Proveedores eIDAS calificados: la lista oficial 2026

¿Por qué el estado "calificado" eIDAS es decisivo para tu empresa?

Desde la entrada en vigor del Reglamento eIDAS (nº 910/2014), el mercado europeo de la firma electrónica se ha reestructurado profundamente en torno a una jerarquía de tres niveles: la firma electrónica simple (SES), la firma electrónica avanzada (AES) y la firma electrónica calificada (QES). Esta última es la única que se beneficia de una presunción legal de equivalencia con la firma manuscrita en todos los Estados miembros de la Unión Europea.

Para que una empresa pueda proporcionar firmas calificadas, debe ser imperativamente auditada e inscrita en la lista de confianza (Trust List) de su Estado miembro. En Francia, es la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) la que mantiene este registro oficial, republicado a su vez en la lista europea centralizada gestionada por la Comisión Europea.

Comprender esta arquitectura es fundamental antes de firmar cualquier contrato comercial sensible. Para profundizar en las bases regulatorias, nuestra guía completa sobre el Reglamento eIDAS 2.0 detalla todas las obligaciones y evoluciones introducidas por el Reglamento revisado eIDAS 2.0 (Reglamento UE 2024/1183).

---

¿Cómo se certifican los proveedores de servicios de confianza calificados?

El camino hacia el estado de Proveedor de Servicios de Confianza Calificado (PSCQ) es exigente. Implica un auditoría realizada por un organismo evaluador de la conformidad (CAB, Conformity Assessment Body) acreditado, según las normas ETSI EN 319 401 (requisitos generales) y ETSI EN 319 411-2 para certificados calificados.

Las etapas de calificación ANSSI

1. Presentación del expediente de calificación: el proveedor presenta su documentación técnica, de seguridad y organizacional a la ANSSI.
2. Auditoría por un CAB acreditado: un organismo tercero — como Bureau Veritas, LSTI o Apave Certification — verifica la conformidad in situ y sobre documentos.
3. Decisión de calificación: la ANSSI pronuncia la calificación e inscribe al proveedor en la lista de confianza francesa (TL-FR).
4. Renovación periódica: la calificación se reevalúa, en general cada dos años, para garantizar el mantenimiento de los requisitos.

¿Qué verifica concretamente la auditoría?

El auditor examina en particular:

• La seguridad física de los centros de datos que alojan las claves criptográficas (módulos HSM certificados CC EAL 4+ o FIPS 140-2 Level 3 mínimo);
• Las políticas de certificación (CP) y las declaraciones de prácticas de certificación (CPS) publicadas por el proveedor;
• Los procedimientos de verificación de identidad de los firmantes (cara a cara o verificación de identidad a distancia conforme a la norma EN 419 241-1);
• La gestión de revocaciones y la disponibilidad de servicios OCSP/CRL.

Estos criterios explican por qué solo un puñado de actores alcanzan y mantienen este nivel de certificación en Francia.

---

Los proveedores eIDAS calificados registrados en Francia en 2026

La lista oficial de proveedores calificados es consultable en todo momento en el portal oficial de la Comisión Europea (eidas.ec.europa.eu/efts), filtrando por « Francia » y el servicio « QCertESig » (Qualified Certificate for Electronic Signature). Aquí están los actores que figuraban en el registro en el momento de redacción de este artículo (junio de 2026):

Actores franceses inscritos en la Trust List

| Proveedor | Tipo de servicio calificado | Particularidad | |---|---|---| | Certigna (Dhimyotis) | Certificados calificados, marca de tiempo calificada | Grupo La Poste, certificado eIDAS desde 2016 | | Certinomis | Certificados calificados | Filial La Poste, orientada al sector público | | ChamberSign France | Certificados calificados | Red de CCI, fuerte arraigo PyME/microempresa | | Keynectis / DocuSign France | Certificados calificados | Adquirido por DocuSign, mantenimiento del sello ANSSI | | Universign (Tessi) | Certificados calificados, marca de tiempo | Pionero del mercado, integrado en grupo Tessi | | Entrust (ex-Datacard) | Certificados calificados | Actor internacional, Trust List multi-Estados miembros | | Oodrive Sign | Certificados calificados | Editor soberano francés, calificado SecNumCloud |

> Advertencia: esta lista se proporciona a título indicativo e informativo. Solo la Trust List oficial de la Comisión Europea tiene valor. Verifica siempre el estado actual en el portal ETSI antes de cualquier compromiso contractual.

Proveedores extranjeros reconocidos en Francia a través de la Trust List europea

En virtud del principio de reconocimiento mutuo establecido por el artículo 25 del Reglamento eIDAS, una firma calificada emitida por un PSCQ inscrito en la lista de confianza de otro Estado miembro produce los mismos efectos jurídicos en Francia. Entre los actores no franceses frecuentemente utilizados:

• Namirial (Italia): fuerte en firma calificada a distancia (QES remote signing);
• SwissSign (Suiza): atención, Suiza no es miembro de la UE; el reconocimiento es parcial;
• Qualified.one / Asseco Data Systems (Polonia): actor público europeo, frecuente en mercados transfronterizos.

Para comparar estas soluciones según tus necesidades comerciales, consulta nuestro comparativo de soluciones de firma electrónica que analiza criterios de precio, conformidad e integración API.

---

¿Cómo elegir el proveedor eIDAS calificado adecuado para tu organización?

Figurar en la Trust List es una condición necesaria, pero no suficiente. La elección de un PSCQ debe basarse en varios criterios complementarios.

Criterios técnicos y de integración

• API REST o SDK disponible: indispensable para automatizar la firma en tus flujos de trabajo comercial (ERP, RRHH, CRM);
• Formatos de firma soportados: PAdES para PDF, XAdES para XML, CAdES para archivos binarios — todos normalizados por ETSI EN 319 100;
• Disponibilidad del servicio: SLA superior a 99,9% garantizado contractualmente, con ventanas de mantenimiento previstas fuera de horas laborales;
• Alojamiento de datos: prefiere alojamiento en Francia o en la UE, idealmente calificado SecNumCloud para datos sensibles.

Criterios jurídicos y de conformidad

• Verifica que el proveedor proporcione un informe de calificación actualizado (menos de 24 meses);
• Exige una política de certificación publicada (CP) accesible públicamente y auditada;
• Asegúrate de que las condiciones generales contemplen explícitamente la expedición de certificados calificados según el sentido del Anexo I del Reglamento eIDAS.

Criterios operacionales y de soporte

• Procedimiento de inscripción de firmantes: cara a cara en agencia, identificación por video conforme eIDAS o NFC desde un documento de identidad electrónico;
• Soporte en francés con plazos de respuesta contractuales;
• Capacitación y documentación disponibles para tus equipos legales e IT.

Si tu organización gestiona flujos documentales de RRHH importantes, nuestra página dedicada a la firma electrónica para equipos de RRHH detalla casos de uso específicos (contratos de trabajo, adendas, incorporación) y niveles de firma recomendados por tipo de documento.

---

eIDAS 2.0: ¿qué cambios para los proveedores calificados en 2026?

El Reglamento eIDAS 2.0 (Reglamento UE 2024/1183, con entrada en aplicación gradual desde mayo de 2024) introduce varias evoluciones estructurales que impactan directamente a los PSCQ y sus clientes.

El Monedero Europeo de Identidad Numérica (EUDI Wallet)

El artículo 6a del Reglamento revisado obliga a los Estados miembros a ofrecer, antes de septiembre de 2026, un monedero de identidad numérica (EUDI Wallet) reconocido en toda la UE. Para los proveedores calificados, esto significa:

• La obligación de aceptar atributos de identidad procedentes del wallet como prueba de identidad para la inscripción de firmantes;
• La emergencia de un nuevo servicio calificado: la expedición de atestaciones de atributos calificados (Qualified Electronic Attestation of Attributes, QEAA).

Nuevos servicios calificados y extensión del perímetro

eIDAS 2.0 amplía la lista de servicios de confianza calificados para incluir:

• Los servicios de archivo electrónico calificado (QPDS, artículo 45f);
• Los servicios de gestión de dispositivos de creación de firma a distancia (QRCD).

Estas evoluciones representan tanto una coacción de cumplimiento normativo (plazos ajustados para proveedores existentes) como una oportunidad de diferenciación para nuevos participantes capaces de integrar rápidamente las especificaciones técnicas publicadas por la ENISA y la ETSI.

Para empresas que contemplan una migración desde una plataforma existente hacia una solución más conforme, nuestra guía de migración desde DocuSign o YouSign hacia Certyneo presenta los pasos concretos y puntos de vigilancia regulatoria.

Marco legal aplicable a los proveedores eIDAS calificados

Reglamento eIDAS y derecho europeo

El fundamento jurídico es el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (denominado « Reglamento eIDAS »), tal como fue modificado por el Reglamento (UE) 2024/1183 (eIDAS 2.0). Este Reglamento es directamente aplicable en todos los Estados miembros sin transposición nacional.

Sus disposiciones clave para proveedores calificados:

• Artículo 17: obligación para cada Estado miembro de designar un órgano de supervisión (en Francia, la ANSSI);
• Artículo 20: procedimiento de supervisión, auditoría e inscripción en la lista de confianza;
• Artículo 25: presunción de equivalencia entre QES y firma manuscrita, con efectos jurídicos garantizados en toda la UE;
• Anexo I: requisitos relativos a certificados calificados para firma electrónica;
• Anexo II: requisitos relativos a dispositivos de creación de firma calificada (QSCD).

Derecho francés

En derecho interno, la firma electrónica está regulada por:

• Código civil, artículos 1366 y 1367: el artículo 1366 reconoce el valor probatorio del escrito electrónico siempre que garantice la identidad del autor e integridad del documento. El artículo 1367 precisa que la firma electrónica consistente en un procedimiento fiable de identificación se beneficia de una presunción de fiabilidad cuando se crea conforme al decreto de aplicación;
• Decreto nº 2017-1416 de 28 de septiembre de 2017: define las condiciones en las que la firma electrónica calificada se presume fiable en Francia, remitiendo explícitamente al Reglamento eIDAS;
• Ordenanza nº 2005-674 de 16 de junio de 2005 relativa al cumplimiento de ciertas formalidades contractuales por vía electrónica.

Protección de datos personales

Los procesos de inscripción y firma implican el tratamiento de datos de carácter personal (datos de identidad, biometría para identificación por video). El proveedor calificado está sujeto al Reglamento (UE) 2016/679 (RGPD) y debe en particular:

• Designar un DPO si el tratamiento es a gran escala;
• Documentar los tratamientos en el registro CNIL;
• Encuadrar transferencias fuera de la UE mediante garantías apropiadas (cláusulas contractuales tipo, decisión de adecuación).

Ciberseguridad y resiliencia

Desde octubre de 2024, la Directiva NIS2 (2022/2555/UE) se aplica a proveedores de servicios de confianza calificados, clasificados como entidades esenciales. Deben implementar medidas de gestión de riesgos cibernéticos, notificar incidentes significativos a la ANSSI en 24 horas, y someterse a auditorías regulares. El incumplimiento expone a sanciones que pueden alcanzar 10 millones de euros o el 2% de la facturación mundial anual.

Normas técnicas de referencia

• ETSI EN 319 401: requisitos generales para proveedores de servicios de confianza;
• ETSI EN 319 411-2: perfil de política para certificados calificados;
• ETSI EN 319 132: formatos de firma XAdES;
• ETSI EN 319 122: formatos de firma CAdES;
• ETSI EN 319 162: formatos de firma PAdES (PDF).

Escenarios de uso: ¿cuándo la firma calificada eIDAS es indispensable?

Escenario 1 — Un despacho de abogados que gestiona actos bajo firma privada con alta probanza

Un despacho de abogados mercantilistas de aproximadamente veinte colaboradores trata cada mes varias decenas de cesiones de participaciones sociales, protocolos de acuerdo y convenios de garantía de activo y pasivo (GAP). Estos actos comprometen sumas frecuentemente superiores a varios cientos de miles de euros y son susceptibles de ser impugnados en justicia.

Antes de migrar hacia un proveedor eIDAS calificado, el despacho utilizaba una solución de firma avanzada (AES), lo cual era suficiente para la mayoría de actos corrientes. Después de un incidente donde la parte contraria impugnó la autenticidad de una firma durante un litigio, el despacho optó por la QES para todos los actos con enjundia elevada. Resultado: reducción del 90% del tiempo dedicado a aportar pruebas de firma durante procedimientos contenciosos, gracias a la presunción legal irrefragable vinculada a la QES. El sobrecoste unitario por firma (aproximadamente 2 a 5 € según volúmenes) fue íntegramente absorbido por la disminución de honorarios de litigios.

Escenario 2 — Una empresa mediana que gestiona contratos con proveedores transfronterizos

Una empresa de tamaño intermedio (ETI) del sector de equipamiento industrial, con proveedores establecidos en Francia, Alemania, Italia y Polonia, debía hasta entonces enviar sus contratos marco por correo postal u organizar encuentros de firma presenciales, generando plazos de 10 a 21 días hábiles por contrato.

Implementando una solución conectada a un PSCQ europeo inscrito en la Trust List, la empresa redujo el ciclo de firma a menos de 48 horas en promedio. El reconocimiento mutuo entre Estados miembros garantiza el valor jurídico sin necesidad de legalizaciones suplementarias. Sobre un portafolio de 350 contratos con proveedores anuales, la ganancia estimada en costos administrativos y logísticos supera 40 000 € por año, según franjas coherentes con estudios sectoriales publicados por ACFE y APQC.

Escenario 3 — Un agrupamiento hospitalario sujeto a requisitos del sector de salud

Un agrupamiento hospitalario de aproximadamente 1 200 camas debe firmar electrónicamente contrataciones públicas, convenios de investigación clínica y contratos de profesionales sanitarios. Estos documentos están sometidos al Código de Contratación Pública, que exige una firma electrónica conforme al RGS (Referencial General de Seguridad) de nivel ** o, desde la desmaterialización de contrataciones públicas, a un nivel equivalente eIDAS.

Apoyándose en un PSCQ inscrito en la Trust List francesa, el agrupamiento garantiza conformidad con el artículo R. 2132-7 del Código de Contratación Pública a la vez que reduce plazos de firma de contrataciones de 15 días a menos de 72 horas. La integración API con el sistema de información hospitalario (SIH) permitió automatizar envío y seguimiento de documentos, liberando aproximadamente 0,4 ETP en tareas administrativas vinculadas a contratos.

Conclusión

Elegir un proveedor eIDAS calificado no es una simple compra de software: es una decisión estratégica que compromete el valor probatorio de tus actos, la conformidad regulatoria de tu organización y la confianza de tus socios comerciales e institucionales. En 2026, con la entrada en vigor gradual de eIDAS 2.0 y nuevas obligaciones NIS2, el nivel de exigencia solo aumenta.

Los puntos esenciales a retener: verifica sistemáticamente la inscripción en la Trust List oficial, exige una política de certificación publicada, y adapta el nivel de firma (QES, AES, SES) al enjundia jurídica de cada documento.

Certyneo te acompaña en este proceso dándote acceso a certificados calificados vía PSCQ referenciados, una API de integración robusta y soporte jurídico dedicado. ¿Listo para pasar a firma calificada? Solicita una demostración o crea tu cuenta en Certyneo y pon tu organización en conformidad hoy mismo.