Reglamento eIDAS: todo lo que hay que saber sobre la firma electrónica en Europa
Actualizado el
El reglamento eIDAS es el texto fundacional de la firma electrónica en Europa. Define tres niveles de firma (simple, avanzada, cualificada), establece el valor jurídico de los actos electrónicos y regula a los prestadores de servicios de confianza. Esta guía cubre todo lo que necesita saber para cumplir en 2026.
¿Qué es eIDAS y por qué se creó?
Antes de eIDAS, cada Estado miembro de la Unión Europea contaba con su propia regulación sobre firmas electrónicas, lo que generaba una fragmentación jurídica que frenaba los intercambios transfronterizos. Una firma electrónica válida en Francia no era necesariamente reconocida en Alemania o España.
El Reglamento (UE) n.º 910/2014, conocido como eIDAS (Electronic IDentification, Authentication and trust Services), se adoptó el 23 de julio de 2014 y es de aplicación desde el 1 de julio de 2016. Al ser un reglamento (y no una directiva), se aplica directa y uniformemente en los 27 Estados miembros, sin necesidad de transposición nacional.
eIDAS persigue tres objetivos principales: crear un mercado único digital en Europa mediante el reconocimiento mutuo de las identidades electrónicas, garantizar la seguridad jurídica de las transacciones electrónicas transfronterizas y establecer un marco de confianza para los servicios digitales a través de los prestadores cualificados de servicios de confianza (QTSP — Qualified Trust Service Provider).
Los 3 niveles de firma definidos por eIDAS
eIDAS establece una pirámide de tres niveles de firma electrónica, cada uno con sus propios requisitos técnicos y valor probatorio.
Firma electrónica simple
Requisitos eIDAS
- Datos en formato electrónico vinculados a otros datos
- Utilizada para firmar (sin requisito técnico específico)
- Puede ser un clic, una casilla marcada o un nombre escrito
Ejemplos de uso
- Aceptación de condiciones
- Formulario en línea
- Correo de confirmación
Valor jurídico
Valor contractual básico, sin presunción legal
Firma electrónica avanzada
Requisitos eIDAS
- Vinculada de forma única al firmante
- Permite identificar al firmante
- Creada con datos bajo el control exclusivo del firmante
- Cualquier modificación posterior del documento es detectable
Ejemplos de uso
- Contratos de trabajo
- NDA
- Contratos comerciales
- Mandatos
Valor jurídico
Sólido valor probatorio — recomendada para contratos relevantes
Firma electrónica cualificada
Requisitos eIDAS
- Cumple todos los requisitos de la AES
- Creada por un dispositivo cualificado de creación de firma (QSCD)
- Basada en un certificado cualificado emitido por un QTSP (lista de confianza UE)
Ejemplos de uso
- Actos auténticos digitales
- Contratación pública exigente
- Actos regulados
Valor jurídico
Presunción legal equivalente a la firma manuscrita (art. 25 eIDAS)
eIDAS 2.0: las novedades de 2024
El reglamento eIDAS ha sido revisado por el Reglamento (UE) 2024/1183, publicado en el Diario Oficial de la UE el 30 de abril de 2024 y en vigor desde el 20 de mayo de 2024. Esta revisión moderniza el marco inicial para responder a los retos digitales actuales: identidad digital de la ciudadanía, nube soberana y resiliencia de los prestadores de confianza.
La medida estrella de eIDAS 2.0 es el Monedero Europeo de Identidad Digital (EUDIW). A finales de 2026, cada Estado miembro deberá ofrecer a su ciudadanía y residentes una aplicación que permita almacenar y presentar atestaciones de identidad certificadas, equivalentes digitales del DNI, el permiso de conducir o los títulos académicos. Esta evolución tendrá un impacto directo en los procesos de firma cualificada.
Monedero europeo de identidad digital (EUDIW)
eIDAS 2.0 introduce el European Digital Identity Wallet: todo ciudadano europeo podrá almacenar sus atestaciones de identidad certificadas (DNI, permiso de conducir, títulos) en una aplicación móvil interoperable en toda la UE.
Refuerzo de los QTSP
Se refuerzan los requisitos aplicables a los prestadores cualificados de servicios de confianza (QTSP), en particular en materia de ciberseguridad, auditorías y continuidad del servicio.
Nuevos servicios de confianza
eIDAS 2.0 añade nuevos servicios cualificados: archivo electrónico cualificado, gestión de atributos cualificados y registro electrónico cualificado (blockchain certificada).
Interoperabilidad reforzada
Mejor reconocimiento mutuo de las identidades digitales entre Estados miembros. Las firmas cualificadas emitidas en cualquier país de la UE se reconocen en todo el espacio europeo.
Cómo cumplir con eIDAS en la práctica
El cumplimiento de eIDAS no se limita a elegir un nivel de firma. Implica reflexionar sobre todo el proceso: identificación de riesgos, elección de herramientas, conservación de las pruebas y gobernanza documental.
He aquí una lista de comprobación práctica para las empresas que desean asegurar sus procesos de firma electrónica de acuerdo con eIDAS:
El enfoque de cumplimiento eIDAS de Certyneo
Certyneo implementa los niveles SES (firma electrónica simple) y AES (firma electrónica avanzada) del reglamento eIDAS. La firma avanzada se apoya en una autenticación de doble factor: un enlace de un solo uso enviado por correo y un código OTP enviado por SMS mediante OTP SMS. Este mecanismo cumple los cuatro criterios del artículo 26 de eIDAS para la firma avanzada.
Cada sobre genera un audit trail completo: sello de tiempo de cada acción (envío, apertura del enlace, validación del OTP, estampado de la firma, rechazo en su caso), dirección IP del firmante y user-agent del navegador. Este audit trail se integra en el pie de cada página del PDF final (pie de auditoría) y se conserva 10 años.
Los datos están alojados en Francia (infraestructura IONOS), en la Unión Europea, conforme a los requisitos de soberanía digital y al RGPD. Consulte nuestra página de seguridad y cumplimiento para conocer todos los detalles técnicos.
Preguntas frecuentes sobre eIDAS
¿Qué es el reglamento eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) es el Reglamento europeo (UE) n.º 910/2014 que establece un marco jurídico común para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo, los servicios de entrega electrónica certificada y los servicios de autenticación de sitios web en la Unión Europea. Entró en vigor el 1 de julio de 2016 y se aplica directamente en los 27 Estados miembros.
¿Cuál es la diferencia entre eIDAS y eIDAS 2.0?
eIDAS 2.0 (Reglamento (UE) 2024/1183, en vigor desde el 20 de mayo de 2024) moderniza eIDAS 1.0 introduciendo, entre otros elementos, el Monedero Europeo de Identidad Digital (EUDIW — European Digital Identity Wallet), que permitirá a la ciudadanía europea almacenar atestaciones de identidad digital certificadas. Para las empresas, eIDAS 2.0 refuerza los requisitos de los prestadores cualificados de servicios de confianza (QTSP) y mejora la interoperabilidad transfronteriza.
¿Tiene valor jurídico una firma electrónica simple según eIDAS?
Sí. El artículo 25 de eIDAS prohíbe expresamente denegar efectos jurídicos a una firma electrónica por el solo hecho de estar en formato electrónico. Por tanto, una firma simple (SES) tiene valor jurídico, aunque no se beneficia de la presunción legal reservada a las firmas cualificadas (QES). En caso de litigio, corresponde a quien invoque la firma acreditar su autenticidad.
¿Cómo elegir el nivel eIDAS adecuado para mis contratos?
La regla general es ajustar el nivel al riesgo jurídico y comercial del documento. Para documentos habituales de bajo impacto (presupuestos, pedidos internos), basta la firma simple. Para contratos comerciales relevantes, contratos laborales, NDA o mandatos, se recomienda la firma avanzada (AES). La firma cualificada (QES) se reserva para situaciones en las que la ley la exige expresamente (determinados actos administrativos, contratación pública de gran envergadura) o cuando el riesgo de impugnación es máximo.
¿Cómo cumple Certyneo con eIDAS?
Certyneo implementa la firma simple (SES) y la firma avanzada (AES) conforme a eIDAS. La firma avanzada se basa en un doble OTP por correo y SMS (OTP SMS) que vincula al firmante con su acto. Cada sobre genera un audit trail con sello de tiempo integrado en el PDF final. Los datos están alojados en Francia (UE), en línea con los requisitos de soberanía digital.
¿Se aplica eIDAS a empresas fuera de la Unión Europea?
eIDAS se aplica a los servicios de confianza prestados en la UE. Una empresa establecida fuera de la UE que desee que sus firmas sean reconocidas en la UE debe utilizar una solución conforme con eIDAS o un prestador cualificado (QTSP) reconocido en la lista de confianza de un Estado miembro. Para los intercambios B2B internacionales, existen acuerdos de reconocimiento mutuo con determinados países terceros.