Transição eIDAS 1 para 2: impactos na assinatura em 2025

Em 20 de maio de 2024, o regulamento (UE) 2024/1183 — comumente chamado de eIDAS 2 — foi publicado no Jornal Oficial da União Europeia, revogando progressivamente o regulamento nº 910/2014 (eIDAS 1). Este texto representa a reforma mais estruturante da identidade digital e da assinatura eletrônica na Europa desde 2016. Para as empresas francesas que utilizam soluções de assinatura eletrônica em seus workflows contratuais, a transição não é uma formalidade: ela implica ajustes técnicos, jurídicos e organizacionais cujo horizonte se estende até 2026 e além. Compreender a passagem de eIDAS 1 para eIDAS 2 e seu impacto na assinatura eletrônica em 2025 tornou-se uma prioridade para diretorias jurídicas, TI e recursos humanos. Este artigo descriptografa as evoluções fundamentais do marco regulatório, o calendário preciso da transição e as medidas concretas a serem tomadas para manter a conformidade.

O que o regulamento eIDAS 2 modifica fundamentalmente

Do regulamento de 2014 à reformulação de 2024: por que uma revisão era necessária

O EIDAS 1 havia estabelecido as bases do reconhecimento mútuo de assinaturas eletrônicas dentro da União. Três níveis hierárquicos — simples (SES), avançada (AdES) e qualificada (QES) — estruturavam o valor probatório das assinaturas, baseados em uma lista de prestadores de confiança (TSL). Mas em dez anos, duas lacunas importantes surgiram.

Primeiramente, o regulamento original se aplicava essencialmente às relações com as administrações públicas (G2B, G2C). Ele não criava obrigações diretas nas transações privadas (B2B, B2C), deixando um vazio normativo que cada Estado-membro preenchia de forma heterogênea. Em segundo lugar, o aumento do poder dos serviços digitais — aplicativos móveis, open banking, telemedicina — havia revelado a ausência de um sistema de identidade digital portátil e interoperável em nível continental.

O EIDAS 2 responde a esses dois desafios ao introduzir a carteira europeia de identidade digital (EU Digital Identity Wallet, EUDIW) e ao expandir o escopo dos serviços de confiança para novos casos de uso: arquivamento eletrônico qualificado, atestados de atributos qualificados, registros eletrônicos qualificados (incluindo aplicativos blockchain certificados).

As novas categorias de serviços de confiança qualificados

O regulamento eIDAS 2 estende a lista de serviços de confiança qualificados (artigo 3 e anexo IV revisado). Além das assinaturas, selos e carimbos de tempo qualificados já reconhecidos pelo eIDAS 1, agora são qualificados:

• Os serviços de arquivamento eletrônico qualificado (art. 34 bis): obrigação de preservar a integridade e legibilidade dos documentos assinados a longo prazo, com requisitos reforçados para prestadores (QTSP).
• Os serviços de gestão de dispositivos de criação de assinatura à distância qualificados (QRCD): regulação reforçada das soluções de assinatura à distância via HSM (Hardware Security Module) na nuvem.
• Os atestados de atributos qualificados: mecanismo que permite a um terceiro de confiança certificar atributos de uma entidade (ex. qualidade de advogado, status de médico) sem revelar o conjunto da identidade.
• Os registros eletrônicos qualificados: reconhecimento de registros distribuídos sob condições rigorosas de auditabilidade e resiliência.

Para os usuários de soluções de assinatura eletrônica, essa extensão significa que os serviços de confiança qualificados disponíveis no mercado vão se diversificar, e os critérios de seleção de um prestador (QTSP) devem integrar essas novas capacidades.

O EUDIW: a carteira de identidade digital como infraestrutura da assinatura

A inovação mais visível do eIDAS 2 permanece o EUDIW. Cada Estado-membro deverá colocar à disposição de seus cidadãos e residentes uma carteira de identidade digital gratuita, interoperável com todas as outros Estados-membros, até 26 de novembro de 2026 (prazo de conformidade nacional de acordo com o artigo 5 bis). Esta carteira permitirá:

• autenticar o usuário com um nível de garantia elevado (LoA High) sem recorrer a um prestador terceirizado de identificação;
• assinar eletronicamente documentos com valor qualificado (QES) diretamente da carteira;
• compartilhar atributos de identidade seletivos (selective disclosure), respeitando assim o princípio de minimização de dados do RGPD.

Para as empresas, o EUDIW simplifica teoricamente os procedimentos de verificação de identidade prévia à assinatura qualificada, eliminando o atrito da videoidenficação ou identificação presencial. Na prática, o impacto dependerá do ritmo de implantação nacional — a França lançou em 2025 uma experiência piloto no âmbito do programa "France Identité".

Calendário preciso da transição eIDAS 1 para eIDAS 2

Os marcos regulatórios a conhecer

O regulamento 2024/1183 entrou em vigor em 20 de maio de 2024, mas sua aplicação é progressiva. Aqui estão os prazos-chave:

| Data | Evento | |------|--------| | 20 de maio de 2024 | Publicação no JOUE, entrada em vigor formal | | 20 de novembro de 2024 | Prazo de 6 meses para aprovação dos atos de execução pela Comissão (especificações técnicas do EUDIW) | | Fim de 2025 | Publicação de normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando os requisitos eIDAS 2 | | 26 de maio de 2026 | Prazo limite para conformidade dos Estados-membros nas novas categorias de serviços qualificados | | 26 de novembro de 2026 | Disponibilização obrigatória do EUDIW por cada Estado-membro | | 2027-2028 | Revisão completa de listas de confiança nacionais (TSL) e acreditação de novos QTSP |

O EIDAS 1 permanece válido e as assinaturas emitidas sob seu regime mantêm seu valor jurídico completo. Não há obrigação de reassinar documentos existentes. Por outro lado, os prestadores de confiança qualificados deverão renovar sua acreditação de acordo com as novas normas técnicas até 2027.

O que não muda e o que deve ser monitorado

A continuidade é um princípio cardinal da transição. Os três níveis de assinatura (SES, AdES, QES) são mantidos com suas definições inalteradas. A presunção de equivalência com uma assinatura manuscrita anexada à QES (artigo 25 eIDAS 1, retomado no artigo 27 eIDAS 2) permanece em vigor. O valor probatório de suas assinaturas eletrônicas atuais não é questionado.

O que deve ser monitorado em contrapartida: os atos de execução (implementing acts) publicados pela Comissão Europeia ao longo de 2025-2026 estabelecerão as especificações técnicas precisas do EUDIW e das novas categorias de serviços. Esses textos de nível 2 têm importância prática considerável para integradores e editores de software. Para as empresas utilizando assinatura eletrônica em seus processos de RH ou jurídicos, é recomendado solicitar ao prestador um roadmap de conformidade eIDAS 2.

Impacto concreto nas empresas e suas soluções de assinatura

Quais workflows são prioritários?

A transição eIDAS 1 para eIDAS 2 não tem o mesmo impacto dependendo do nível de assinatura utilizado. Para as empresas, três situações se distinguem:

Assinatura eletrônica simples (SES): usada para aditivos de baixo valor, confirmações de recebimento, formulários internos. Nenhuma obrigação de atualização imediata. As regras probatórias continuam regidas pelo Código Civil (art. 1366-1367) e não diretamente por eIDAS.

Assinatura eletrônica avançada (AdES/AdESQC): as empresas utilizando soluções B2B para contratos comerciais, contratos de trabalho desmaterializados ou atos imobiliários devem verificar que seu prestador mantém conformidade com as normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) e EN 319 142 (PAdES) em suas versões revisadas para eIDAS 2. Essas normas serão publicadas pela ETSI até fim de 2025.

Assinatura eletrônica qualificada (QES): os prestadores qualificados (QTSP) deverão passar por uma nova acreditação eIDAS 2. O período transitório permite um prazo razoável (até 2027), mas as licitações lançadas a partir de 2025 deveriam integrar uma cláusula de conformidade eIDAS 2 nos critérios de seleção. Para as organizações comparando opções disponíveis, o comparativo de soluções de assinatura eletrônica permite avaliar a maturidade dos editores sobre este assunto.

Novos requisitos para prestadores de confiança qualificados (QTSP)

O EIDAS 2 reforça os requisitos aplicáveis aos QTSP em três pontos principais:

1. Segurança dos sistemas: alinhamento obrigatório com NIS2 (diretiva (UE) 2022/2555) para QTSP, agora classificados como entidades essenciais. Isso se traduz em obrigações de notificação de incidentes em 24 horas, auditorias de segurança anuais e implementação de planos de continuidade de negócios.

1. Responsabilidade reforçada: o artigo 13 eIDAS 2 amplia o regime de responsabilidade dos QTSP. Em caso de violação comprovada, o ônus da prova é invertido: o prestador deve demonstrar que não foi negligente, e não o contrário.

1. Interoperabilidade obrigatória: os QTSP deverão expor APIs padronizadas compatíveis com o EUDIW para permitir integração nativa de carteiras de identidade. Este requisito acelerará a modernização das interfaces de integração disponíveis para desenvolvedores.

Para as empresas considerando trocar de prestador neste contexto, migrar de DocuSign ou YouSign para uma solução em conformidade com eIDAS 2 é uma abordagem que merece ser antecipada agora em vez de com urgência em 2027.

Dados pessoais e eIDAS 2: a articulação com o RGPD

O EUDIW coleta e processa dados de identidade pessoais. O regulamento eIDAS 2 prevê explicitamente (considerando 11 e artigo 5 bis §14) que todo o dispositivo deve estar em conformidade com o RGPD (regulamento (UE) 2016/679). Vários pontos de atenção:

• Selective disclosure: a carteira deve permitir ao usuário compartilhar apenas os atributos estritamente necessários à transação (princípio de minimização, art. 5(1)(c) RGPD). Para uma assinatura de contrato, apenas a verificação de maioridade poderia ser compartilhada sem revelar a data de nascimento completa.
• Transferências fora da UE: os dados de identidade processados no contexto do EUDIW não podem ser transferidos para fora do EEE sem garantias apropriadas (art. 46 RGPD). Os prestadores utilizando infraestruturas de nuvem americana devem documentar sua conformidade.
• Preservação de logs de assinatura: o arquivamento das provas de assinatura deve respeitar a duração de conservação proporcional à natureza do documento. O novo serviço de arquivamento qualificado eIDAS 2 oferece um marco técnico para atender a este requisito.

As empresas gerenciando contratos de trabalho internacionais são particularmente afetadas por esta articulação RGPD/eIDAS 2, especialmente quando os signatários residem fora da UE.

Marco legal aplicável à transição eIDAS 1 para eIDAS 2

Textos de referência

A transição repousa em uma sobreposição de textos que é indispensável dominar:

No nível europeu:

• Regulamento (UE) nº 910/2014 (eIDAS 1): ainda em vigor até sua revogação progressiva por eIDAS 2. Define os três níveis de assinatura (SES, AdES, QES) e o regime dos QTSP.
• Regulamento (UE) 2024/1183 (eIDAS 2): entrou em vigor em 20 de maio de 2024. Modifica substancialmente eIDAS 1 sem revogá-lo imediatamente. As disposições relativas ao EUDIW se aplicam a partir da publicação dos atos de execução.
• Regulamento (UE) 2016/679 (RGPD): aplica-se integralmente ao processamento de dados de identidade no contexto do EUDIW e dos processos de assinatura. O artigo 5 bis §14 de eIDAS 2 recorda essa subordinação explicitamente.
• Diretiva (UE) 2022/2555 (NIS2): impõe obrigações de cibersegurança reforçadas aos QTSP, agora classificados como entidades essenciais. Transposta para a lei francesa pela ordenança nº 2024-821 de 20 de junho de 2024 (em decurso de decreto de aplicação).

No nível francês:

• Código Civil, artigos 1366 e 1367: fundamento do valor probatório dos escritos em forma eletrônica. O artigo 1366 estabelece equivalência entre escrito eletrônico e papel sob condições. O artigo 1367 confere à assinatura qualificada (QES) a mesma força probatória que uma assinatura manuscrita.
• Decreto nº 2017-1416 de 28 de setembro de 2017: precisa as condições de uso da assinatura eletrônica em atos sob assinatura privada. Permanece aplicável durante o período transitório.
• Referencial Geral de Segurança (RGS) v2: para as administrações francesas, o RGS impõe o uso de soluções referenciadas pela ANSSI. Sua atualização para integrar eIDAS 2 é esperada durante 2026.

Normas técnicas ETSI aplicáveis

As normas ETSI constituem o nível 3 da hierarquia normativa. As versões atuais aplicáveis:

• EN 319 132-1/2: formato XAdES (assinaturas XML avançadas)
• EN 319 122-1/2: formato CAdES (assinaturas CMS avançadas)
• EN 319 142-1/2: formato PAdES (assinaturas PDF avançadas)
• EN 319 401: requisitos gerais para prestadores de serviços de confiança
• EN 319 411-1/2: requisitos para AC emitindo certificados qualificados

Essas normas serão revisadas até fim de 2025 para integrar os novos requisitos eIDAS 2. Os contratos com QTSP devem incluir uma cláusula de atualização para versões revisadas sem custo adicional.

Riscos jurídicos de não-conformidade

Uma assinatura emitida por um prestador que não estivesse mais acreditado após 2027 não perderia automaticamente seu valor jurídico para documentos já assinados, mas não se beneficiaria mais da presunção legal de equivalência com assinatura manuscrita (art. 25 eIDAS). O ônus da prova de integridade e identidade do signatário recairia inteiramente sobre a empresa em caso de litígio. Este risco probatório é particularmente sensível para atos cuja prescrição é longa (5 anos em matéria comercial, 30 anos para direitos reais imobiliários).

Cenários de uso: como as organizações antecipam a transição eIDAS 2

Cenário 1: um escritório de advocacia com 25 colaboradores racionaliza sua conformidade documental

Um escritório de advocacia especializado em direito dos negócios, com aproximadamente 25 colaboradores e atividade intensa de assinatura de mandatos, atos de cessão e protocolos de acordo, utilizava até 2024 uma solução de assinatura avançada (AdES) para a totalidade de seus fluxos. Com o anúncio de eIDAS 2, o escritório realizou uma auditoria de seus 1.200 documentos assinados anualmente para identificar aqueles que necessitavam QES de acordo com as novas recomendações de sua ordem.

Resultado: 15% dos atos (aproximadamente 180 por ano) foram reclassificados para assinatura qualificada, o que permitiu proteger o regime probatório desses documentos. O escritório negociou com seu editor de assinatura uma cláusula garantindo conformidade eIDAS 2 a partir da publicação dos atos de execução, sem custo adicional. O tempo administrativo relacionado à verificação de identidade dos signatários diminuiu 40% graças à antecipação da integração EUDIW planejada para 2026.

Cenário 2: uma PME industrial com 150 funcionários protege sua cadeia contratual de fornecedores

Uma PME industrial gerenciando aproximadamente 350 contratos de fornecedores por ano — bons de pedido, NDAs, contratos-marco — funcionava com duas soluções de assinatura distintas para seus fluxos internos e externos, criando uma fragmentação de provas de auditoria. No contexto da transição eIDAS 2 e dos novos requisitos de arquivamento qualificado, a TI decidiu unificar sua plataforma.

Ao migrar para uma solução única integrando arquivamento eletrônico qualificado (futura categoria eIDAS 2), a PME reduziu seus custos de armazenamento seguro em 30% e consolidou suas provas de assinatura em um cofre digital conforme. O conjunto da cadeia documental é agora auditável em menos de 2 minutos durante controles de fornecedores — um requisito crescente de seus compradores na indústria automotiva.

Cenário 3: um agrupamento hospitalar de aproximadamente 600 leitos prepara a integração EUDIW

Um agrupamento hospitalar público utilizava assinatura eletrônica qualificada para seus contratos médicos e suas licitações públicas, em conformidade com obrigações do código de licititation pública. Com eIDAS 2, o serviço de TI identificou duas questões prioritárias: a integração futura da carteira "France Identité" para médicos liberais atuando no estabelecimento, e a conformidade NIS2 de seu QTSP.

O agrupamento inscreveu em seu plano estratégico digital 2025-2028 um lote específico "conformidade eIDAS 2", com orçamento provisório de 45.000 € para migração técnica e treinamento de agentes. O objetivo é estar em posição de aceitar assinaturas via EUDIW a partir do desdobramento nacional previsto para novembro de 2026, reduzindo assim os prazos de contratualização com profissionais de saúde liberais de 3 dias para menos de 4 horas em média de acordo com benchmarks setoriais disponíveis.

Conclusão

A transição eIDAS 1 para eIDAS 2 não é uma ruptura mas uma evolução estruturada, com calendário preciso estendendo-se até 2027. Os impactos na assinatura eletrônica são reais — extensão de serviços qualificados, chegada do EUDIW, reforço de requisitos NIS2 para QTSP — mas gerenciáveis desde que antecipados. As empresas que agem agora se beneficiam de uma margem de manobra para auditar seus workflows, proteger seus contratos com prestadores e treinar suas equipes sem pressão de urgência regulatória.

A Certyneo acompanha as empresas nesta transição com um roadmap de conformidade eIDAS 2 claro, formatos de assinatura mantidos atualizados e uma arquitetura pronta para integração EUDIW. Pronto para proteger seus fluxos de assinatura neste novo marco regulatório? Descubra nossas ofertas e comece gratuitamente no Certyneo.