Reglamento eIDAS: todo lo que necesita saber sobre la firma electrónica en Europa
Actualizado el
El reglamento eIDAS es el texto fundacional de la firma electrónica en Europa. Define tres niveles de firma (simple, avanzada, cualificada), establece el valor jurídico de los actos electrónicos y regula los proveedores de servicios de confianza. Esta guía le explica todo lo que necesita saber para cumplir con la normativa en 2026.
¿Qué es eIDAS y por qué fue creado?
Antes de eIDAS, cada Estado miembro de la Unión Europea tenía su propia regulación sobre firmas electrónicas, creando una fragmentación jurídica que frenaba los intercambios transfronterizos. Una firma electrónica válida en Francia no era necesariamente reconocida en Alemania o España.
El reglamento (UE) n°910/2014, conocido como eIDAS (Electronic IDentification, Authentication and trust Services), fue adoptado el 23 de julio de 2014 y entró en aplicación el 1 de julio de 2016. Como reglamento (y no directiva), se aplica directa y uniformemente en los 27 Estados miembros, sin necesidad de transposición nacional.
eIDAS persigue tres objetivos principales: crear un mercado digital único en Europa mediante el reconocimiento mutuo de identidades electrónicas, garantizar la seguridad jurídica de las transacciones electrónicas transfronterizas, e instaurar un marco de confianza para los servicios digitales a través de los proveedores de servicios de confianza cualificados (QTSP — Qualified Trust Service Provider).
Los 3 niveles de firma definidos por eIDAS
eIDAS establece una pirámide de tres niveles de firma electrónica, cada uno con sus propios requisitos técnicos y su valor probatorio.
Firma Electrónica Simple
Requisitos eIDAS
- Datos en forma electrónica vinculados a otros datos
- Utilizada para firmar (sin requisitos técnicos específicos)
- Puede ser un simple clic, una casilla marcada o un nombre escrito
Ejemplos de uso
- Aceptación de términos y condiciones
- Formulario en línea
- Correo de confirmación
Valor jurídico
Valor contractual básico, sin presunción legal
Firma Electrónica Avanzada
Requisitos eIDAS
- Vinculada de manera única al firmante
- Permite identificar al firmante
- Creada con datos bajo el control exclusivo del firmante
- Cualquier modificación posterior del documento es detectable
Ejemplos de uso
- Contratos de trabajo
- No se puede
- Contratos comerciales
- Mandatos
Valor jurídico
Valor probatorio sólido — recomendado para contratos importantes
Firma Electrónica Cualificada
Requisitos eIDAS
- Cumple con todos los requisitos de AES
- Creada por un dispositivo de creación de firma calificada (QSCD)
- Basada en un certificado calificado emitido por un QTSP (lista de confianza UE)
Ejemplos de uso
- Actas auténticas digitales
- Licitaciones públicas exigentes
- Actas reguladas
Valor jurídico
Presunción legal equivalente a la firma manuscrita (art. 25 eIDAS)
eIDAS 2.0: novedades 2024
El reglamento eIDAS fue revisado por el reglamento (UE) 2024/1183, publicado en el Diario Oficial de la UE el 30 de abril de 2024 y en vigor desde el 20 de mayo de 2024. Esta revisión moderniza el marco inicial para responder a los desafíos del entorno digital contemporáneo: identidad digital de los ciudadanos, nube soberana, resiliencia de proveedores de confianza.
La medida estrella de eIDAS 2.0 es la Cartera Europea de Identidad Digital (EUDIW). Antes de finales de 2026, cada Estado miembro deberá ofrecer a sus ciudadanos y residentes una aplicación que permita almacenar y presentar certificados de identidad certificados —equivalente digital del documento de identidad, permiso de conducir, diplomas. Este cambio tendrá un impacto directo en los procesos de firma calificada.
Cartera de identidad digital (EUDIW)
eIDAS 2.0 introduce la Cartera de Identidad Digital Europea: cada ciudadano europeo podrá almacenar sus certificados de identidad digitales certificados (documento de identidad, permiso de conducir, diplomas) en una aplicación móvil interoperable en toda la UE.
Refuerzo de QTSP
Los requisitos aplicables a los proveedores de servicios de confianza calificados (QTSP) se refuerzan, especialmente en ciberseguridad, auditorías y continuidad de servicio.
Nuevos servicios de confianza
eIDAS 2.0 añade nuevos servicios calificados: archivo electrónico calificado, gestión de datos de atribución calificada, registro electrónico calificado (blockchain certificada).
Interoperabilidad reforzada
Mejor reconocimiento mutuo de identidades digitales entre Estados miembros. Las firmas calificadas emitidas en cualquier país de la UE se reconocen en todas partes.
¿Cómo ser conforme a eIDAS en la práctica?
La conformidad eIDAS no se reduce a la elección de un nivel de firma. Implica reflexionar sobre todo el proceso: identificación de riesgos, elección de herramientas, conservación de pruebas y gobernanza documental.
Aquí hay una lista de verificación práctica para empresas que desean asegurar sus procesos de firma electrónica en conformidad con eIDAS:
El enfoque de conformidad eIDAS de Certyneo
Certyneo implementa los niveles SES (Firma Electrónica Simple) y AES (Firma Electrónica Avanzada) del reglamento eIDAS. La firma avanzada se basa en una autenticación de dos factores: un enlace de un solo uso enviado por correo electrónico y un código OTP enviado por SMS a través de nuestro proveedor OTP SMS. Este mecanismo cumple con los cuatro criterios del artículo 26 de eIDAS para la firma avanzada.
Cada envío genera una pista de auditoría completa: marca de tiempo de cada acción (envío, apertura del enlace, validación de OTP, firma aplicada, rechazo eventual), dirección IP del firmante, user-agent del navegador. Esta pista de auditoría se integra en la parte inferior de cada página del PDF final (pie de auditoría) y se conserva durante 10 años.
Los datos están alojados en Alemania (UE) (infraestructura IONOS), dentro de la Unión Europea, en conformidad con los requisitos de soberanía digital y RGPD. Consulte nuestra página de seguridad y conformidad para todos los detalles técnicos.
Preguntas frecuentes sobre eIDAS
¿Qué es el reglamento eIDAS?
eIDAS (Identificación Electrónica, Autenticación y Servicios de Confianza) es el reglamento europeo (UE) nº 910/2014 que establece un marco legal común para firmas electrónicas, sellos electrónicos, marcas de tiempo, servicios de entrega certificada electrónica y servicios de autenticación de sitios web en la Unión Europea. Entró en vigor el 1º de julio de 2016 y se aplica directamente en los 27 Estados miembros.
¿Cuál es la diferencia entre eIDAS y eIDAS 2.0?
eIDAS 2.0 (reglamento (UE) 2024/1183, en vigor desde el 20 de mayo de 2024) moderniza eIDAS 1.0 al introducir, entre otras cosas, la Cartera Europea de Identidad Digital (EUDIW — European Digital Identity Wallet), que permitirá a los ciudadanos europeos almacenar atestaciones de identidad digital certificadas. Para las empresas, eIDAS 2.0 refuerza los requisitos de los proveedores de servicios de confianza calificados (QTSP) y mejora la interoperabilidad transfronteriza.
¿Tiene valor legal una firma electrónica simple según eIDAS?
Sí. El artículo 25 de eIDAS prohíbe explícitamente rechazar efectos legales a una firma electrónica únicamente porque está en forma electrónica. Una firma simple (SES) tiene valor legal, pero no goza de la presunción legal reservada a las firmas calificadas (QES). En caso de litigio, corresponde a quien invoca la firma probar su autenticidad.
¿Cómo sé qué nivel eIDAS elegir para mis contratos?
La regla general es calibrar el nivel al riesgo legal y comercial del documento. Para documentos comunes de bajo riesgo (presupuestos, pedidos internos), la firma simple es suficiente. Para contratos comerciales importantes, contratos de trabajo, NDA o mandatos, se recomienda firma avanzada (AES). La firma calificada (QES) se reserva para situaciones donde la ley lo exige explícitamente (ciertos actos administrativos, licitaciones públicas de gran escala) o cuando el riesgo de impugnación es máximo.
¿Cómo es Certyneo conforme a eIDAS?
Certyneo implementa la firma simple (SES) y la firma avanzada (AES) de conformidad con eIDAS. La firma avanzada se basa en un doble OTP correo electrónico + SMS (nuestro proveedor OTP SMS) que vincula al firmante con su acto. Cada sobre genera un audit trail con timestamp integrado en el PDF final. Los datos se alojan en Alemania (UE), de conformidad con los requisitos de soberanía digital.
¿Se aplica eIDAS a empresas fuera de la Unión Europea?
eIDAS se aplica a los servicios de confianza proporcionados en la UE. Una empresa establecida fuera de la UE que desee que sus firmas sean reconocidas en la UE debe utilizar una solución conforme a eIDAS o un proveedor de confianza calificado (QTSP) reconocido en la lista de confianza de un Estado miembro. Para intercambios B2B internacionales, existen acuerdos de reconocimiento mutuo con ciertos países terceros.