Prestadores eIDAS qualificados: a lista oficial 2026

Por que o status "qualificado" eIDAS é decisivo para sua empresa?

Desde a entrada em vigor do Regulamento eIDAS (nº 910/2014), o mercado europeu de assinatura eletrônica se reestruturou profundamente em torno de uma hierarquia de três níveis: a assinatura eletrônica simples (SES), a assinatura eletrônica avançada (AES) e a assinatura eletrônica qualificada (QES). Esta última é a única que se beneficia de uma presunção legal de equivalência com a assinatura manuscrita em todos os Estados-membros da União Europeia.

Para que uma empresa possa oferecer assinaturas qualificadas, ela deve obrigatoriamente ter sido auditada e inscrita na lista de confiança (Trust List) de seu Estado-membro. Na França, é a Agência Nacional de Segurança de Sistemas de Informação (ANSSI) que mantém este registro oficial, que é republicado na lista europeia centralizada gerenciada pela Comissão Europeia.

Compreender essa arquitetura é fundamental antes de assinar qualquer contrato comercial sensível. Para aprofundar nas bases regulatórias, nosso guia completo sobre o Regulamento eIDAS 2.0 detalha todas as obrigações e as evoluções introduzidas pelo Regulamento revisado eIDAS 2.0 (Regulamento UE 2024/1183).

---

Como são certificados os prestadores de serviços de confiança qualificados?

O caminho para o status de Prestador de Serviços de Confiança Qualificado (PSCQ) é exigente. Ele implica uma auditoria realizada por um organismo de avaliação da conformidade (CAB, Conformity Assessment Body) acreditado, de acordo com as normas ETSI EN 319 401 (requisitos gerais) e ETSI EN 319 411-2 para certificados qualificados.

As etapas de qualificação ANSSI

1. Depósito do dossiê de qualificação: o prestador submete sua documentação técnica, de segurança e organizacional à ANSSI.
2. Auditoria por um CAB acreditado: um organismo terceiro — como Bureau Veritas, LSTI ou Apave Certification — verifica a conformidade in loco e por documentação.
3. Decisão de qualificação: a ANSSI pronuncia a qualificação e inscreve o prestador na lista de confiança francesa (TL-FR).
4. Renovação periódica: a qualificação é reavaliada, geralmente a cada dois anos, para garantir a manutenção dos requisitos.

O que examina concretamente a auditoria?

O auditor examina notadamente:

• A segurança física dos centros de dados que hospedam as chaves criptográficas (módulos HSM certificados CC EAL 4+ ou FIPS 140-2 Nível 3 no mínimo);
• As políticas de certificação (CP) e as declarações de práticas de certificação (CPS) publicadas pelo prestador;
• Os procedimentos de verificação de identidade dos signatários (presencialmente ou verificação de identidade remota em conformidade com a norma EN 419 241-1);
• A gestão de revogações e disponibilidade dos serviços OCSP/CRL.

Esses critérios explicam por que apenas um pequeno número de atores alcança e mantém esse nível de certificação na França.

---

Os prestadores eIDAS qualificados referenciados na França em 2026

A lista oficial dos prestadores qualificados pode ser consultada a qualquer momento no portal oficial da Comissão Europeia (eidas.ec.europa.eu/efts), filtrando por "França" e o serviço "QCertESig" (Certificado Qualificado para Assinatura Eletrônica). Aqui estão os atores que figuravam no registro no momento da redação deste artigo (junho de 2026):

Atores franceses inscritos na Trust List

| Prestador | Tipo de serviço qualificado | Particularidade | |---|---|---| | Certigna (Dhimyotis) | Certificados qualificados, carimbo horário qualificado | Grupo La Poste, certificado eIDAS desde 2016 | | Certinomis | Certificados qualificados | Filial La Poste, orientada para o setor público | | ChamberSign France | Certificados qualificados | Rede das CCIs, forte ancoragem PME/TPE | | Keynectis / DocuSign France | Certificados qualificados | Adquirido pela DocuSign, manutenção do rótulo ANSSI | | Universign (Tessi) | Certificados qualificados, carimbo horário | Pioneiro do mercado, integrado no grupo Tessi | | Entrust (ex-Datacard) | Certificados qualificados | Ator internacional, Trust List multi-Estados-membros | | Oodrive Sign | Certificados qualificados | Editor soberano francês, qualificado SecNumCloud |

> Aviso: esta lista é fornecida a título informativo. Apenas a Trust List oficial da Comissão Europeia faz fé. Sempre verifique o status atual no portal ETSI antes de qualquer compromisso contratual.

Prestadores estrangeiros reconhecidos na França via Trust List europeia

Em virtude do princípio de reconhecimento mútuo estabelecido pelo artigo 25 do Regulamento eIDAS, uma assinatura qualificada emitida por um PSCQ inscrito na lista de confiança de outro Estado-membro produz os mesmos efeitos jurídicos na França. Entre os atores não franceses frequentemente utilizados:

• Namirial (Itália): forte em assinatura qualificada remota (QES remote signing);
• SwissSign (Suíça): atenção, a Suíça não é membro da UE; o reconhecimento é parcial;
• Qualified.one / Asseco Data Systems (Polônia): ator público europeu, frequente em mercados transfronteiriços.

Para comparar essas soluções de acordo com suas necessidades comerciais, consulte nosso comparativo de soluções de assinatura eletrônica que analisa critérios de preço, conformidade e integração de API.

---

Como escolher o prestador eIDAS qualificado certo para sua organização?

Figurar na Trust List é uma condição necessária, mas não suficiente. A escolha de um PSCQ deve se apoiar em vários critérios complementares.

Critérios técnicos e de integração

• API REST ou SDK disponível: indispensável para automatizar a assinatura em seus fluxos de trabalho comerciais (ERP, SIRH, CRM);
• Formatos de assinatura suportados: PAdES para PDFs, XAdES para XML, CAdES para arquivos binários — todos normalizados pela ETSI EN 319 100;
• Disponibilidade do serviço: SLA superior a 99,9% garantido contratualmente, com períodos de manutenção previstos fora do horário comercial;
• Hospedagem de dados: prefira hospedagem na França ou na UE, idealmente qualificada SecNumCloud para dados sensíveis.

Critérios jurídicos e de conformidade

• Verifique se o prestador fornece um relatório de qualificação atualizado (menos de 24 meses);
• Exija uma política de certificação publicada (CP) acessível publicamente e auditada;
• Certifique-se de que as condições gerais preveem explicitamente a entrega de certificados qualificados conforme o Anexo I do Regulamento eIDAS.

Critérios operacionais e de suporte

• Procedimento de inscrição dos signatários: presencialmente em agência, identificação por vídeo em conformidade com eIDAS ou NFC a partir de um documento de identidade eletrônico;
• Suporte em português com prazos de resposta contratuais;
• Treinamento e documentação disponíveis para suas equipes jurídicas e de TI.

Se sua organização gerencia fluxos documentários de RH significativos, nossa página dedicada à assinatura eletrônica para equipes de RH detalha os casos de uso específicos (contratos de trabalho, aditivos, onboarding) e os níveis de assinatura recomendados por tipo de documento.

---

eIDAS 2.0: quais mudanças para os prestadores qualificados em 2026?

O Regulamento eIDAS 2.0 (Regulamento UE 2024/1183, em aplicação progressiva desde maio de 2024) introduz várias evoluções estruturais que impactam diretamente os PSCQs e seus clientes.

A Carteira Europeia de Identidade Digital (EUDI Wallet)

O artigo 6a do regulamento revisado obriga os Estados-membros a oferecer, até setembro de 2026, uma carteira de identidade digital (EUDI Wallet) reconhecida em toda a UE. Para prestadores qualificados, isso significa:

• A obrigação de aceitar os atributos de identidade originários da carteira como prova de identidade para inscrição de signatários;
• O surgimento de um novo serviço qualificado: a entrega de atestados de atributos qualificados (Qualified Electronic Attestation of Attributes, QEAA).

Novos serviços qualificados e expansão do perímetro

eIDAS 2.0 amplia a lista de serviços de confiança qualificados para incluir:

• Os serviços de arquivamento eletrônico qualificado (QPDS, artigo 45f);
• Os serviços de gestão de dispositivos de criação de assinatura remota (QRCD).

Essas evoluções representam tanto uma restrição de conformidade (prazos apertados para prestadores existentes) quanto uma oportunidade de diferenciação para novos participantes capazes de integrar rapidamente as especificações técnicas publicadas pela ENISA e ETSI.

Para empresas que consideram uma migração de uma plataforma existente para uma solução mais conforme, nosso guia de migração do DocuSign ou YouSign para Certyneo apresenta as etapas concretas e os pontos de vigilância regulatória.

Marco legal aplicável aos prestadores eIDAS qualificados

Regulamento eIDAS e direito europeu

O fundamento jurídico é o Regulamento (UE) nº 910/2014 do Parlamento Europeu e do Conselho de 23 de julho de 2014 sobre identificação eletrônica e serviços de confiança para transações eletrônicas no mercado interno (chamado "Regulamento eIDAS"), conforme alterado pelo Regulamento (UE) 2024/1183 (eIDAS 2.0). Este regulamento é diretamente aplicável em todos os Estados-membros sem necessidade de transposição nacional.

Suas disposições-chave para prestadores qualificados:

• Artigo 17: obrigação para cada Estado-membro de designar um órgão de controle (na França, a ANSSI);
• Artigo 20: procedimento de supervisão, auditoria e inscrição na lista de confiança;
• Artigo 25: presunção de equivalência entre QES e assinatura manuscrita, com efeito jurídico garantido em toda a UE;
• Anexo I: requisitos relativos aos certificados qualificados para assinatura eletrônica;
• Anexo II: requisitos relativos aos dispositivos de criação de assinatura qualificada (QSCD).

Direito francês

No direito interno, a assinatura eletrônica é regulada por:

• Código Civil, artigos 1366 e 1367: o artigo 1366 reconhece o valor probatório do documento eletrônico sob a condição de garantir a identidade do autor e a integridade do documento. O artigo 1367 esclarece que a assinatura eletrônica consistindo em um processo confiável de identificação se beneficia de uma presunção de confiabilidade quando criada em conformidade com o decreto de aplicação;
• Decreto nº 2017-1416 de 28 de setembro de 2017: define as condições nas quais a assinatura eletrônica qualificada é presumida confiável na França, referindo-se explicitamente ao Regulamento eIDAS;
• Ordenança nº 2005-674 de 16 de junho de 2005 relativa ao cumprimento de certos formalidades contratuais por via eletrônica.

Proteção de dados pessoais

Os processos de inscrição e assinatura envolvem o processamento de dados pessoais (dados de identidade, biometria para identificação por vídeo). O prestador qualificado está sujeito ao Regulamento (UE) 2016/679 (RGPD) e deve notadamente:

• Designar um DPO se o processamento é em larga escala;
• Documentar os processamentos no registro da CNIL;
• Enquadrar transferências fora da UE com garantias apropriadas (cláusulas contratuais tipo, decisão de adequação).

Cibersegurança e resiliência

Desde outubro de 2024, a Diretiva NIS2 (2022/2555/UE) se aplica aos prestadores de serviços de confiança qualificados, classificados como entidades essenciais. Eles devem implementar medidas de gestão de risco cibernético, notificar incidentes significativos à ANSSI dentro de 24 horas, e se submeter a auditorias regulares. O não conformidade expõe a multas que podem chegar a 10 milhões de euros ou 2% do faturamento anual mundial.

Normas técnicas de referência

• ETSI EN 319 401: requisitos gerais para prestadores de serviços de confiança;
• ETSI EN 319 411-2: perfil de política para certificados qualificados;
• ETSI EN 319 132: formatos de assinatura XAdES;
• ETSI EN 319 122: formatos de assinatura CAdES;
• ETSI EN 319 162: formatos de assinatura PAdES (PDF).

Cenários de uso: quando a assinatura qualificada eIDAS é indispensável?

Cenário 1 — Um escritório de advocacia gerenciando atos sob assinatura privada com alto valor probatório

Um escritório de advocacia de negócios com cerca de vinte colaboradores processa mensalmente dezenas de transferências de cotas sociais, protocolos de acordo e convenções de garantia de ativos e passivos (GAP). Esses atos envolvem somas frequentemente superiores a várias centenas de milhares de euros e estão sujeitos a contestação judicial.

Antes de migrar para um prestador eIDAS qualificado, o escritório utilizava uma solução de assinatura avançada (AES), o que era suficiente para a maioria dos atos rotineiros. Após um incidente em que a parte contrária contestou a autenticidade de uma assinatura durante uma disputa, o escritório optou pela QES para todos os atos com altos riscos. Resultado: redução de 90% do tempo gasto em produção de provas de assinatura durante procedimentos contenciosos, graças à presunção legal irrefragável anexada ao QES. O custo adicional unitário por assinatura (aproximadamente 2 a 5 € dependendo dos volumes) foi totalmente absorvido pela redução nas despesas de contencioso.

Cenário 2 — Uma ETI industrial gerenciando contratos com fornecedores transfronteiriços

Uma empresa de tamanho médio (ETI) do setor de equipamentos industriais, com fornecedores estabelecidos na França, Alemanha, Itália e Polônia, até então tinha que enviar seus contratos-quadro por correio postal ou organizar reuniões presenciais de assinatura, gerando atrasos de 10 a 21 dias úteis por contrato.

Ao implementar uma solução conectada a um PSCQ europeu inscrito na Trust List, a empresa reduziu o ciclo de assinatura para menos de 48 horas em média. O reconhecimento mútuo entre Estados-membros garante valor jurídico sem necessidade de legalização adicional. Em um portfólio de 350 contratos com fornecedores anuais, o ganho estimado em custos administrativos e logísticos ultrapassa 40.000 € por ano, de acordo com faixas consistentes com estudos setoriais publicados pela ACFE e APQC.

Cenário 3 — Um agrupamento hospitalar sujeito aos requisitos do setor de saúde

Um agrupamento hospitalar de aproximadamente 1.200 leitos deve assinar eletronicamente licitações públicas, convenções de pesquisa clínica e contratos de médicos hospitalares. Esses documentos estão sujeitos ao Código de Compras Públicas, que exige assinatura eletrônica em conformidade com o RGS (Referencial Geral de Segurança) de nível ** ou, desde a desmaterialização das compras públicas, a um nível equivalente eIDAS.

Baseando-se em um PSCQ inscrito na Trust List francesa, o agrupamento garante conformidade com o artigo R. 2132-7 do Código de Compras Públicas enquanto reduz prazos de assinatura de licitações de 15 dias para menos de 72 horas. A integração de API com o sistema de informação hospitalar (SIH) permitiu automatizar envio e rastreamento de documentos, liberando aproximadamente 0,4 ETP em tarefas administrativas relacionadas a contratos.

Conclusão

Escolher um prestador eIDAS qualificado não é simplesmente uma compra de software: é uma decisão estratégica que compromete o valor probatório de seus atos, a conformidade regulatória de sua organização e a confiança de seus parceiros comerciais e institucionais. Em 2026, com a entrada em vigor progressiva de eIDAS 2.0 e as novas obrigações NIS2, o nível de exigência só aumenta.

Os pontos essenciais a lembrar: sempre verifique a inscrição na Trust List oficial, exija uma política de certificação publicada, e adapte o nível de assinatura (QES, AES, SES) ao risco jurídico de cada documento.

Certyneo o acompanha nessa jornada dando-lhe acesso a certificados qualificados via PSCQs referenciados, uma API de integração robusta e suporte jurídico dedicado. Pronto para passar para assinatura qualificada? Solicite uma demonstração ou crie sua conta na Certyneo e coloque sua organização em conformidade hoje mesmo.