eIDAS 2 Carteira de Identidade Digital: Guia 2026

A entrada em vigor do regulamento eIDAS 2 marca um ponto de virada histórico para a gestão da identidade digital na Europa. Com a EUDI Wallet — European Digital Identity Wallet — cada cidadão e cada empresa terá em breve uma carteira digital soberana, interoperável e reconhecida nos 27 Estados-membros. Para as direções jurídicas, RH, conformidade e TI, este canteiro de obras regulatório abre tantas oportunidades quanto desafios operacionais. Este artigo decifra o funcionamento técnico e jurídico da EUDI Wallet, suas implicações práticas para as empresas e como se articula com as soluções de assinatura eletrônica qualificada já em vigor.

O que é eIDAS 2 e EUDI Wallet?

Do regulamento eIDAS 1.0 ao regulamento eIDAS 2.0: uma evolução estrutural

Adotado em 2014, o regulamento eIDAS nº 910/2014 estabeleceu as bases da confiança digital na Europa: assinaturas eletrônicas qualificadas, selos, carimbos de tempo e serviços de autenticação. Mas uma década depois, suas limitações tornaram-se aparentes: interoperabilidade insuficiente entre Estados-membros, adoção desigual de identidades digitais nacionais, ausência de uma carteira unificada. O regulamento (UE) 2024/1183, denominado eIDAS 2, adotado oficialmente em 11 de abril de 2024 no Jornal Oficial da UE, corrige essas lacunas ao impor um marco comum de identidade digital soberana.

Para aprofundar o conjunto do novo marco regulatório, consulte nosso guia completo sobre o regulamento eIDAS 2.0.

EUDI Wallet: arquitetura e princípios fundadores

A EUDI Wallet (European Digital Identity Wallet) é uma aplicação móvel e/ou de software que cada Estado-membro deverá disponibilizar aos seus cidadãos e residentes até 2026, em conformidade com o artigo 5a do regulamento revisado. Concretamente, esta carteira digital permite:

• Armazenar e apresentar atributos de identidade verificados: documento de identidade, carta de condução, diplomas, acreditações profissionais, número VAT intracomunitário para pessoas jurídicas.
• Autenticar o utilizador junto de serviços públicos e privados em níveis de garantia elevados (LoA High conforme o anexo I do regulamento).
• Assinar eletronicamente documentos com nível qualificado, apoiando-se em Qualified Electronic Signature Creation Devices (QSCD) certificados.
• Partilhar seletivamente dados (princípio de selective disclosure) sem revelar mais informações do que o necessário — uma contribuição importante para a conformidade RGPD.

A arquitetura assenta nas especificações técnicas publicadas pela Comissão Europeia através do Architecture and Reference Framework (ARF), mantido pelo consórcio EUDIW (European Digital Identity Wallet). Os formatos de apresentação adotados incluem nomeadamente ISO/IEC 18013-5 (mDL — mobile Driver's Licence) e SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dois padrões abertos garantindo a portabilidade.

Quem está envolvido? Empresas retransmissoras (Relying Parties)

O regulamento eIDAS 2 introduz a noção de Relying Party (parte confiante). Qualquer organização — empresa privada, administração, plataforma em linha — que aceite atributos de identidade originários da EUDI Wallet deve registar-se junto do seu Estado-membro e respeitar um conjunto de obrigações técnicas e de segurança. O artigo 5b do regulamento especifica que as grandes plataformas (no sentido do DSA) e certos setores (banca, saúde, energia) serão obrigados a aceitar a EUDI Wallet desde a entrada em produção nacional.

Funcionamento técnico da EUDI Wallet para empresas

O fluxo de autenticação e assinatura passo a passo

Compreender o fluxo técnico é indispensável para antecipar a integração nos sistemas de informação. Um cenário típico de assinatura de contrato via EUDI Wallet desenrola-se assim:

1. Inicialização: a Relying Party (ex.: sua plataforma SaaS) gera uma solicitação de apresentação em conformidade com o protocolo OpenID4VP (OpenID for Verifiable Presentations).
2. Notificação: o utilizador recebe uma notificação na sua EUDI Wallet móvel.
3. Consentimento e seleção: o utilizador escolhe os atributos a partilhar (nome, apelido, data de nascimento) através da interface de selective disclosure.
4. Apresentação verificável: a carteira gera uma prova criptográfica assinada pelo Trusted Issuer (o Estado-membro ou um prestador acreditado).
5. Verificação: a Relying Party verifica a prova através do registo de confiança europeu (Trust Framework), sem armazenar dados desnecessários.
6. Assinatura qualificada: se um ato de assinatura for necessário, o QSCD incorporado na carteira ou alojado na nuvem (QSign) produz uma assinatura qualificada em conformidade com ETSI EN 319 132.

Este fluxo garante um nível de garantia LoA High, o mais elevado previsto pelo regulamento, equivalente a uma verificação face a face.

Integração com plataformas de assinatura eletrônica existentes

Os editores de soluções de assinatura eletrônica devem integrar os protocolos OpenID4VCI (emissão) e OpenID4VP (apresentação) para se conectarem ao ecossistema EUDI. Para as empresas que já utilizam uma plataforma em conformidade com eIDAS 1.0, a transição para eIDAS 2 implica uma atualização técnica, mas preserva o valor jurídico das assinaturas já realizadas. É, portanto, estratégico avaliar a roadmap do seu fornecedor atual, nomeadamente se considerar migrar de DocuSign ou YouSign para uma solução mais conforme.

Identidade digital de pessoas jurídicas: a questão empresarial

EIDAS 2 não se limita a pessoas físicas. O artigo 5a §3 prevê explicitamente carteiras para pessoas jurídicas, permitindo às empresas:

• Provar sua existência legal (equivalente a um extrato Kbis digital verificável).
• Delegar poderes de assinatura aos seus colaboradores de forma auditada e revogável.
• Automatizar a verificação de KYB (Know Your Business) em processos contratuais B2B.

Esta dimensão é particularmente transformadora para os processos de assinatura eletrônica na empresa, nomeadamente nos setores RH, jurídico e financeiro.

Calendário de implantação e obrigações regulatórias 2024-2026

Fases de implementação conforme o regulamento

O regulamento (UE) 2024/1183 estabelece um calendário vinculativo:

• Abril de 2024: publicação no Jornal Oficial, entrada em vigor 20 dias depois.
• Final de 2024: publicação dos atos de execução (Implementing Acts) definindo as especificações técnicas obrigatórias.
• 2025: implantação de carteiras piloto nacionais (projetos large-scale pilots: EU Digital Identity Wallet Large Scale Pilots, financiados a 46 milhões de euros pela Comissão).
• Final de 2026: disponibilização obrigatória por todos os Estados-membros de pelo menos uma EUDI Wallet operacional. As grandes plataformas e setores regulados deverão aceitá-la.

Para as empresas francesas, a implantação baseia-se na identidade digital La Poste e nos trabalhos da ANSSI respeitante à certificação dos Trusted Issuers nacionais.

Obrigações para as Relying Parties

As empresas que desejem ou devam aceitar a EUDI Wallet estão sujeitas a várias obrigações:

1. Registo junto da autoridade nacional competente (em França, a ANSSI e a CNIL conforme os casos).
2. Conformidade técnica às especificações do ARF v2.x publicadas no GitHub pela Comissão Europeia.
3. Transparência: publicar num registo público os atributos solicitados e a finalidade do tratamento.
4. Minimização de dados: solicitar apenas os atributos estritamente necessários — obrigação reforçada pelo RGPD.
5. Registro: conservar os logs das apresentações verificáveis para auditoria, sem armazenar os dados de identidade brutos.

As empresas que integrem a EUDI Wallet nos seus fluxos de assinatura eletrônica para consultórios jurídicos ou para a gestão RH terão uma vantagem competitiva significativa a partir de 2026.

Questões estratégicas e oportunidades para empresas

Redução do atrito nos processos KYC/KYB

Um dos benefícios mais imediatos da EUDI Wallet é a eliminação das verificações de identidade manuais. Atualmente, o onboarding de um novo cliente ou parceiro implica envio de comprovantes, verificação manual e prazos de processamento. Com a EUDI Wallet, a verificação torna-se instantânea, criptograficamente certificada e auditada. Os setores bancário, imobiliário e de seguros — sujeitos às obrigações LCB-FT — vêem aí uma oportunidade significativa de conformidade automatizada. O setor de assinatura eletrônica em imobiliário é particularmente impactado, com processos de verificação de identidade que representam atualmente até 40% do tempo administrativo.

Soberania digital e redução da dependência dos GAFAM

A EUDI Wallet responde a uma ambição política forte: reduzir a dependência dos Europeus dos sistemas de identidade operados por atores não-europeus (Google, Apple, Meta). Para as empresas, isto traduz-se numa infraestrutura de autenticação interoperável, aberta e não cativa, baseada em padrões ISO e W3C em vez de SDKs proprietários. Esta soberania é também um argumento comercial de diferenciação em procedimentos de aquisição pública, cada vez mais sensíveis às cláusulas de localização de dados.

Impacto na assinatura eletrônica qualificada e nos QTSP

Os Prestadores de Serviços de Confiança Qualificados (QTSP — Qualified Trust Service Providers) veem seu papel evoluir. Com a EUDI Wallet, os QSCD podem ser alojados diretamente na carteira ou delegados a um QTSP na nuvem (Remote Qualified Signature). Para as empresas, isso significa que a assinatura qualificada — até aqui reservada aos casos mais críticos pela sua complexidade — torna-se acessível e escalável. Nosso comparativo de soluções de assinatura eletrônica integra agora este critério de compatibilidade EUDI Wallet na sua análise.

Marco legal aplicável à EUDI Wallet e às empresas

Regulamento eIDAS 2: (UE) 2024/1183

O texto fundador é o regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho de 11 de abril de 2024, alterando o regulamento eIDAS nº 910/2014. É diretamente aplicável em todos os Estados-membros sem transposição legislativa nacional, o que garante uniformidade jurídica europeia. Os artigos 5a a 5c definem as obrigações relativas à EUDI Wallet, os níveis de garantia e os direitos dos utilizadores. O artigo 46f introduz as obrigações específicas para as Relying Parties dos setores regulados.

Código Civil francês: artigos 1366 e 1367

Em direito francês, a assinatura eletrônica qualificada produzida via EUDI Wallet beneficia da presunção de confiabilidade prevista pelo artigo 1367 do Código Civil: « A assinatura eletrônica consiste no uso de um procedimento confiável de identificação garantindo sua ligação ao ato ao qual se prende. » A confiabilidade é presumida quando a assinatura é qualificada no sentido de eIDAS. O artigo 1366 equipara o escrito eletrônico ao escrito em papel com a condição de que seu autor seja identificado e que a integridade seja garantida — duas condições que a EUDI Wallet cumpre nativamente.

RGPD nº 2016/679: articulação com a minimização de dados

O regulamento (UE) 2016/679 (RGPD) aplica-se integralmente às Relying Parties que tratam atributos de identidade originários da EUDI Wallet. Os princípios de minimização de dados (art. 5 §1c), de limitação da finalidade (art. 5 §1b) e de privacy by design (art. 25) devem ser integrados desde a conceção da integração técnica. A selective disclosure nativa da EUDI Wallet facilita tecnicamente a conformidade, mas a empresa permanece responsável (art. 24) por documentar suas bases legais de tratamento.

Normas ETSI e padrões técnicos

A assinatura qualificada produzida via EUDI Wallet deve respeitar as normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) e ETSI EN 319 162 (PAdES) para os formatos de assinatura eletrônica avançada e qualificada. As políticas de certificação são definidas na ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Os atos de execução da Comissão especificam os requisitos de certificação dos Trusted Issuers (norma ISO/IEC 27001 e critérios comuns EAL 4+).

Diretiva NIS2: (UE) 2022/2555

Os operadores de infraestrutura EUDI Wallet (Estados-membros, Trusted Issuers, QTSP) estão sujeitos às obrigações da diretiva NIS2 (UE) 2022/2555, transposta em França pela lei nº 2023-703. Para as empresas utilizadoras, NIS2 impõe obrigações de gestão de riscos relacionados a fornecedores terceirizados (art. 21 §2d), o que inclui fornecedores de soluções integrando a EUDI Wallet. Uma análise de impacto dos riscos da cadeia de abastecimento digital é, portanto, recomendada antes de qualquer implantação.

Cenários de uso da EUDI Wallet na empresa

Cenário 1: Consultório de advocacia — verificação de identidade e assinatura de mandatos

Um consultório de advocacia comercial com cerca de vinte colaboradores processa vários centos de mandatos, cartas de encargo e procurações mensalmente. Atualmente, a verificação de identidade dos clientes impõe envio de comprovantes por e-mail, verificação manual pela assistente jurídica e prazo médio de 48 horas. Com a integração da EUDI Wallet como mecanismo de autenticação, o cliente apresenta seu documento de identidade digital desde sua carteira em menos de 90 segundos. A assinatura qualificada é produzida em seguida, sem atrito adicional. Conforme os retornos observados nos pilotos large-scale realizados entre 2023 e 2025, este tipo de fluxo reduz o tempo de processamento do onboarding do cliente de 60 a 75% e elimina riscos de erros de digitação ou documentos expirados. O consultório também ganha em conformidade LCB-FT, sendo os atributos de identidade criptograficamente certificados por um Estado-membro.

Cenário 2: PME industrial — gestão de contratos de fornecedores e delegações de assinatura

Uma PME industrial com cerca de cem funcionários gere aproximadamente 300 contratos de fornecedores por ano, envolvendo responsáveis de compras distribuídos por três locais. A gestão das delegações de assinatura é atualmente documentada em papel e difícil de auditar. Com a EUDI Wallet empresarial (pessoa jurídica), a direção pode atribuir atributos de delegação verificáveis a cada responsável de compras: limite de compromisso, âmbito geográfico, duração de validade. Estes atributos são armazenados na carteira do colaborador e apresentados automaticamente em cada ato de assinatura. Em caso de saída ou mudança de cargo, a revogação é instantânea e auditada. Este mecanismo reduz os riscos de litígios contratuais relacionados a assinaturas não autorizadas e melhora a rastreabilidade para auditorias internas. As direções financeiras geralmente constatam uma redução de 30 a 40% do tempo dedicado à gestão e verificação de poderes de assinatura.

Cenário 3: Agrupamento hospitalar — consentimento do paciente e acesso aos dados de saúde

Um agrupamento hospitalar agrupando vários estabelecimentos e cerca de 1 500 agentes de saúde enfrenta desafios cada vez mais complexos de consentimento do paciente, nomeadamente para acesso aos prontuários médicos compartilhados via Meu Espaço Saúde. A integração da EUDI Wallet como mecanismo de consentimento informado permite ao paciente validar, a partir de seu smartphone, o acesso aos seus dados por um médico especialista, especificando a duração e o âmbito do acesso. A selective disclosure garante que apenas os atributos médicos relevantes sejam compartilhados. Para os agentes de saúde, a carteira fornece seu número RPPS (Repositório Compartilhado de Profissionais de Saúde) como atributo verificável, eliminando os processos de verificação manual atuais. Este tipo de implantação, coerente com o marco do Espaço Europeu de Dados de Saúde (EHDS), pode reduzir os prazos de acesso aos dados de saúde autorizados de várias horas a alguns segundos. Para saber mais sobre as questões específicas do setor, nosso guia sobre assinatura eletrônica na saúde detalha as restrições regulatórias aplicáveis.

Conclusão

A EUDI Wallet e o regulamento eIDAS 2 constituem a transformação mais significativa da identidade digital europeia em uma década. Para as empresas, a questão não é apenas conformar-se com uma nova regulamentação, mas aproveitar uma oportunidade de modernizar profundamente seus processos de assinatura, onboarding e gestão de delegações. Os setores jurídico, RH, saúde e industrial estão na primeira linha. A chave do sucesso reside na antecipação: avaliar desde agora a compatibilidade de suas ferramentas atuais, treinar suas equipes e escolher parceiros cuja roadmap esteja alinhada com eIDAS 2.

A Certyneo acompanha as empresas nesta transição com uma plataforma de assinatura eletrônica concebida para ser compatível com EUDI Wallet desde sua implantação. Descubra nossas ofertas e comece gratuitamente para antecipar 2026 com tranquilidade.