eIDAS 2: O novo regulamento europeu explicado em 2026

Introdução: por que eIDAS 2 muda tudo para as empresas europeias

Entrado em vigor em 20 de maio de 2024 após uma longa gestação legislativa, o regulamento eIDAS 2 — oficialmente denominado Regulamento (UE) 2024/1183 — representa a reforma mais ambiciosa jamais empreendida no domínio da identificação eletrônica e dos serviços de confiança na Europa. Ele revoga e substitui parcialmente o regulamento eIDAS original de 2014 (nº 910/2014), mantendo a compatibilidade regressiva com a infraestrutura existente. Para as empresas que recorrem à assinatura eletrônica conforme eIDAS, essa reformulação introduz novas obrigações, oportunidades inéditas e um cronograma de conformidade apertado até 2026 e além. Este artigo decifra em profundidade as disposições principais do texto, suas implicações operacionais e a forma como sua organização pode se preparar.

---

O que o regulamento eIDAS 2 modifica fundamentalmente

Do regulamento de 2014 à versão 2024: uma reformulação estrutural

O regulamento eIDAS original de 2014 estabeleceu as bases do reconhecimento mútuo de esquemas de identificação eletrônica entre Estados-membros e criou um marco jurídico unificado para os serviços de confiança (assinatura, selo, carimbo de tempo, etc.). Mas dez anos depois, as limitações eram evidentes: baixa taxa de adoção de eID notificados, fragmentação de soluções nacionais, ausência de uma carteira numérica universal para os cidadãos e, especialmente, inadequação aos usos da web (GAFAM excluídos do marco de confiança).

eIDAS 2 corrige essas lacunas em três eixos principais:

1. A carteira europeia de identidade digital (EUDI Wallet) — cada Estado-membro deve oferecer, no máximo em novembro de 2026, uma aplicação de carteira digital que permita a todo cidadão ou residente europeu armazenar e apresentar seus atributos de identidade (carteira de identidade, carta de condução, diplomas, etc.) de forma segura.
2. A expansão dos serviços de confiança qualificados — o texto adiciona novos serviços qualificados: gestão de arquivamento eletrônico qualificado (QESAP), relatórios de atributos de identidade qualificados (QEAA), livros de contas eletrônicos qualificados (QLED) e gestão de dispositivos de criação de assinatura a distância (QRCD).
3. A obrigação para as grandes plataformas — os fornecedores de serviços online de grande escala (redes sociais, marketplaces) deverão aceitar a carteira EUDI para a autenticação dos utilizadores.

A carteira EUDI Wallet: arquitetura e funcionamento

O EUDI Wallet está no coração do eIDAS 2. Concretamente, trata-se de uma aplicação de software — entregue ou certificada por cada Estado-membro — que se baseia em um modelo descentralizado de apresentação seletiva de atributos. O utilizador transmite apenas os dados estritamente necessários à transação (princípio de minimização, conforme ao RGPD).

Do ponto de vista técnico, a arquitetura repousa nas especificações do Architecture Reference Framework (ARF), publicado pela Comissão Europeia e atualizado regularmente pelo Large Scale Pilot (LSP) que agrupa quatro consórcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Os formatos de dados retidos são principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantindo a interoperabilidade transfronteiriça.

Para as empresas, isso significa que poderão, a termo, verificar a identidade de seus clientes ou parceiros via a carteira sem gerenciar elas mesmas a coleta de documentos comprovativos — reduzindo assim consideravelmente as fricções KYC (Know Your Customer) e os riscos de fraude documental.

---

Os níveis de garantia e a hierarquia das assinaturas: o que muda

Manutenção da hierarquia QES / AdES / SES

O regime das assinaturas eletrônicas permanece estruturado em torno de três níveis definidos no artigo 3 do eIDAS 2 (retomando a terminologia de 2014 mas precificando as exigências técnicas):

• Assinatura eletrônica simples (SES): valor probante mínimo, adequado aos atos correntes.
• Assinatura eletrônica avançada (AdES): vínculo exclusivo ao signatário, possibilidade de detectar qualquer modificação posterior.
• Assinatura eletrônica qualificada (QES): equivalente legal da assinatura manuscrita em toda a UE (artigo 25§2), emitida via um dispositivo qualificado de criação de assinatura (QSCD) com base em um certificado qualificado.

A novidade reside na forma como a QES pode agora ser entregue via serviços de assinatura a distância qualificados (QRCD), cujas condições de aprovação são precisadas nos artigos 29a e 29b do texto revisto. Isso abre o caminho para fluxos 100% digitais para os atos mais exigentes — contratos notariais, atos autênticos eletrônicos — sem necessidade de cartão inteligente físico.

O impacto nos prestadores de serviços de confiança qualificados (QTSP)

Os prestadores como o Certyneo, que operam apoiando-se em QTSP certificados, devem antecipar as novas exigências de auditoria introduzidas pelo eIDAS 2. O artigo 24 impõe agora controles reforçados na cadeia de subcontratação, e as exigências de notificação de incidentes de segurança se alinham explicitamente com as da diretiva NIS2 (prazo de 24 h para a notificação inicial). Para aprofundar o funcionamento dos diferentes níveis de assinatura em um contexto B2B, consulte nosso guia completo sobre assinatura eletrônica em empresas.

---

Cronograma de implantação e obrigações para as empresas em 2025-2026

As etapas principais da implantação

O regulamento (UE) 2024/1183 foi publicado no Jornal Oficial da UE em 30 de abril de 2024 e entrou em vigor em 20 de maio de 2024. Os atos de execução e delegados — essenciais para precisar as exigências técnicas — são publicados progressivamente:

| Prazo | Obrigação | |---|---| | Maio 2024 | Entrada em vigor do regulamento | | Fim 2024 | Publicação dos atos de execução sobre o ARF v2.0 | | Mid-2025 | Certificação dos primeiros EUDI Wallets piloto | | Novembro 2026 | Disponibilidade obrigatória de um EUDI Wallet em cada Estado-membro | | 2027 | Aceitação obrigatória pelas grandes plataformas online |

O que as empresas B2B devem fazer agora

Para as empresas utilizadoras de soluções de assinatura eletrônica, três prioridades se impõem em 2025-2026:

1. Auditar sua cadeia de confiança: verificar que seu prestador de assinatura figura realmente na lista dos QTSP (Trusted List) de seu Estado-membro, e que os certificados utilizados são conformes às novas especificações ETSI EN 319 401 e EN 319 411-1 revistas.

2. Antecipar a integração da EUDI Wallet: as empresas operando em setores regulados (banca, seguro, saúde, imobiliário) estarão entre as primeiras afetadas pelos fluxos de verificação de identidade via carteira. Preparar as API de integração a partir de 2025 é recomendado.

3. Revisar suas políticas de conservação: o novo serviço qualificado de arquivamento eletrônico (QESAP) introduz padrões de preservação a longo prazo que podem se impor em certos setores (compras públicas, setor farmacêutico). Nosso calculador de ROI para assinatura eletrônica permite avaliar o impacto financeiro de uma atualização de sua infraestrutura documental.

---

Interoperabilidade, RGPD e desafios de soberania digital

eIDAS 2 e RGPD: complementaridade reforçada

Um dos avanços principais do eIDAS 2 é a integração explícita dos princípios de proteção de dados desde a conceção (privacy by design) na arquitetura do portefólio EUDI. O artigo 5a§14 dispõe que o portefólio não permite aos fornecedores rastrear o comportamento do utilizador durante as transações. Os emissores de atributos de identidade qualificados (QEAA) não são informados da utilização que é feita das atestações entregues — o que constitui uma ruptura importante com os modelos centralizados atuais.

Esta arquitetura é qualificada de unlinkability (não-correlacionabilidade): duas transações distintas realizadas pelo mesmo utilizador não podem ser ligadas sem seu consentimento. Esta garantia ultrapassa as exigências mínimas do RGPD enquanto se articula perfeitamente com este.

A dimensão geopolítica: recuperar o controle sobre a identidade online

eIDAS 2 responde também a um desafio de soberania. Hoje, a autenticação online repousa massivamente nos botões "Conectar com Google/Facebook/Apple", o que confere aos gigantes tecnológicos americanos uma posição dominante na gestão de identidades digitais europeias. Ao impor às muito grandes plataformas (no sentido da Digital Services Act) a aceitação do EUDI Wallet como meio de autenticação, eIDAS 2 cria uma alternativa interoperável e soberana.

Para as empresas B2B, isso significa igualmente que a conformidade eIDAS 2 pode tornar-se um critério de seleção de fornecedor nos procedimentos de adjudicação públicos e privados — à semelhança do que representa hoje a certificação ISO 27001 nos processos de compra. Se sua organização contempla evoluir sua solução atual, nosso guia de migração de DocuSign ou YouSign para Certyneo detalha as etapas de uma transição controlada.

Marco legal aplicável a eIDAS 2 e à assinatura eletrônica

Textos de referência

Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho de 11 de abril de 2024, que altera o regulamento (UE) nº 910/2014 relativamente ao estabelecimento do marco europeu relativo a uma identidade digital (eIDAS 2). Publicado no JOUE em 30 de abril de 2024, entrou em vigor em 20 de maio de 2024.

Regulamento (UE) nº 910/2014 (eIDAS 1): mantido em vigor para suas disposições não alteradas, nomeadamente os artigos relativos aos níveis de garantia "fraco", "substancial" e "elevado" para os esquemas de identificação notificados.

Código Civil francês, artigos 1366 e 1367: o escrito eletrônico tem a mesma força probante que o escrito em papel desde que a pessoa de quem emana seja devidamente identificada e que o documento seja estabelecido em condições que garantam sua integridade. A assinatura eletrônica qualificada (QES) no sentido do eIDAS 2 satisfaz plenamente essas exigências.

Regulamento (UE) 2016/679 (RGPD): o tratamento de dados de identidade no contexto da carteira EUDI é submetido aos princípios de minimização (art. 5§1c), de limitação da finalidade (art. 5§1b) e de proteção de dados desde a conceção (art. 25). Os prestadores qualificados exercem a qualidade de responsáveis de tratamento distintos para as operações de verificação.

Diretiva (UE) 2022/2555 (NIS2): transposta para o direito francês pela ordenança nº 2024-528 de 12 de junho de 2024, impõe aos prestadores de serviços de confiança qualificados obrigações de gestão de riscos cibernéticos e de notificação de incidentes no prazo de 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) e EN 319 122 (CAdES): formatos avançados de assinatura eletrônica.
• EN 319 401: exigências gerais para prestadores de serviços de confiança.
• EN 319 411-1 e 411-2: política e exigências de segurança para CA que emitem certificados qualificados.
• EN 319 521: exigências para serviços qualificados de preservação de assinaturas (QESAP).

Obrigações e riscos jurídicos para as empresas

Qualquer empresa que utilize assinaturas eletrônicas em contexto contratual deve assegurar-se de que o nível de assinatura escolhido é adequado ao valor e à natureza do ato. Para os atos submetidos a uma exigência legal de assinatura (promessas de venda, contratos de trabalho, bons de encomenda ultrapassando certos limiares), apenas a QES ou a AdES baseada em certificado qualificado apporta a presunção de fiabilidade visada no artigo 26 do eIDAS 2.

Em caso de litígio, o ónus da prova se reverte: se a assinatura é qualificada, cabe à parte contestando o documento provar sua alteração; se for simples ou avançada sem certificado qualificado, o ónus da prova repousa sobre o signatário que a invoca. O incumprimento das exigências de rastreabilidade e integridade pode gerar a nulidade do ato ou a inoponibilidade da assinatura a um terceiro.

Cenários de uso: eIDAS 2 aplicado às empresas B2B

Cenário 1 — Um gabinete de consultoria em transformação digital (aproximadamente 80 consultores)

Uma estrutura de consultoria implantando seus colaboradores em clientes em vários Estados-membros (França, Alemanha, Países Baixos) deve fazer assinar cada mês ordens de missão, avenças contratuais e atas de recebimento. Antes do eIDAS 2, a gestão de identidades transfronteiriças gerava fricções: recusa de certos clientes alemães de reconhecer certificados emitidos por um QTSP francês, dupla autenticação por email insuficiente para atos sensíveis.

Com a implantação da EUDI Wallet em 2026, os consultores poderão assinar a partir de sua carteira nacional — reconhecida plenamente em todos os Estados-membros — sem qualquer fricção. O gabinete estima uma redução de 60 a 70% do tempo dedicado aos intercâmbios de verificação documental prévia à assinatura, ou seja, aproximadamente 3 a 4 horas economizadas por consultor e por mês segundo os benchmarks setoriais publicados pela McKinsey Digital (2024).

Cenário 2 — Uma PME industrial gerindo 350 contratos fornecedores por ano

Uma PME do setor de equipamentos industriais, trabalhando com uma centena de fornecedores europeus e asiáticos, deve contratar compras, acordos de confidencialidade (NDA) e contratos-marco. Até agora, 30% desses documentos voltavam sem assinatura válida ou com prazos superiores a 10 dias úteis.

Ao adotar uma solução de assinatura eletrônica conforme eIDAS 2 com verificação de identidade por meio de atributos qualificados (QEAA), a PME pode impor um fluxo de assinatura onde a identidade do representante legal do fornecedor é verificada automaticamente via a carteira EUDI, sem entrada manual. Resultado esperado: redução do prazo médio de assinatura de 10 dias para menos de 48 horas, e diminuição de 40% dos litígios relacionados a assinaturas não conformes, com base em faixas observadas nos relatórios ELENIUS 2025 sobre desmaterialização B2B.

Cenário 3 — Um agrupamento imobiliário gerindo promessas de venda em vários países

Uma rede de agências imobiliárias operando em França, Espanha e Portugal deve regularmente fazer assinar pré-contratos entre vendedores e compradores de nacionalidades diferentes. A QES é exigida em certos contextos para garantir a equivalência com a assinatura manuscrita perante notário.

Graças ao eIDAS 2 e à interoperabilidade das carteiras EUDI, um comprador português pode assinar um compromisso submetido ao direito francês utilizando sua carteira nacional, com um nível de garantia "elevado" reconhecido automaticamente pela plataforma de assinatura. O agrupamento reduz seus honorários de deslocamento e legalização de aproximadamente 800 a 1.200 euros por dossier transfronteiriço, enquanto diminui o prazo de conclusão dos pré-contratos de 3 semanas para 5 dias em média. Para os usos específicos do setor, nossa página dedicada à assinatura eletrônica em imobiliário detalha os fluxos adaptados.

Conclusão

eIDAS 2 não é uma simples atualização regulatória: é uma reformulação profunda da forma como a identidade digital e a confiança eletrônica funcionam na Europa. A carteira EUDI Wallet, os novos serviços qualificados, a obrigação de interoperabilidade e o alinhamento com NIS2 e o RGPD formam um ecossistema coerente que vai transformar os processos contratuais e de autenticação das empresas até final de 2026.

Para permanecer conformes e competitivas, as organizações B2B devem agir a partir de agora: auditar sua cadeia de confiança, escolher um prestador alinhado com as novas exigências e preparar seus fluxos documentários para a integração da carteira digital europeia.

O Certyneo o acompanha nesta transição com soluções de assinatura eletrônica qualificada conformes eIDAS 2, prontas para 2026. Solicite uma demonstração ou crie sua conta no Certyneo para proteger seus contratos a partir de hoje.