Prestatarios cualificados eIDAS: a lista oficial 2026

Por que o estatuto "cualificado" eIDAS é decisivo para a súa empresa?

Desde a entrada en vigor do regulamento eIDAS (nº 910/2014), o mercado europeo de sinatura electrónica reestruturóuse profundamente arredor dunha xerarquía de tres niveis: a sinatura electrónica simple (SES), a sinatura electrónica avanzada (AES) e a sinatura electrónica cualificada (QES). Esta última é a única que se beneficia dunha presunción legal de equivalencia coa sinatura manuscrita en todos os Estados membros da Unión Europea.

Para que unha empresa poida ofrecir sinaturas cualificadas, debe ter sido auditada obrigatoriamente e inscrita na lista de confianza (Trust List) do seu Estado membro. En Francia, é a Axencia Nacional de Seguridade dos Sistemas de Información (ANSSI) a que manter este rexistro oficial, publicado de novo na lista europea centralizada xestionada pola Comisión Europea.

Comprender esta arquitectura é fundamental antes de asinar o máis pequeno contrato comercial sensible. Para saber máis sobre as bases regulatorias, a nosa guía completa sobre o regulamento eIDAS 2.0 detallan o conxunto de obrigacións e evolucións introducidas polo regulamento revisado eIDAS 2.0 (Regulamento UE 2024/1183).

---

Como se certifican os prestatarios de servizos de confianza cualificados?

O camiño cara o estatuto de Prestatario de Servizos de Confianza Cualificado (PSCQ) é esixente. Implica un auditoría realizada por un organismo de avaliación da conformidade (CAB, Conformity Assessment Body) acreditado, segundo as normas ETSI EN 319 401 (exixencias xerais) e ETSI EN 319 411-2 para certificados cualificados.

Os pasos de cualificación ANSSI

1. Presentación do dosier de cualificación: o prestatario presenta a súa documentación técnica, segura e organizativa á ANSSI.
2. Auditoría por un CAB acreditado: un organismo terceiro —como Bureau Veritas, LSTI ou Apave Certification— verifica a conformidade no lugar e por documentación.
3. Decisión de cualificación: a ANSSI pronuncia a cualificación e inscribe o prestatario na lista de confianza francesa (TL-FR).
4. Renovación periódica: a cualificación é reevaluada, en xeral cada dous anos, para garantir o mantemento das exixencias.

Que verifica concretamente a auditoría?

O auditor examina notablemente:

• A seguridade física dos centros de datos que albergan as chaves criptográficas (módulos HSM certificados CC EAL 4+ ou FIPS 140-2 Level 3 mínimo);
• As políticas de certificación (CP) e as declaracións das prácticas de certificación (CPS) publicadas polo prestatario;
• Os procedementos de verificación de identidade dos asinantes (cara a cara ou verificación de identidade a distancia conforme á norma EN 419 241-1);
• A xestión das revogacións e a dispoñibilidade dos servizos OCSP/CRL.

Estes criterios explican por que só un pequeno número de actores alcanzan e manter este nivel de certificación en Francia.

---

Os prestatarios eIDAS cualificados rexistrados en Francia en 2026

A lista oficial dos prestatarios cualificados é consultable en calquera momento no portal oficial da Comisión Europea (eidas.ec.europa.eu/efts), filtrando por "Francia" e o servizo "QCertESig" (Qualified Certificate for Electronic Signature). Aquí están os actores que figuraban no rexistro no momento da redacción deste artigo (xuño de 2026):

Actores franceses inscritos na Trust List

| Prestatario | Tipo de servizo cualificado | Particularidade | |---|---|---| | Certigna (Dhimyotis) | Certificados cualificados, sellado de tempo cualificado | Grupo La Poste, certificado eIDAS desde 2016 | | Certinomis | Certificados cualificados | Filial La Poste, orientada ao sector público | | ChamberSign Francia | Certificados cualificados | Rede das CCI, forte presenza en PEME/TPE | | Keynectis / DocuSign Francia | Certificados cualificados | Adquirida por DocuSign, mantemento da etiqueta ANSSI | | Universign (Tessi) | Certificados cualificados, sellado de tempo | Pioneiro do mercado, integrado en grupo Tessi | | Entrust (ex-Datacard) | Certificados cualificados | Actor internacional, Trust List multi-Estados membros | | Oodrive Sign | Certificados cualificados | Editor soberano francés, cualificado SecNumCloud |

> Advertencia: esta lista proporcionase a título indicativo e informativo. Só a Trust List oficial da Comisión Europea ten valor. Verificue sempre o estado actual no portal ETSI antes de calquera compromiso contractual.

Prestatarios estranxeiros recoñecidos en Francia a través da Trust List europea

En virtude do principio de recoñecemento mutuo establecido polo artigo 25 do regulamento eIDAS, unha sinatura cualificada emitida por un PSCQ inscrito na lista de confianza doutro Estado membro produce os mesmos efectos xurídicos en Francia. Entre os actores non franceses frecuentemente utilizados:

• Namirial (Italia): forte en sinatura cualificada a distancia (QES remote signing);
• SwissSign (Suíza): atención, Suíza non é membro da UE; o recoñecemento é parcial;
• Qualified.one / Asseco Data Systems (Polonia): actor público europeo, frecuente nos mercados transfronterizos.

Para comparar estas solucións segundo as súas necesidades empresariais, consulte o noso comparativo das solucións de sinatura electrónica que analiza os criterios de prezo, conformidade e integración API.

---

Como escoller o prestatario eIDAS cualificado axeitado para a súa organización?

Figurar na Trust List é unha condición necesaria, pero non suficiente. A elección dun PSCQ debe apoiarse en varios criterios complementarios.

Criterios técnicos e de integración

• API REST ou SDK dispoñible: imprescindible para automatizar a sinatura nos seus fluxos empresariais (ERP, SIRH, CRM);
• Formatos de sinatura soportados: PAdES para PDF, XAdES para XML, CAdES para ficheiros binarios —todos normalizados pola ETSI EN 319 100;
• Dispoñibilidade do servizo: SLA superior ao 99,9% garantido contractualmente, con períodos de mantemento previstos fora das horas de traballo;
• Aloxamento de datos: prefira un aloxamento en Francia ou na UE, idealmente cualificado SecNumCloud para os datos sensibles.

Criterios xurídicos e de conformidade

• Verifique que o prestatario fornece un informe de cualificación actualizado (menos de 24 meses);
• Esixia unha política de certificación publicada (CP) accesible públicamente e auditada;
• Asegúrese de que as condicións xerais preveen explicitamente a entrega de certificados cualificados no sentido da Anexo I do regulamento eIDAS.

Criterios operacionais e de soporte

• Procedemento de enrolamento dos asinantes: cara a cara en axencia, identificación en vídeo conforme a eIDAS ou NFC desde un título de identidade electrónica;
• Soporte en galego con prazos de resposta contractuais;
• Formación e documentación dispoñibles para os seus equipos xurídicos e TI.

Se a súa organización xestiona fluxos documentais RH importantes, a nosa páxina dedicada á sinatura electrónica para os equipos RH detallan os casos de uso específicos (contratos de traballo, avenidas, incorporación) e os niveis de sinatura recomendados por tipo de documento.

---

eIDAS 2.0: que cambios para os prestatarios cualificados en 2026?

O regulamento eIDAS 2.0 (Regulamento UE 2024/1183, entrado en aplicación progresiva desde maio de 2024) introduce varias evolucións estruturais que impactan directamente nos PSCQ e nos seus clientes.

A Cartera Europea de Identidade Dixital (EUDI Wallet)

O artigo 6a do regulamento revisado impón aos Estados membros ofrecer, antes de setembro de 2026, unha cartera de identidade dixital (EUDI Wallet) recoñecida en toda a UE. Para os prestatarios cualificados, isto significa:

• A obrigación de aceptar os atributos de identidade procedentes da cartera como proba de identidade para o enrolamento dos asinantes;
• O emerxencia dun novo servizo cualificado: a entrega de certificacións de atributos cualificados (Qualified Electronic Attestation of Attributes, QEAA).

Novos servizos cualificados e extensión do perímetro

eIDAS 2.0 amplía a lista dos servizos de confianza cualificados para incluír:

• Os servizos de arquivo electrónico cualificado (QPDS, artigo 45f);
• Os servizos de xestión de dispositivos de creación de sinatura a distancia (QRCD).

Estas evolucións representan a un tempo unha constrinxencia de axuste á conformidade (prazos axustados para os prestatarios existentes) e unha oportunidade de diferenciación para os novos actores capaces de integrar rapidamente as especificacións técnicas publicadas pola ENISA e ETSI.

Para as empresas que contemplan unha migración desde unha plataforma existente cara a unha solución máis conforme, a nosa guía de migración desde DocuSign ou YouSign cara a Certyneo presenta os pasos concretos e os puntos de vixilancia regulatoria.

Marco legal aplicable aos prestatarios eIDAS cualificados

Regulamento eIDAS e dereito europeo

O sustrato xurídico é o Regulamento (UE) nº 910/2014 do Parlamento Europeo e do Consello do 23 de xullo de 2014 relativo á identificación electrónica e aos servizos de confianza para as transaccións electrónicas no mercado interior (chamado "regulamento eIDAS"), tal como foi modificado polo Regulamento (UE) 2024/1183 (eIDAS 2.0). Este regulamento é directamente aplicable en todos os Estados membros sen transposición nacional.

As súas disposicións clave para os prestatarios cualificados:

• Artigo 17: obrigación para cada Estado membro de designar un órgano de control (en Francia, a ANSSI);
• Artigo 20: procedemento de supervisión, auditoría e inscrición na lista de confianza;
• Artigo 25: presunción de equivalencia entre QES e sinatura manuscrita, con efecto xurídico garantido en toda a UE;
• Anexo I: exixencias relativas aos certificados cualificados para sinatura electrónica;
• Anexo II: exixencias relativas aos dispositivos de creación de sinatura cualificada (QSCD).

Dereito francés

En dereito interno, a sinatura electrónica está regulada por:

• Código Civil, artigos 1366 e 1367: o artigo 1366 recoñece o valor probatorio da escritura electrónica sempre que se garanta a identidade do autor e a integridade do documento. O artigo 1367 precisa que a sinatura electrónica consistente nun procedemento fiable de identificación se beneficia dunha presunción de fiabilidade cando se crea conforme ao decreto de aplicación;
• Decreto nº 2017-1416 do 28 de setembro de 2017: define as condicións nas cales a sinatura electrónica cualificada é presumida fiable en Francia, remitindo explicitamente ao regulamento eIDAS;
• Ordenanza nº 2005-674 do 16 de xuño de 2005 relativa ao cumprimento de certas formalidades contractuais por vía electrónica.

Protección de datos personais

Os procesos de enrolamento e sinatura implican o tratamento de datos de carácter persoal (datos de identidade, biometría para identificación en vídeo). O prestatario cualificado está suxeito ao Regulamento (UE) 2016/679 (RGPD) e debe notablemente:

• Designar un DPO se o tratamento é a gran escala;
• Documentar os tratamentos no rexistro CNIL;
• Regular as transferencias fora da UE con garantías axeitadas (cláusulas contractuais tipo, decisión de adecuación).

Ciberseguridade e resiliencia

Desde outubro de 2024, a Directiva NIS2 (2022/2555/UE) aplícase aos prestatarios de servizos de confianza cualificados, clasificados como entidades esenciais. Deben implementar medidas de xestión de riscos ciber, notificar os incidentes significativos á ANSSI en 24 horas, e someterse a auditorías periódicas. O incumprimento expón a multas que poden alcanzar os 10 millóns de euros ou o 2% da facturación mundial anual.

Normas técnicas de referencia

• ETSI EN 319 401: exixencias xerais para os prestatarios de servizos de confianza;
• ETSI EN 319 411-2: perfil de política para certificados cualificados;
• ETSI EN 319 132: formatos de sinatura XAdES;
• ETSI EN 319 122: formatos de sinatura CAdES;
• ETSI EN 319 162: formatos de sinatura PAdES (PDF).

Escenarios de uso: cando é imprescindible a sinatura cualificada eIDAS?

Escenario 1 — Un bufete de avogados xestionando actos en documento privado de alta probancia

Un bufete de avogados de negocios dunha vintena de colaboradores trata mensualmente dezenas de cesións de partes sociais, protocolos de acordo e convenios de garantía de activo e pasivo (GAP). Estes actos supoñen comprometerá sumas frecuentemente superiores a varios centos de miles de euros e son susceptibles de ser impugnados en xuízo.

Antes de migrar cara a un prestatario eIDAS cualificado, o bufete utilizaba unha solución de sinatura avanzada (AES), o que era suficiente para a maioría dos actos correntes. Despois dun incidente onde a parte contraria cuestionou a autenticidade dunha sinatura durante un litigio, o bufete fixo a elección da QES para todos os actos de enjugo elevado. Resultado: redución do 90% do tempo pasado a producir probas de sinatura durante os procedementos contenciosos, grazas á presunción legal irrefragable vinculada á QES. O sobrecuste unitario por sinatura (aproximadamente 2 a 5 € segundo os volumes) foi completamente absorbido pola diminución das taxas de litigios.

Escenario 2 — Unha ETI industrial xestionando contratos de proveedores transfronterizos

Unha empresa de tamaño intermedio (ETI) do sector de equipamento industrial, con proveedores establecidos en Francia, Alemaña, Italia e Polonia, tiña que ata agora enviar os seus contratos marco por correo postal ou organizar reunións de sinatura en semellante, xerando atrasos de 10 a 21 días laborais por contrato.

Ao desplegar unha solución conectada a un PSCQ europeo inscrito na Trust List, a empresa reduciu o ciclo de sinatura a menos de 48 horas de media. O recoñecemento mutuo entre Estados membros garante o valor xurídico sen necesidade de legalización suplementaria. Nun portfolio de 350 contratos de proveedores anuais, a ganancia estimada en custos administrativos e loxísticos supera os 40.000 € anuais, segundo franxas coerentes cos estudos sectoriais publicados pola ACFE e APQC.

Escenario 3 — Un agrupamento hospitalario sometido ás exixencias do sector sanitario

Un agrupamento hospitalario de aproximadamente 1.200 camas debe asinar electronicamente mercados públicos, convenios de investigación clínica e contratos de médicos hospitalarios. Estes documentos están sometidos ao Código de Contratación Pública, que esixe unha sinatura electrónica conforme co RGS (Referencial Xeral de Seguridade) de nivel ** ou, desde a desmaterialización dos mercados públicos, a un nivel equivalente eIDAS.

Ao apoiarse nun PSCQ inscrito na Trust List francesa, o agrupamento garante a conformidade co artigo R. 2132-7 do Código de Contratación Pública mentres reduce os prazos de sinatura dos mercados de 15 días a menos de 72 horas. A integración API co sistema de información hospitalario (SIH) permitiu automatizar o envío e seguimento dos documentos, liberando aproximadamente 0,4 ETP nas tarefas administrativas vinculadas aos contratos.

Conclusión

Escoller un prestatario eIDAS cualificado non é unha simple compra de software: é unha decisión estratéxica que vincula o valor probatorio dos seus actos, a conformidade regulatoria da súa organización e a confianza dos seus socios comerciais e institucionais. En 2026, coa entrada en vigor progresiva de eIDAS 2.0 e as novas obrigacións NIS2, o nivel de exixencia non fai máis que aumentar.

Os puntos esenciais a lembrar: verifique sistematicamente a inscrición na Trust List oficial, esixia unha política de certificación publicada, e adapte o nivel de sinatura (QES, AES, SES) ao enjugo xurídico de cada documento.

Certyneo acompáñao nesta empresa dándolle acceso a certificados cualificados a través de PSCQ referenciados, unha API de integración robusta e un soporte xurídico dedicado. Listo para pasar á sinatura cualificada? Solicite unha demostración ou cree a súa conta en Certyneo e poña a súa organización en conformidade hoxe mesmo.