Prestadores eIDAS cualificados: la lista oficial 2026

¿Por qué el estatus «cualificado» eIDAS es decisivo para tu empresa?

Desde la entrada en vigor del Reglamento eIDAS (n.° 910/2014), el mercado europeo de la firma electrónica se ha reestructurado profundamente alrededor de una jerarquía de tres niveles: la firma electrónica simple (SES), la firma electrónica avanzada (AES) y la firma electrónica cualificada (QES). Esta última es la única que se beneficia de una presunción legal de equivalencia con la firma manuscrita en todos los Estados miembros de la Unión Europea.

Para que una empresa pueda ofrecer firmas cualificadas, debe haber sido auditada e inscrita necesariamente en la lista de confianza (Trust List) de su Estado miembro. En Francia, es la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) quien mantiene este registro oficial, que se publica a su vez en la lista europea centralizada gestionada por la Comisión Europea.

Comprender esta arquitectura es fundamental antes de firmar cualquier contrato comercial sensible. Para profundizar en las bases reglamentarias, nuestro guía completo sobre el Reglamento eIDAS 2.0 detalla todas las obligaciones y las evoluciones introducidas por el Reglamento revisado eIDAS 2.0 (Reglamento UE 2024/1183).

---

¿Cómo se certifican los prestadores de servicios de confianza cualificados?

El camino hacia el estatus de Prestador de Servicios de Confianza Cualificado (PSCQ) es exigente. Implica una auditoría realizada por un organismo de evaluación de la conformidad (CAB, Conformity Assessment Body) acreditado, conforme a las normas ETSI EN 319 401 (exigencias generales) y ETSI EN 319 411-2 para los certificados cualificados.

Las etapas de cualificación ANSSI

1. Presentación del expediente de cualificación: el prestador presenta su documentación técnica, de seguridad y organizativa a la ANSSI.
2. Auditoría por un CAB acreditado: un organismo tercero —como Bureau Veritas, LSTI o Apave Certification— verifica la conformidad en sitio y documentalmente.
3. Decisión de cualificación: la ANSSI pronuncia la cualificación e inscribe al prestador en la lista de confianza francesa (TL-FR).
4. Renovación periódica: la cualificación se reevalúa, en general cada dos años, para garantizar el mantenimiento de los requisitos.

¿Qué verifica concretamente la auditoría?

El auditor examina especialmente:

• La seguridad física de los centros de datos que albergan las claves criptográficas (módulos HSM certificados CC EAL 4+ o FIPS 140-2 Level 3 como mínimo);
• Las políticas de certificación (CP) y las declaraciones de prácticas de certificación (CPS) publicadas por el prestador;
• Los procedimientos de verificación de identidad de los firmantes (cara a cara o verificación de identidad a distancia conforme a la norma EN 419 241-1);
• La gestión de revocaciones y la disponibilidad de servicios OCSP/CRL.

Estos criterios explican por qué solo un puñado de actores alcanzan y mantienen este nivel de certificación en Francia.

---

Los prestadores eIDAS cualificados referenciados en Francia en 2026

La lista oficial de prestadores cualificados está disponible en todo momento en el portal oficial de la Comisión Europea (eidas.ec.europa.eu/efts), filtrando por «Francia» y el servicio «QCertESig» (Qualified Certificate for Electronic Signature). Estos son los actores que figuraban en el registro al momento de redacción de este artículo (junio 2026):

Actores franceses inscritos en la Trust List

| Prestador | Tipo de servicio cualificado | Particularidad | |---|---|---| | Certigna (Dhimyotis) | Certificados cualificados, sellado de tiempo cualificado | Grupo La Poste, certificado eIDAS desde 2016 | | Certinomis | Certificados cualificados | Filial de La Poste, orientada al sector público | | ChamberSign France | Certificados cualificados | Red de las CCI, fuerte anclaje en PYME/TPE | | Keynectis / DocuSign France | Certificados cualificados | Adquirido por DocuSign, mantenimiento de etiqueta ANSSI | | Universign (Tessi) | Certificados cualificados, sellado de tiempo | Pionero del mercado, integrado en el grupo Tessi | | Entrust (ex-Datacard) | Certificados cualificados | Actor internacional, Trust List en múltiples Estados miembros | | Oodrive Sign | Certificados cualificados | Editor soberano francés, cualificado SecNumCloud |

> Advertencia: esta lista se proporciona a título indicativo e informativo. Solo la Trust List oficial de la Comisión Europea tiene valor legal. Verifica siempre el estado actual en el portal ETSI antes de cualquier compromiso contractual.

Prestadores extranjeros reconocidos en Francia a través de la Trust List europea

En virtud del principio de reconocimiento mutuo establecido por el artículo 25 del Reglamento eIDAS, una firma cualificada emitida por un PSCQ inscrito en la lista de confianza de otro Estado miembro produce los mismos efectos jurídicos en Francia. Entre los actores no franceses frecuentemente utilizados:

• Namirial (Italia): fuerte en firma cualificada a distancia (QES remote signing);
• SwissSign (Suiza): atención, Suiza no es miembro de la UE; el reconocimiento es parcial;
• Qualified.one / Asseco Data Systems (Polonia): actor público europeo, frecuente en mercados transfronterizos.

Para comparar estas soluciones según tus necesidades comerciales, consulta nuestro comparativo de soluciones de firma electrónica que analiza los criterios precio, conformidad e integración API.

---

¿Cómo elegir el prestador eIDAS cualificado adecuado para tu organización?

Figurar en la Trust List es una condición necesaria, pero no suficiente. La elección de un PSCQ debe basarse en varios criterios complementarios.

Criterios técnicos y de integración

• API REST o SDK disponible: imprescindible para automatizar la firma en tus flujos de trabajo empresariales (ERP, SIRH, CRM);
• Formatos de firma soportados: PAdES para PDF, XAdES para XML, CAdES para archivos binarios —todos normalizados por ETSI EN 319 100;
• Disponibilidad del servicio: SLA superior al 99,9% garantizado contractualmente, con ventanas de mantenimiento previstas fuera de horario comercial;
• Alojamiento de datos: prefiere alojamiento en Francia o en la UE, idealmente cualificado SecNumCloud para datos sensibles.

Criterios jurídicos y de conformidad

• Verifica que el prestador proporcione un informe de cualificación actualizado (menos de 24 meses);
• Exige una política de certificación publicada (CP) accesible públicamente y auditada;
• Asegúrate de que las condiciones generales prevean explícitamente la entrega de certificados cualificados conforme al Anexo I del Reglamento eIDAS.

Criterios operacionales y de soporte

• Procedimiento de enrolamiento de firmantes: cara a cara en agencia, identificación por video conforme a eIDAS o NFC desde un documento de identidad electrónico;
• Soporte en francés con plazos de respuesta contractuales;
• Formación y documentación disponibles para tus equipos jurídicos e informáticos.

Si tu organización gestiona flujos documentales importantes en RH, nuestra página dedicada a la firma electrónica para equipos de RH detalla los casos de uso específicos (contratos de trabajo, enmiendas, incorporación) y los niveles de firma recomendados por tipo de documento.

---

eIDAS 2.0: ¿qué cambios para los prestadores cualificados en 2026?

El Reglamento eIDAS 2.0 (Reglamento UE 2024/1183, entrada en aplicación progresiva desde mayo de 2024) introduce varias evoluciones estructurales que impactan directamente a los PSCQ y sus clientes.

La Cartera Europea de Identidad Numérica (EUDI Wallet)

El artículo 6a del Reglamento revisado impone a los Estados miembros ofrecer, antes de septiembre de 2026, una cartera de identidad numérica (EUDI Wallet) reconocida en toda la UE. Para los prestadores cualificados, esto significa:

• La obligación de aceptar atributos de identidad provenientes del wallet como prueba de identidad para el enrolamiento de firmantes;
• El surgimiento de un nuevo servicio cualificado: la entrega de certificaciones de atributos cualificados (Qualified Electronic Attestation of Attributes, QEAA).

Nuevos servicios cualificados y ampliación del alcance

eIDAS 2.0 amplía la lista de servicios de confianza cualificados para incluir:

• Los servicios de archivo electrónico cualificado (QPDS, artículo 45f);
• Los servicios de gestión de dispositivos de creación de firma a distancia (QRCD).

Estas evoluciones representan tanto una restricción de cumplimiento (plazos cerrados para prestadores existentes) como una oportunidad de diferenciación para nuevos entrantes capaces de integrar rápidamente las especificaciones técnicas publicadas por ENISA y ETSI.

Para empresas que contemplan una migración desde una plataforma existente hacia una solución más conforme, nuestro guía de migración desde DocuSign o YouSign hacia Certyneo presenta los pasos concretos y los puntos de vigilancia reglamentaria.

Marco legal aplicable a los prestadores eIDAS cualificados

Reglamento eIDAS y derecho europeo

El fundamento jurídico es el Reglamento (UE) n.° 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (llamado «Reglamento eIDAS»), tal como fue modificado por el Reglamento (UE) 2024/1183 (eIDAS 2.0). Este Reglamento es directamente aplicable en todos los Estados miembros sin necesidad de transposición nacional.

Sus disposiciones clave para los prestadores cualificados:

• Artículo 17: obligación para cada Estado miembro de designar un órgano de supervisión (en Francia, la ANSSI);
• Artículo 20: procedimiento de supervisión, auditoría e inscripción en la lista de confianza;
• Artículo 25: presunción de equivalencia entre QES y firma manuscrita, con efecto jurídico garantizado en toda la UE;
• Anexo I: requisitos relativos a certificados cualificados para firma electrónica;
• Anexo II: requisitos relativos a dispositivos de creación de firma cualificada (QSCD).

Derecho francés

En derecho interno, la firma electrónica está regulada por:

• Código civil, artículos 1366 y 1367: el artículo 1366 reconoce el valor probatorio del escrito electrónico a condición de garantizar la identidad del autor y la integridad del documento. El artículo 1367 precisa que la firma electrónica consistente en un procedimiento fiable de identificación se presume fiable cuando es creada conforme al decreto de aplicación;
• Decreto n.° 2017-1416 de 28 de septiembre de 2017: define las condiciones en que la firma electrónica cualificada se presume fiable en Francia, remitiendo explícitamente al Reglamento eIDAS;
• Ordenanza n.° 2005-674 de 16 de junio de 2005 relativa al cumplimiento de ciertas formalidades contractuales por medios electrónicos.

Protección de datos personales

Los procesos de enrolamiento y firma implican el tratamiento de datos de carácter personal (datos de identidad, biometría para identificación por video). El prestador cualificado está sujeto al Reglamento (UE) 2016/679 (RGPD) y debe especialmente:

• Designar un DPO si el tratamiento es a gran escala;
• Documentar los tratamientos en el registro de la CNIL;
• Enmarcar las transferencias fuera de la UE mediante garantías apropiadas (cláusulas contractuales tipo, decisión de adecuación).

Ciberseguridad y resiliencia

Desde octubre de 2024, la Directiva NIS2 (2022/2555/UE) se aplica a los prestadores de servicios de confianza cualificados, clasificados como entidades esenciales. Deben implementar medidas de gestión de riesgos cibernéticos, notificar los incidentes significativos a la ANSSI en 24 horas, y someterse a auditorías periódicas. El incumplimiento expone a multas de hasta 10 millones de euros o el 2% del volumen de negocios mundial anual.

Normas técnicas de referencia

• ETSI EN 319 401: requisitos generales para prestadores de servicios de confianza;
• ETSI EN 319 411-2: perfil de política para certificados cualificados;
• ETSI EN 319 132: formatos de firma XAdES;
• ETSI EN 319 122: formatos de firma CAdES;
• ETSI EN 319 162: formatos de firma PAdES (PDF).

Escenarios de uso: ¿cuándo es imprescindible la firma cualificada eIDAS?

Escenario 1 — Un despacho de abogados que gestiona actas bajo firma privada con alta prueba

Un despacho de abogados de negocios de alrededor de veinte colaboradores trata cada mes varias decenas de cesiones de participaciones sociales, protocolos de acuerdo y convenios de garantía de activo y pasivo (GAP). Estos actas comprometen sumas frecuentemente superiores a varios cientos de miles de euros y son susceptibles de ser cuestionadas en justicia.

Antes de migrar hacia un prestador eIDAS cualificado, el despacho utilizaba una solución de firma avanzada (AES), lo que resultaba suficiente para la mayoría de los actas corrientes. Tras un incidente donde la parte contraria cuestionó la autenticidad de una firma durante un litigio, el despacho optó por la QES para todos los actas de alto riesgo. Resultado: reducción del 90% del tiempo dedicado a producir pruebas de firma durante los procedimientos contenciosos, gracias a la presunción legal irrefutable vinculada a la QES. El sobrecosto unitario por firma (aproximadamente 2 a 5€ según volúmenes) fue íntegramente absorbido por la reducción de gastos de litigio.

Escenario 2 — Una empresa mediana que gestiona contratos de proveedores transfronterizos

Una empresa de tamaño mediano (ETI) del sector de equipamiento industrial, con proveedores establecidos en Francia, Alemania, Italia y Polonia, debía hasta entonces enviar sus contratos marco por correo postal u organizar encuentros de firma presencialmente, generando plazos de 10 a 21 días hábiles por contrato.

Al implementar una solución conectada a un PSCQ europeo inscrito en la Trust List, la empresa redujo el ciclo de firma a menos de 48 horas en promedio. El reconocimiento mutuo entre Estados miembros garantiza el valor jurídico sin necesidad de legalización adicional. Sobre un portafolio de 350 contratos de proveedores anuales, la ganancia estimada en costos administrativos y logísticos supera los 40.000€ anuales, conforme a rangos coherentes con los estudios sectoriales publicados por ACFE y APQC.

Escenario 3 — Un agrupamiento hospitalario sometido a exigencias del sector sanitario

Un agrupamiento hospitalario de aproximadamente 1.200 camas debe firmar electrónicamente mercados públicos, convenios de investigación clínica y contratos de médicos hospitalarios. Estos documentos están sujetos al Código de compra pública, que exige una firma electrónica conforme al RGS (Referencial General de Seguridad) de nivel ** o, desde la desmaterialización de mercados públicos, a un nivel equivalente eIDAS.

Al apoyarse en un PSCQ inscrito en la Trust List francesa, el agrupamiento garantiza conformidad con el artículo R. 2132-7 del Código de compra pública mientras reduce plazos de firma de mercados de 15 días a menos de 72 horas. La integración API con el sistema de información hospitalario (SIH) permitió automatizar el envío y seguimiento de documentos, liberando aproximadamente 0,4 ETP en tareas administrativas vinculadas a contratos.

Conclusión

Elegir un prestador eIDAS cualificado no es una simple compra de software: es una decisión estratégica que compromete el valor probatorio de tus actos, la conformidad reglamentaria de tu organización y la confianza de tus socios comerciales e institucionales. En 2026, con la entrada en vigor progresiva de eIDAS 2.0 y las nuevas obligaciones NIS2, el nivel de exigencia solo aumenta.

Los puntos esenciales a recordar: verifica sistemáticamente la inscripción en la Trust List oficial, exige una política de certificación publicada, y adapta el nivel de firma (QES, AES, SES) al riesgo jurídico de cada documento.

Certyneo te acompaña en esta trayectoria dándote acceso a certificados cualificados a través de PSCQ referenciados, una API de integración robusta y un soporte jurídico dedicado. ¿Listo para pasar a firma cualificada? Solicita una demostración o crea tu cuenta en Certyneo y pon tu organización en conformidad hoy mismo.