eIDAS 2 Portefeuille Identidade Dixital: Guía 2026

A entrada en vigor do regulamento eIDAS 2 marca un punto de inflexión histórico para a xestión da identidade dixital en Europa. Co EUDI Wallet — European Digital Identity Wallet — cada cidadán e cada empresa dispoñerá en breve dun portefeuille dixital soberano, interoperable e recoñecido nos 27 Estados membros. Para as direccións xurídicas, RH, conformidade e DSI, este proxecto regulatorio abre tantas oportunidades como desafíos operacionais. Este artigo decodifica o funcionamento técnico e xurídico do EUDI Wallet, as súas implicacións concretas para as empresas e a forma en que se articula coas solucións de sinatura electrónica cualificada xa existentes.

Que é eIDAS 2 e o EUDI Wallet?

Do regulamento eIDAS 1.0 ao regulamento eIDAS 2.0: unha evolución estrutural

Adoptado en 2014, o regulamento eIDAS nº910/2014 estabeleceu as bases da confianza dixital en Europa: sinaturas electrónicas cualificadas, selos, marcas de tempo e servizos de autenticación. Pero unha década máis tarde, apareceron as súas limitacións: interoperabilidade insuficiente entre Estados membros, adopción desigual das identidades dixitais nacionais, ausencia dun portefeuille unificado. O regulamento (UE) 2024/1183, chamado eIDAS 2, adoptado oficialmente o 11 de abril de 2024 no Diario Oficial da UE, corrixe estas lagoas impoñendo un marco común de identidade dixital soberana.

Para profundar no conxunto do novo marco regulatorio, consulte a nosa guía completa sobre o regulamento eIDAS 2.0.

O EUDI Wallet: arquitectura e principios fundacionais

O EUDI Wallet (European Digital Identity Wallet) é unha aplicación móbil e/ou software que cada Estado membro deberá poñer á disposición dos seus cidadáns e residentes como máximo en 2026, de conformidade co artigo 5a do regulamento revisado. Concretamente, este portefeuille dixital permite:

• Almacenar e presentar atributos de identidade verificados: documento de identidade, permiso de conducir, diplomas, acreditacións profesionais, número de IVA intracomunitario para persoas xurídicas.
• Autenticar o usuario ante servizos públicos e privados a niveis altos de garantía (LoA High segundo o anexo I do regulamento).
• Sinar electronicamente documentos con nivel cualificado, apoiándose en Qualified Electronic Signature Creation Devices (QSCD) certificados.
• Compartir selectivamente os datos (principio de selective disclosure) sen revelar máis información da necesaria — unha contribución importante para a conformidade co RGPD.

A arquitectura baséase nas especificacións técnicas publicadas pola Comisión Europea a través da Architecture and Reference Framework (ARF), mantida polo consorcio EUDIW (European Digital Identity Wallet). Os formatos de presentación adoptados inclúen particularmente ISO/IEC 18013-5 (mDL — mobile Driver's Licence) e SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dous estándares abertos que garantan a portabilidade.

Quen está afectado? Empresas relay (Relying Parties)

O regulamento eIDAS 2 introduce a noción de Relying Party (parte usuaria). Calquera organización — empresa privada, administración, plataforma en liña — que acepte atributos de identidade procedentes do EUDI Wallet debe rexistrarse ante o seu Estado membro e respeitar un conxunto de obrigacións técnicas e de seguridade. O artigo 5b do regulamento especifica que as grandes plataformas (no sentido do DSA) e certos sectores (banca, saúde, enerxía) estarán obrigados a aceptar o EUDI Wallet desde a entrada en produción nacional.

Funcionamento técnico do EUDI Wallet para as empresas

O fluxo de autenticación e sinatura paso a paso

Comprender o fluxo técnico é indispensable para anticipar a integración nos sistemas de información. Un escenario típico de sinatura de contrato vía EUDI Wallet desenvólvese así:

1. Inicialización: a Relying Party (ex.: a súa plataforma SaaS) xera unha solicitude de presentación conforme ao protocolo OpenID4VP (OpenID for Verifiable Presentations).
2. Notificación: o usuario recibe unha notificación no seu EUDI Wallet móbil.
3. Consentimento e selección: o usuario escolle os atributos a compartir (nome, apelidos, data de nacemento) a través da interface selective disclosure.
4. Presentación verificable: o wallet xera unha proba criptográfica asinada polo Trusted Issuer (o Estado membro ou un prestador acreditado).
5. Verificación: a Relying Party verifica a proba a través do rexistro de confianza europeo (Trust Framework), sen almacenar datos superfluos.
6. Sinatura cualificada: se se require un acto de sinatura, o QSCD incorporado no wallet ou aloxado na nube (QSign) produce unha sinatura cualificada conforme a ETSI EN 319 132.

Este fluxo garantiza un nivel de garantía LoA High, o máis elevado previsto polo regulamento, equivalente a unha verificación cara a cara.

Integración coas plataformas de sinatura electrónica existentes

Os editores de solucións de sinatura electrónica deben integrar os protocolos OpenID4VCI (emisión) e OpenID4VP (presentación) para conectarse ao ecosistema EUDI. Para as empresas que xa utilizan unha plataforma conforme eIDAS 1.0, a transición a eIDAS 2 implica unha actualización técnica de versión, pero preserva o valor xurídico das sinaturas xa realizadas. Por tanto, é estratéxico avaliar a roadmap do seu prestador actual, especialmente se está considerando migrar de DocuSign ou YouSign a unha solución máis conforme.

Identidade dixital de persoas xurídicas: o desafío empresarial

eIDAS 2 non se limita ás persoas físicas. O artigo 5a §3 prevé explicitamente wallets para persoas xurídicas, permitindo ás empresas:

• Probar a súa existencia legal (equivalente a un extracto Kbis dixital verificable).
• Delegar poderes de sinatura aos seus colaboradores de forma auditada e revocable.
• Automatizar a verificación de KYB (Know Your Business) nos procesos contractuais B2B.

Esta dimensión é particularmente transformadora para os procesos de sinatura electrónica na empresa, nomeadamente nos sectores RH, xurídico e financeiro.

Calendario de despregue e obrigacións regulatorias 2024-2026

Fases de implementación segundo o regulamento

O regulamento (UE) 2024/1183 fixa un calendario obrigatorio:

• Abril de 2024: publicación no Diario Oficial, entrada en vigor 20 días despois.
• Fin de 2024: publicación dos actos de execución (Implementing Acts) que definen as especificacións técnicas obrigatorias.
• 2025: despregue dos wallets piloto nacionais (proxectos large-scale pilots: EU Digital Identity Wallet Large Scale Pilots, financiados pola Comisión con 46 millóns de euros).
• Fin de 2026: posta a disposición obrigatoria por parte de todos os Estados membros dun EUDI Wallet operacional como mínimo. As grandes plataformas e sectores regulados deberán o aceptar.

Para as empresas francesas, o despregue apoiase na identidade dixital La Poste e nos traballos da ANSSI relativos á certificación dos Trusted Issuers nacionais.

Obrigacións para as Relying Parties

As empresas que desexan ou deben aceptar o EUDI Wallet están sometidas a varias obrigacións:

1. Rexistro ante a autoridade nacional competente (en Francia, a ANSSI e a CNIL segundo os casos).
2. Conformidade técnica coas especificacións da ARF v2.x publicadas en GitHub pola Comisión Europea.
3. Transparencia: publicar nun rexistro público os atributos solicitados e a finalidade do tratamento.
4. Minimización dos datos: solicitar só os atributos estrictamente necesarios — obrigación reforzada polo RGPD.
5. Rexistro de logs: conservar os rexistros das presentacións verificables para auditoría, sen almacenar os datos de identidade brutos.

As empresas que integran o EUDI Wallet nos seus fluxos de sinatura electrónica para bufetes xurídicos ou para a xestión RH beneficiaranse dunha vantaxe competitiva significativa desde 2026.

Desafíos estratéxicos e oportunidades para as empresas

Redución das friccións nos procesos KYC/KYB

Un dos beneficios máis inmediatos do EUDI Wallet é a eliminación das verificacións de identidade manuais. Hoxe, o onboarding dun novo cliente ou socio implica envíos de xustificantes por correo electrónico, verificación manual pola asistente xurídica e un tempo de tratamento medio de 48 horas. Co EUDI Wallet, a verificación tórnase instantánea, criptograficamente certificada e auditada. Os sectores bancario, inmobiliario e asegurador — sometidos ás obrigacións LCB-FT — ven nisto unha oportunidade importante de conformidade automatizada. O sector da sinatura electrónica en inmobiliaria está particularmente impactado, con procesos de verificación de identidade que representan hoxe ata o 40 % do tempo administrativo.

Soberanía dixital e redución da dependencia dos GAFAM

O EUDI Wallet responde a unha ambición política forte: reducir a dependencia dos europeos dos sistemas de identidade operados por actores non europeos (Google, Apple, Meta). Para as empresas, isto se traduce nunha infraestrutura de autenticación interoperable, aberta e non cautiva, baseada en estándares ISO e W3C máis que en SDK propietarios. Esta soberanía é tamén un argumento comercial de diferenciación nos concursos públicos, cada vez máis sensibles ás cláusulas de localización dos datos.

Impacto na sinatura electrónica cualificada e nos QTSP

Os Prestadores de Servizos de Confianza Cualificados (QTSP — Qualified Trust Service Providers) ven a súa función evolucionar. Co EUDI Wallet, os QSCD poden ser aloxados directamente no wallet ou delegados a un QTSP nube (Remote Qualified Signature). Para as empresas, isto significa que a sinatura cualificada — ata agora reservada aos casos máis críticos debido á súa complexidade — tórnase accesible e escalable. O noso comparativo de solucións de sinatura electrónica integra agora este criterio de compatibilidade EUDI Wallet na súa análise.

Marco legal aplicable ao EUDI Wallet e ás empresas

Regulamento eIDAS 2: (UE) 2024/1183

O texto fundacional é o regulamento (UE) 2024/1183 do Parlamento Europeo e do Consello do 11 de abril de 2024, que modifica o regulamento eIDAS nº910/2014. Aplícase directamente en todos os Estados membros sen transposición lexislativa nacional, o que garantiza unha uniformidade xurídica europea. Os artigos 5a a 5c definen as obrigacións relativas ao EUDI Wallet, os niveis de garantía e os dereitos dos usuarios. O artigo 46f introduce as obrigacións específicas para as Relying Parties dos sectores regulados.

Código Civil francés: artigos 1366 e 1367

En dereito francés, a sinatura electrónica cualificada producida vía EUDI Wallet benefíciase da presunción de fiabilidade prevista polo artigo 1367 do Código Civil: « A sinatura electrónica consiste no uso dun procedemento de identificación fiable que garante a súa vinculación co acto ao que se une. » Presuménte a fiabilidade cando a sinatura é cualificada no sentido de eIDAS. O artigo 1366 asimila o escrito electrónico ao escrito papel sempre que o seu autor estea identificado e que a integridade estea garantida — dúas condicións que o EUDI Wallet cumpre nativamente.

RGPD nº2016/679: articulación coa minimización dos datos

O regulamento (UE) 2016/679 (RGPD) aplícase plenamente ás Relying Parties que tratan atributos de identidade procedentes do EUDI Wallet. Os principios de minimización dos datos (art. 5 §1c), de limitación da finalidade (art. 5 §1b) e de privacy by design (art. 25) deben ser integrados desde o deseño da integración técnica. A selective disclosure nativa do EUDI Wallet facilita tecnicamente a conformidade, pero a empresa segue sendo responsable (art. 24) de documentar as súas bases legais de tratamento.

Normas ETSI e estándares técnicos

A sinatura cualificada producida vía EUDI Wallet debe respectar as normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) e ETSI EN 319 162 (PAdES) para os formatos de sinatura electrónica avanzada e cualificada. As políticas de certificación defínense en ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Os actos de execución da Comisión especifican os requisitos de certificación dos Trusted Issuers (norma ISO/IEC 27001 e criterios comúns EAL 4+).

Directiva NIS2: (UE) 2022/2555

Os operadores de infraestrutura EUDI Wallet (Estados membros, Trusted Issuers, QTSP) están sometidos ás obrigacións da directiva NIS2 (UE) 2022/2555, transposta en Francia pola lei nº2023-703. Para as empresas usuarias, NIS2 impón obrigacións de xestión dos riscos relacionados cos prestadores terceiros (art. 21 §2d), o que inclúe os fornecedores de solucións que integran o EUDI Wallet. Recoméndase unha análise de impacto dos riscos da cadea de subministración dixital antes de calquera despregue.

Escenarios de uso do EUDI Wallet na empresa

Escenario 1: Bufete de avogados — verificación de identidade e sinatura de mandatos

Un bufete de avogados de negociosde uns vinte colaboradores trata cada mes varios centos de mandatos, cartas de misión e poderes. Hoxe, a verificación de identidade dos clientes impón o envío de xustificantes por correo electrónico, unha verificación manual pola asistente xurídica e un tempo medio de tratamento de 48 horas. Coa integración do EUDI Wallet como mecanismo de autenticación, o cliente presenta o seu documento de identidade dixital desde o seu wallet en menos de 90 segundos. A sinatura cualificada prodúcese na continuación, sen fricción adicional. Segundo os retornos observados nos proxectos large-scale pilots realizados entre 2023 e 2025, este tipo de fluxo reduce o tempo de tratamento do onboarding do cliente de 60 a 75 % e elimina os riscos de erros de entrada ou documentos caducados. O bufete gaña tamén en conformidade LCB-FT, sendo os atributos de identidade criptograficamente certificados por un Estado membro.

Escenario 2: PEME industrial — xestión de contratos de fornecedores e delegacións de sinatura

Unha PEME industrial de un centenar de traballadores xestiona uns 300 contratos de fornecedores ao ano, implicando responsables de compras repartidos en tres lugares. A xestión das delegacións de sinatura é hoxe documentada en papel e difícil de auditar. Co EUDI Wallet empresa (persoa xurídica), a dirección pode atribuír atributos de delegación verificables a cada responsable de compras: límite de compromiso, perímetro xeográfico, duración da validez. Estes atributos almacénanse no wallet do colaborador e preséntanse automaticamente en cada acto de sinatura. En caso de marcha ou cambio de posto, a revogación é instantánea e auditada. Este mecanismo reduce os riscos de litixios contractuais relacionados con sinaturas non habilitadas e mellora a trazabilidade para as auditorías internas. As direccións financeiras constatan xeralmente unha redución de 30 a 40 % do tempo dedicado á xestión e verificación dos poderes de sinatura.

Escenario 3: Grupo hospitalario — consentimento do paciente e acceso aos datos de saúde

Un grupo hospitalario que agrupa varios establecementos e uns 1 500 axentes de saúde enfróntase a desafíos de consentimento do paciente cada vez máis complexos, nomeadamente para o acceso aos historiais médicos compartidos a través de Mon Espace Santé. A integración do EUDI Wallet como mecanismo de consentimento informado permite ao paciente validar, desde o seu teléfono móbil, o acceso aos seus datos por un médico especialista, especificando a duración e o perímetro do acceso. A selective disclosure garante que só se comparten os atributos médicos relevantes. Para os axentes de saúde, o wallet proporciona o seu número RPPS (Répertoire Partagé des Professionnels de Santé) como atributo verificable, eliminando os procesos de verificación manual actuais. Este tipo de despregue, coerente co marco do Espazo Europeo de Datos de Saúde (EHDS), pode reducir os tempos de acceso aos datos de saúde autorizados de varias horas a poucos segundos. Para saber máis sobre os desafíos específicos do sector, o noso guía sobre sinatura electrónica na saúde detalha as restricións regulatorias aplicables.

Conclusión

O EUDI Wallet e o regulamento eIDAS 2 constitúen a transformación máis significativa da identidade dixital europea desde unha década. Para as empresas, o desafío non é só conformarse coa nova regulación, senón aproveitar unha oportunidade de modernizar profundamente os seus procesos de sinatura, onboarding e xestión de delegacións. Os sectores xurídico, RH, saúde e industrial están na primeira liña. A chave do éxito reside na anticipación: avaliar deste momento a compatibilidade dos seus ferramentas actuais, formar os seus equipos e escoller socios cuxa roadmap estea aliñada con eIDAS 2.

Certyneo acompaña ás empresas nesta transición con unha plataforma de sinatura electrónica deseñada para ser compatible con EUDI Wallet dende o seu despregue. Descubra as nosas ofertas e comece gratuitamente para anticipar 2026 con total seguridade.