla las restricciones regulatorias aplicables.

Conclusión

EUDI Wallet y el reglamento eIDAS 2 constituyen la transformación más significativa de la identidad digital europea en una década. Para las empresas, el desafío no es solo cumplir una nueva regulación, sino aprovechar una oportunidad de modernizar profundamente sus procesos de firma, incorporación y gestión de delegaciones. Los sectores legal, RRHH, sanidad e industrial están en primera línea. La clave del éxito radica en la anticipación: evalúe ahora mismo la compatibilidad de sus herramientas actuales, forme a sus equipos y elija socios cuya hoja de ruta esté alineada con eIDAS 2.

Certyneo acompaña a las empresas en esta transición con una plataforma de firma electrónica diseñada para ser compatible con EUDI Wallet desde su despliegue. Descubra nuestras ofertas y comience de forma gratuita para anticipar 2026 con toda tranquilidad.