eIDAS 2: o novo regulamento europeu explicado em 2026

Introdução: por que eIDAS 2 muda tudo para as empresas europeias

Entrado em vigor em 20 de maio de 2024, após uma longa gestação legislativa, o regulamento eIDAS 2 — oficialmente denominado Regulamento (UE) 2024/1183 — representa a reforma mais ambiciosa jamais empreendida no domínio da identificação eletrônica e dos serviços de confiança na Europa. Ele revoga e substitui parcialmente o regulamento eIDAS original de 2014 (nº 910/2014), mantendo compatibilidade com trás com a infraestrutura existente. Para as empresas que utilizam assinatura eletrônica conforme eIDAS, essa reformulação introduz novas obrigações, oportunidades inéditas e um cronograma rigoroso de conformidade até 2026 e além. Este artigo decifra em profundidade as disposições principais do texto, suas implicações operacionais e a maneira como sua organização pode se preparar.

---

O que o regulamento eIDAS 2 muda fundamentalmente

Do regulamento de 2014 à versão 2024: uma reformulação estrutural

O regulamento eIDAS original de 2014 havia estabelecido as bases para o reconhecimento mútuo de esquemas de identificação eletrônica entre Estados-membros e definido um marco legal unificado para os serviços de confiança (assinatura, selo, carimbo de tempo, etc.). Mas dez anos depois, as limitações eram claras: baixa taxa de adoção de eID notificadas, fragmentação de soluções nacionais, ausência de uma carteira digital universal para cidadãos e, acima de tudo, inadequação aos usos da web (GAFAM excluídos do marco de confiança).

eIDAS 2 corrige essas lacunas em três eixos principais:

1. A carteira europeia de identidade digital (EUDI Wallet) — cada Estado-membro deve oferecer, no máximo em novembro de 2026, uma aplicação de carteira digital permitindo que todo cidadão ou residente europeu armazene e apresente seus atributos de identidade (cartão de identidade, carteira de motorista, diplomas, etc.) de forma segura.
2. A ampliação dos serviços de confiança qualificados — o texto adiciona novos serviços qualificados: gestão de arquivo eletrônico qualificado (QESAP), relatórios de atributos de identidade qualificados (QEAA), livros de contas eletrônicos qualificados (QLED) e gestão de dispositivos de criação de assinatura à distância (QRCD).
3. A obrigação para grandes plataformas — os fornecedores de serviços online de grande escala (redes sociais, marketplaces) deverão aceitar a carteira EUDI para autenticação de usuários.

A carteira EUDI Wallet: arquitetura e funcionamento

A EUDI Wallet está no cerne de eIDAS 2. Concretamente, trata-se de uma aplicação de software — entregue ou certificada por cada Estado-membro — que se baseia em um modelo descentralizado de apresentação seletiva de atributos. O usuário transmite apenas os dados estritamente necessários à transação (princípio de minimização, conforme RGPD).

Do ponto de vista técnico, a arquitetura se baseia nas especificações do Architecture Reference Framework (ARF), publicado pela Comissão Europeia e atualizado regularmente pelo Large Scale Pilot (LSP) que reúne quatro consórcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Os formatos de dados adotados são principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantindo interoperabilidade transfronteiriça.

Para as empresas, isso significa que elas poderão, eventualmente, verificar a identidade de seus clientes ou parceiros via carteira sem gerenciar pessoalmente a coleta de documentos comprobatórios — reduzindo significativamente as fricções KYC (Know Your Customer) e os riscos de fraude documentária.

---

Os níveis de garantia e a hierarquia das assinaturas: o que muda

Manutenção da hierarquia QES / AdES / SES

O regime de assinaturas eletrônicas permanece estruturado em torno de três níveis definidos no artigo 3 de eIDAS 2 (retomando a terminologia de 2014, mas precisando os requisitos técnicos):

• Assinatura eletrônica simples (SES): valor probatório mínimo, adequada para atos comuns.
• Assinatura eletrônica avançada (AdES): vinculação exclusiva ao signatário, possibilidade de detectar qualquer modificação posterior.
• Assinatura eletrônica qualificada (QES): equivalente legal da assinatura manuscrita em toda a UE (artigo 25§2), emitida via dispositivo qualificado de criação de assinatura (QSCD) com base em certificado qualificado.

A novidade reside na forma como a QES pode agora ser entregue via serviços de assinatura à distância qualificados (QRCD), cujas condições de aprovação são precisadas nos artigos 29a e 29b do texto revisado. Isso abre caminho para fluxos 100% digitais para os atos mais exigentes — contratos notariais, atos autênticos eletrônicos — sem necessidade de cartão de chip físico.

O impacto nos prestadores de serviços de confiança qualificados (QTSP)

Prestadores de serviços como Certyneo, operando com base em QTSP certificados, devem antecipar os novos requisitos de auditoria introduzidos por eIDAS 2. O artigo 24 impõe agora controles reforçados sobre a cadeia de subcontratação, e as exigências de notificação de incidentes de segurança se alinham explicitamente com as da diretiva NIS2 (prazo de 24 horas para notificação inicial). Para aprofundar o funcionamento dos diferentes níveis de assinatura em um contexto B2B, consulte nosso guia completo sobre assinatura eletrônica na empresa.

---

Cronograma de implantação e obrigações para as empresas em 2025-2026

Os marcos-chave da implantação

O regulamento (UE) 2024/1183 foi publicado no Diário Oficial da UE em 30 de abril de 2024 e entrou em vigor em 20 de maio de 2024. Os atos de execução e delegados — essenciais para precisar os requisitos técnicos — são publicados progressivamente:

| Prazo | Obrigação | |---|---| | Maio 2024 | Entrada em vigor do regulamento | | Fim de 2024 | Publicação de atos de execução sobre ARF v2.0 | | Meados de 2025 | Certificação das primeiras carteiras EUDI piloto | | Novembro 2026 | Disponibilidade obrigatória de carteira EUDI em cada Estado-membro | | 2027 | Aceitação obrigatória pelas grandes plataformas online |

O que as empresas B2B devem fazer desde agora

Para as empresas usuárias de soluções de assinatura eletrônica, três prioridades se impõem em 2025-2026:

1. Auditar sua cadeia de confiança: verificar se seu prestador de assinatura figura bem na lista de QTSP (Trusted List) de seu Estado-membro, e que os certificados utilizados estão em conformidade com as novas especificações ETSI EN 319 401 e EN 319 411-1 revisadas.

2. Antecipar a integração da Carteira EUDI: as empresas atuando em setores regulados (banco, seguros, saúde, imóveis) estarão entre as primeiras afetadas pelos fluxos de verificação de identidade via carteira. Preparar as APIs de integração desde 2025 é recomendado.

3. Revisar suas políticas de retenção: o novo serviço qualificado de arquivo eletrônico (QESAP) introduz padrões de preservação a longo prazo que podem se impor em certos setores (compras públicas, setor farmacêutico). Nosso calculador de ROI para assinatura eletrônica permite avaliar o impacto financeiro de uma atualização de sua infraestrutura documentária.

---

Interoperabilidade, RGPD e desafios de soberania digital

eIDAS 2 e RGPD: complementaridade reforçada

Um dos avanços principais de eIDAS 2 é a integração explícita dos princípios de proteção de dados desde a concepção (privacy by design) na arquitetura da carteira EUDI. O artigo 5a§14 estabelece que a carteira não permite aos fornecedores rastrear o comportamento do usuário durante as transações. Os emissores de atributos de identidade qualificados (QEAA) não são informados sobre o uso que é feito dos atestados entregues — o que constitui uma ruptura importante com os modelos centralizados atuais.

Essa arquitetura é qualificada como unlinkability (não-correlabilidade): duas transações distintas realizadas pelo mesmo usuário não podem ser vinculadas sem seu consentimento. Essa garantia supera as exigências mínimas do RGPD enquanto se articula perfeitamente com ele.

A dimensão geopolítica: retomar o controle sobre a identidade online

eIDAS 2 também responde a um desafio de soberania. Atualmente, a autenticação online se baseia massivamente em botões "Conectar com Google/Facebook/Apple", o que confere aos gigantes tecnológicos americanos uma posição dominante na gestão de identidades digitais europeias. Ao impor às muito grandes plataformas (no sentido da Lei de Serviços Digitais) que aceitem a Carteira EUDI como meio de autenticação, eIDAS 2 cria uma alternativa interoperável e soberana.

Para as empresas B2B, isso também significa que a conformidade eIDAS 2 pode se tornar um critério de seleção de fornecedor em editais de licitação pública e privada — à imagem do que representa hoje a certificação ISO 27001 nos processos de compra. Se sua organização considera evoluir sua solução atual, nosso guia de migração de DocuSign ou YouSign para Certyneo detalha as etapas de uma transição controlada.

Marco legal aplicável a eIDAS 2 e à assinatura eletrônica

Textos de referência

Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho de 11 de abril de 2024, que altera o Regulamento (UE) nº 910/2014 relativo ao estabelecimento de um marco europeu para uma identidade digital (eIDAS 2). Publicado no JOUE em 30 de abril de 2024, entrado em vigor em 20 de maio de 2024.

Regulamento (UE) nº 910/2014 (eIDAS 1): mantido em vigor para suas disposições não modificadas, em particular os artigos relativos aos níveis de garantia "baixo", "substancial" e "alto" para esquemas de identificação notificados.

Código Civil Francês, artigos 1366 e 1367: o escrito eletrônico tem a mesma força probatória que o escrito em papel, desde que a pessoa de cuja autoria emane seja devidamente identificada e que o documento seja estabelecido sob condições que garantam sua integridade. A assinatura eletrônica qualificada (QES) no sentido de eIDAS 2 satisfaz essas exigências de pleno direito.

Regulamento (UE) 2016/679 (RGPD): o tratamento de dados de identidade no contexto da carteira EUDI está sujeito aos princípios de minimização (art. 5§1c), limitação de finalidade (art. 5§1b) e proteção de dados desde a concepção (art. 25). Os prestadores qualificados exercem a qualidade de responsáveis de tratamento distintos para as operações de verificação.

Diretiva (UE) 2022/2555 (NIS2): transposta ao direito francês pela ordonnance nº 2024-528 de 12 de junho de 2024, ela impõe aos prestadores de serviços de confiança qualificados obrigações de gestão de riscos cibernéticos e notificação de incidentes em 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) e EN 319 122 (CAdES): formatos avançados de assinatura eletrônica.
• EN 319 401: requisitos gerais para prestadores de serviços de confiança.
• EN 319 411-1 e 411-2: política e requisitos de segurança para ACs que emitem certificados qualificados.
• EN 319 521: requisitos para serviços qualificados de preservação de assinaturas (QESAP).

Obrigações e riscos legais para as empresas

Toda empresa que utiliza assinaturas eletrônicas em um contexto contratual deve garantir que o nível de assinatura escolhido seja adequado ao valor e à natureza do ato. Para atos sujeitos a exigência legal de assinatura (promessas de venda, contratos de trabalho, ordens de compra acima de certos limites), apenas a QES ou a AdES baseada em certificado qualificado traz a presunção de confiabilidade visada no artigo 26 de eIDAS 2.

Em caso de litígio, o ônus da prova se inverte: se a assinatura é qualificada, cabe à parte que contesta o documento provar sua alteração; se for simples ou avançada sem certificado qualificado, o ônus da prova repousa sobre o signatário que a invoca. O não-cumprimento das exigências de rastreabilidade e integridade pode resultar na nulidade do ato ou na ineficácia da assinatura contra terceiros.

Cenários de uso: eIDAS 2 aplicado a empresas B2B

Cenário 1 — Uma firma de consultoria em transformação digital (aproximadamente 80 consultores)

Uma estrutura de consultoria implantando seus colaboradores junto a clientes em vários Estados-membros (França, Alemanha, Países Baixos) deve fazer assinar mensalmente ordens de missão, aditivos contratuais e atas de recebimento. Antes de eIDAS 2, a gestão de identidades transfronteiriças gerava fricções: recusa de certos clientes alemães em reconhecer certificados emitidos por um QTSP francês, dupla autenticação por email insuficiente para atos sensíveis.

Com a implantação da Carteira EUDI em 2026, os consultores poderão assinar a partir de sua carteira nacional — reconhecida de pleno direito em todos os Estados-membros — sem qualquer fricção. A firma estima uma redução de 60 a 70% do tempo dedicado a trocas de verificação documentária prévia à assinatura, cerca de 3 a 4 horas economizadas por consultor e por mês segundo benchmarks setoriais publicados pela McKinsey Digital (2024).

Cenário 2 — Uma PME industrial gerenciando 350 contratos de fornecedores por ano

Uma PME do setor de equipamentos industriais, trabalhando com aproximadamente cem fornecedores europeus e asiáticos, deve contratar compras, acordos de confidencialidade (NDA) e contratos-marco. Até agora, 30% desses documentos retornavam sem assinatura válida ou com prazos superiores a 10 dias úteis.

Ao adotar uma solução de assinatura eletrônica conforme eIDAS 2 com verificação de identidade via atributos qualificados (QEAA), a PME pode impor um fluxo de assinatura onde a identidade do representante legal do fornecedor é verificada automaticamente via carteira EUDI, sem entrada manual. Resultado esperado: redução do prazo médio de assinatura de 10 dias para menos de 48 horas, e diminuição de 40% dos litígios relacionados a assinaturas não conformes, com base em faixas observadas nos relatórios ELENIUS 2025 sobre desmaterialização B2B.

Cenário 3 — Um grupo imobiliário gerenciando compromissos de venda em vários países

Uma rede de agências imobiliárias operando na França, Espanha e Portugal deve regularmente fazer assinar pré-contratos entre vendedores e compradores de nacionalidades diferentes. A QES é exigida em certos contextos para garantir equivalência com assinatura manuscrita diante de notário.

Graças a eIDAS 2 e à interoperabilidade das carteiras EUDI, um comprador português pode assinar um compromisso submetido ao direito francês usando sua carteira nacional, com um nível de garantia "alto" reconhecido automaticamente pela plataforma de assinatura. O grupo reduz suas despesas de deslocamento e legalização em aproximadamente 800 a 1.200 euros por dossiê transfronteiriço, enquanto diminui o prazo de conclusão dos pré-contratos de 3 semanas para 5 dias em média. Para usos específicos do setor, nossa página dedicada à assinatura eletrônica em imóveis detalha os fluxos de trabalho adaptados.

Conclusão

eIDAS 2 não é uma simples atualização regulatória: é uma reformulação profunda da forma como a identidade digital e a confiança eletrônica funcionam na Europa. A Carteira EUDI Wallet, os novos serviços qualificados, a obrigação de interoperabilidade e o alinhamento com NIS2 e RGPD formam um ecossistema coerente que transformará os processos contratuais e de autenticação das empresas até o final de 2026.

Para permanecerem conformes e competitivas, as organizações B2B devem agir agora: auditar sua cadeia de confiança, escolher um prestador alinhado com os novos requisitos e preparar seus fluxos documentários para integração da carteira digital europeia.

Certyneo a acompanha nessa transição com soluções de assinatura eletrônica qualificada conformes a eIDAS 2, prontas para 2026. Solicite uma demonstração ou crie sua conta em Certyneo para proteger seus contratos desde hoje.