eIDAS 2 Cartera de Identidad Digital: Guía 2026

La entrada en vigor del reglamento eIDAS 2 marca un punto de inflexión histórico para la gestión de la identidad digital en Europa. Con la EUDI Wallet —European Digital Identity Wallet— cada ciudadano y cada empresa dispondrá pronto de una cartera digital soberana, interoperable y reconocida en los 27 Estados miembros. Para los departamentos jurídicos, RH, cumplimiento normativo y DSI, este proyecto normativo abre tantas oportunidades como desafíos operacionales. Este artículo descifra el funcionamiento técnico y jurídico de la EUDI Wallet, sus implicaciones concretas para las empresas y cómo se articula con las soluciones de firma electrónica cualificada ya existentes.

¿Qué es eIDAS 2 y la EUDI Wallet?

Del reglamento eIDAS 1.0 al reglamento eIDAS 2.0: una evolución estructural

Adoptado en 2014, el reglamento eIDAS n°910/2014 sentó las bases de la confianza digital en Europa: firmas electrónicas cualificadas, sellos, marcas de tiempo y servicios de autenticación. Pero una década después, sus limitaciones se hicieron evidentes: interoperabilidad insuficiente entre Estados miembros, adopción desigual de identidades digitales nacionales, ausencia de una cartera unificada. El reglamento (UE) 2024/1183, conocido como eIDAS 2, adoptado oficialmente el 11 de abril de 2024 en el Diario Oficial de la UE, corrige estas deficiencias imponiendo un marco común de identidad digital soberana.

Para profundizar en el nuevo marco regulatorio completo, consulte nuestra guía completa sobre el reglamento eIDAS 2.0.

La EUDI Wallet: arquitectura y principios fundadores

La EUDI Wallet (European Digital Identity Wallet) es una aplicación móvil y/o de software que cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes a más tardar en 2026, conforme al artículo 5a del reglamento revisado. Concretamente, esta cartera digital permite:

• Almacenar y presentar atributos de identidad verificados: documento de identidad, permiso de conducir, diplomas, acreditaciones profesionales, número de IVA intracomunitario para personas jurídicas.
• Autenticar al usuario ante servicios públicos y privados en niveles de seguridad elevados (LoA High conforme al anexo I del reglamento).
• Firmar electrónicamente documentos con nivel cualificado, apoyándose en Dispositivos Cualificados de Creación de Firma Electrónica (QSCD) certificados.
• Compartir selectivamente los datos (principio de selective disclosure) sin revelar más información de la necesaria — una contribución importante para el cumplimiento del RGPD.

La arquitectura se basa en las especificaciones técnicas publicadas por la Comisión Europea a través del Architecture and Reference Framework (ARF), mantenido por el consorcio EUDIW (European Digital Identity Wallet). Los formatos de presentación adoptados incluyen ISO/IEC 18013-5 (mDL — mobile Driver's Licence) y SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dos estándares abiertos que garantizan la portabilidad.

¿Quién está afectado? Entidades receptoras de confianza (Relying Parties)

El reglamento eIDAS 2 introduce la noción de Relying Party (entidad receptora de confianza). Cualquier organización —empresa privada, administración, plataforma en línea— que acepte atributos de identidad provenientes de la EUDI Wallet debe registrarse ante su Estado miembro y respetar un conjunto de obligaciones técnicas y de seguridad. El artículo 5b del reglamento especifica que las grandes plataformas (en el sentido de la DSA) y ciertos sectores (banca, sanidad, energía) serán obligadas a aceptar la EUDI Wallet desde la entrada en producción nacional.

Funcionamiento técnico de la EUDI Wallet para las empresas

El flujo de autenticación y firma paso a paso

Comprender el flujo técnico es indispensable para anticipar la integración en los sistemas de información. Un escenario típico de firma de contrato a través de EUDI Wallet se desarrolla así:

1. Inicialización: la Relying Party (ej.: su plataforma SaaS) genera una solicitud de presentación conforme al protocolo OpenID4VP (OpenID for Verifiable Presentations).
2. Notificación: el usuario recibe una notificación en su EUDI Wallet móvil.
3. Consentimiento y selección: el usuario elige los atributos a compartir (nombre, apellidos, fecha de nacimiento) a través de la interfaz selective disclosure.
4. Presentación verificable: la cartera genera una prueba criptográfica firmada por el Emisor de Confianza (el Estado miembro o un proveedor acreditado).
5. Verificación: la Relying Party verifica la prueba a través del registro de confianza europeo (Trust Framework), sin almacenar datos superfluos.
6. Firma cualificada: si se requiere un acto de firma, el QSCD integrado en la cartera u hospedado en la nube (QSign) produce una firma cualificada conforme a ETSI EN 319 132.

Este flujo garantiza un nivel de seguridad LoA High, el más elevado previsto por el reglamento, equivalente a una verificación cara a cara.

Integración con plataformas de firma electrónica existentes

Los editores de soluciones de firma electrónica deben integrar los protocolos OpenID4VCI (emisión) y OpenID4VP (presentación) para conectarse al ecosistema EUDI. Para las empresas que ya utilizan una plataforma conforme a eIDAS 1.0, la transición a eIDAS 2 implica una actualización técnica de versión, pero preserva el valor jurídico de las firmas ya realizadas. Por lo tanto, es estratégico evaluar la roadmap de su proveedor actual, especialmente si está considerando migrar de DocuSign o YouSign a una solución más conforme.

Identidad digital de personas jurídicas: el desafío empresarial

eIDAS 2 no se limita a personas físicas. El artículo 5a §3 prevé explícitamente carteras para personas jurídicas, que permiten a las empresas:

• Demostrar su existencia legal (equivalente a un extracto del Registro Mercantil numérico verificable).
• Delegar poderes de firma a sus colaboradores de manera auditada y revocable.
• Automatizar la verificación de KYB (Know Your Business) en procesos contractuales B2B.

Esta dimensión es particularmente transformadora para los procesos de firma electrónica en la empresa, especialmente en los sectores de RH, jurídico y financiero.

Calendario de despliegue y obligaciones normativas 2024-2026

Fases de implementación conforme al reglamento

El reglamento (UE) 2024/1183 fija un calendario vinculante:

• Abril de 2024: publicación en el Diario Oficial, entrada en vigor 20 días después.
• Finales de 2024: publicación de los actos de ejecución (Implementing Acts) que definen las especificaciones técnicas obligatorias.
• 2025: despliegue de carteras piloto nacionales (proyectos de pilotos a gran escala: EU Digital Identity Wallet Large Scale Pilots, financiados con 46 millones de euros por la Comisión).
• Finales de 2026: puesta a disposición obligatoria por todos los Estados miembros de al menos una EUDI Wallet operacional. Las grandes plataformas y sectores regulados deberán aceptarla.

Para las empresas francesas, el despliegue se apoya en la identidad digital de La Poste y los trabajos de la ANSSI en cuanto a la certificación de Emisores de Confianza nacionales.

Obligaciones para las Relying Parties

Las empresas que deseen o deban aceptar la EUDI Wallet están sujetas a varias obligaciones:

1. Registro ante la autoridad nacional competente (en Francia, la ANSSI y la CNIL según corresponda).
2. Conformidad técnica con las especificaciones del ARF v2.x publicadas en GitHub por la Comisión Europea.
3. Transparencia: publicar en un registro público los atributos solicitados y la finalidad del tratamiento.
4. Minimización de datos: solicitar únicamente los atributos estrictamente necesarios — obligación reforzada por el RGPD.
5. Registro de auditoría: conservar los registros de las presentaciones verificables para auditoría, sin almacenar datos de identidad brutos.

Las empresas que integren la EUDI Wallet en sus flujos de firma electrónica para despachos de abogados o para la gestión de RH obtendrán una ventaja competitiva significativa a partir de 2026.

Retos estratégicos y oportunidades para las empresas

Reducción de fricciones en los procesos KYC/KYB

Uno de los beneficios más inmediatos de la EUDI Wallet es la eliminación de verificaciones de identidad manuales. Hoy en día, la incorporación de un nuevo cliente o socio comercial requiere envío de justificantes, verificación manual por el personal y retrasos en el tratamiento. Con la EUDI Wallet, la verificación se vuelve instantánea, criptográficamente certificada y auditada. Los sectores bancario, inmobiliario y de seguros —sujetos a obligaciones LCB-FT— ven en esto una oportunidad importante para el cumplimiento automatizado. El sector de la firma electrónica en el inmueble se ve particularmente impactado, con procesos de verificación de identidad que representan actualmente hasta el 40 % del tiempo administrativo.

Soberanía digital y reducción de dependencia de los GAFAM

La EUDI Wallet responde a una ambición política fuerte: reducir la dependencia de los europeos de los sistemas de identidad operados por actores no europeos (Google, Apple, Meta). Para las empresas, esto se traduce en una infraestructura de autenticación interoperable, abierta y no cautiva, basada en estándares ISO y W3C en lugar de SDK propietarios. Esta soberanía es también un argumento comercial de diferenciación en licitaciones públicas, cada vez más sensibles a cláusulas de localización de datos.

Impacto en la firma electrónica cualificada y los QTSP

Los Prestadores de Servicios de Confianza Cualificados (QTSP — Qualified Trust Service Providers) ven evolucionar su papel. Con la EUDI Wallet, los QSCD pueden alojarse directamente en la cartera o delegarse a un QTSP en la nube (Firma Cualificada Remota). Para las empresas, esto significa que la firma cualificada —hasta ahora reservada a casos críticos debido a su complejidad— se vuelve accesible y escalable. Nuestro comparativo de soluciones de firma electrónica integra ahora este criterio de compatibilidad con EUDI Wallet en su análisis.

Marco legal aplicable a la EUDI Wallet y a las empresas

Reglamento eIDAS 2: (UE) 2024/1183

El texto fundacional es el reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024, que modifica el reglamento eIDAS n°910/2014. Es directamente aplicable en todos los Estados miembros sin necesidad de transposición legislativa nacional, lo que garantiza una uniformidad jurídica europea. Los artículos 5a a 5c definen las obligaciones relativas a la EUDI Wallet, los niveles de seguridad y los derechos de los usuarios. El artículo 46f introduce las obligaciones específicas para las Relying Parties de sectores regulados.

Código Civil francés: artículos 1366 y 1367

En derecho francés, la firma electrónica cualificada producida a través de una EUDI Wallet se beneficia de la presunción de fiabilidad prevista por el artículo 1367 del Código Civil: « La firma electrónica consiste en el uso de un procedimiento fiable de identificación que garantiza su vínculo con el acto al que se adjunta. » La fiabilidad se presume cuando la firma es cualificada en el sentido de eIDAS. El artículo 1366 equipara el escrito electrónico con el escrito en papel siempre que su autor esté identificado y la integridad esté garantizada — dos condiciones que la EUDI Wallet cumple nativamente.

RGPD n°2016/679: articulación con la minimización de datos

El reglamento (UE) 2016/679 (RGPD) se aplica plenamente a las Relying Parties que tratan atributos de identidad provenientes de la EUDI Wallet. Los principios de minimización de datos (art. 5 §1c), limitación de la finalidad (art. 5 §1b) y privacidad por diseño (art. 25) deben integrarse desde el diseño de la integración técnica. La selective disclosure nativa de la EUDI Wallet facilita técnicamente el cumplimiento, pero la empresa sigue siendo responsable (art. 24) de documentar sus bases legales de tratamiento.

Normas ETSI y estándares técnicos

La firma cualificada producida a través de EUDI Wallet debe respetar las normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) y ETSI EN 319 162 (PAdES) para los formatos de firma electrónica avanzada y cualificada. Las políticas de certificación se definen en ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Los actos de ejecución de la Comisión especifican los requisitos de certificación de los Emisores de Confianza (norma ISO/IEC 27001 y criterios comunes EAL 4+).

Directiva NIS2: (UE) 2022/2555

Los operadores de infraestructura EUDI Wallet (Estados miembros, Emisores de Confianza, QTSP) están sujetos a las obligaciones de la directiva NIS2 (UE) 2022/2555, transpuesta en Francia por la ley n°2023-703. Para las empresas usuarias, NIS2 impone obligaciones de gestión de riesgos relacionados con proveedores terceros (art. 21 §2d), lo que incluye proveedores de soluciones que integran la EUDI Wallet. Se recomienda por lo tanto un análisis de impacto de riesgos de la cadena de suministro digital antes de cualquier despliegue.

Escenarios de uso de la EUDI Wallet en la empresa

Escenario 1: Despacho de abogados — verificación de identidad y firma de poderes

Un despacho de abogados de asuntos corporativos de una veintena de colaboradores trata varios cientos de poderes, cartas de encargo y mandatos cada mes. Actualmente, la verificación de identidad de los clientes requiere envío de justificantes por correo electrónico, verificación manual por la asistente jurídica y un retraso promedio de 48 horas. Con la integración de la EUDI Wallet como mecanismo de autenticación, el cliente presenta su documento de identidad digital desde su cartera en menos de 90 segundos. La firma cualificada se produce a continuación, sin fricción adicional. Según los comentarios observados en los pilotos a gran escala realizados entre 2023 y 2025, este tipo de flujo reduce el tiempo de tratamiento de la incorporación de clientes de 60 a 75 % y elimina los riesgos de errores de entrada o documentos vencidos. El despacho también gana en cumplimiento LCB-FT, ya que los atributos de identidad están criptográficamente certificados por un Estado miembro.

Escenario 2: PYME industrial — gestión de contratos con proveedores y delegaciones de firma

Una PYME industrial de unos cien empleados gestiona aproximadamente 300 contratos con proveedores al año, implicando responsables de compras repartidos en tres sedes. La gestión de las delegaciones de firma está documentada actualmente en papel y es difícil de auditar. Con la EUDI Wallet empresarial (persona jurídica), la dirección puede atribuir atributos de delegación verificables a cada responsable de compras: límite de compromiso, ámbito geográfico, duración de validez. Estos atributos se almacenan en la cartera del colaborador y se presentan automáticamente en cada acto de firma. En caso de despido o cambio de puesto, la revocación es instantánea y auditada. Este mecanismo reduce los riesgos de litigios contractuales relacionados con firmas no autorizadas y mejora la trazabilidad para auditorías internas. Los departamentos financieros constatan generalmente una reducción de 30 a 40 % en el tiempo dedicado a la gestión y verificación de poderes de firma.

Escenario 3: Agrupación hospitalaria — consentimiento del paciente y acceso a datos de salud

Una agrupación hospitalaria que reúne varios establecimientos y aproximadamente 1 500 agentes de salud se enfrenta a desafíos crecientes de consentimiento del paciente, especialmente para el acceso a historiales médicos compartidos a través de Mi Espacio de Salud. La integración de la EUDI Wallet como mecanismo de consentimiento informado permite al paciente validar, desde su smartphone, el acceso a sus datos por un médico especialista, especificando la duración y el alcance del acceso. La selective disclosure garantiza que solo se compartan los atributos médicos relevantes. Para los agentes de salud, la cartera proporciona su número RPPS (Repertorio Compartido de Profesionales de Salud) como atributo verificable, eliminando los procesos de verificación manual actuales. Este tipo de despliegue, coherente con el marco del Espacio Europeo de Datos de Salud (EHDS), puede reducir los retrasos de acceso a datos de salud autorizados de varias horas a unos pocos segundos. Para obtener más información sobre los desafíos específicos del sector, nuestra guía sobre firma electrónica en sanidad detalla las restricciones normativas aplicables.

Conclusión

La EUDI Wallet y el reglamento eIDAS 2 constituyen la transformación más significativa de la identidad digital europea en una década. Para las empresas, la cuestión no es solo cumplir con una nueva reglamentación, sino aprovechar una oportunidad para modernizar profundamente sus procesos de firma, incorporación y gestión de delegaciones. Los sectores jurídico, RH, sanidad e industrial están en primera línea. La clave del éxito reside en la anticipación: evaluar ahora la compatibilidad de sus herramientas actuales, formar a sus equipos y elegir partners cuya roadmap esté alineada con eIDAS 2.

Certyneo acompaña a las empresas en esta transición con una plataforma de firma electrónica diseñada para ser compatible con EUDI Wallet desde su despliegue. Descubra nuestras ofertas e inicie gratuitamente para anticipar 2026 con total confianza.