Prestatadores eIDAS qualificados: a lista oficial 2026

Por que o status "qualificado" eIDAS é decisivo para sua empresa?

Desde a entrada em vigor do Regulamento eIDAS (nº 910/2014), o mercado europeu de assinatura eletrônica foi profundamente reestruturado em torno de uma hierarquia de três níveis: a assinatura eletrônica simples (SES), a assinatura eletrônica avançada (AES) e a assinatura eletrônica qualificada (QES). Esta última é a única que se beneficia de uma presunção legal de equivalência com a assinatura manuscrita em todos os Estados-membros da União Europeia.

Para que uma empresa possa oferecer assinaturas qualificadas, ela deve obrigatoriamente ter sido auditada e registrada na lista de confiança (Trust List) de seu Estado-membro. Na França, é a Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) que mantém este registro oficial, republicado por sua vez na lista europeia centralizada gerida pela Comissão Europeia.

Compreender esta arquitetura é fundamental antes de assinar qualquer contrato comercial sensível. Para aprofundar as bases regulatórias, nosso guia completo sobre o Regulamento eIDAS 2.0 detalha todas as obrigações e evoluções introduzidas pelo Regulamento revisado eIDAS 2.0 (Regulamento UE 2024/1183).

---

Como são certificados os prestatadores de serviços de confiança qualificados?

O caminho para o status de Prestatador de Serviços de Confiança Qualificado (PSCQ) é exigente. Ele implica uma auditoria realizada por um organismo avaliador de conformidade (CAB, Conformity Assessment Body) acreditado, segundo as normas ETSI EN 319 401 (requisitos gerais) e ETSI EN 319 411-2 para certificados qualificados.

As etapas de qualificação ANSSI

1. Depósito do dossiê de qualificação: o prestatador apresenta sua documentação técnica, de segurança e organizacional à ANSSI.
2. Auditoria por um CAB acreditado: um organismo terceiro — como Bureau Veritas, LSTI ou Apave Certification — verifica a conformidade no local e através de documentação.
3. Decisão de qualificação: a ANSSI pronuncia a qualificação e registra o prestatador na lista de confiança francesa (TL-FR).
4. Renovação periódica: a qualificação é reavaliada, geralmente a cada dois anos, para garantir a manutenção dos requisitos.

O que o auditor verifica concretamente?

O auditor examina especialmente:

• A segurança física dos centros de dados hospedando as chaves criptográficas (módulos HSM certificados CC EAL 4+ ou FIPS 140-2 Level 3 no mínimo);
• As políticas de certificação (CP) e as declarações de práticas de certificação (CPS) publicadas pelo prestatador;
• Os procedimentos de verificação de identidade dos signatários (presencial ou verificação de identidade à distância conforme norma EN 419 241-1);
• A gestão de revogações e a disponibilidade dos serviços OCSP/CRL.

Estes critérios explicam por que apenas um pequeno número de atores conseguem atingir e manter este nível de certificação na França.

---

Os prestatadores eIDAS qualificados referenciados na França em 2026

A lista oficial dos prestatadores qualificados pode ser consultada a qualquer momento no portal oficial da Comissão Europeia (eidas.ec.europa.eu/efts), filtrando por "França" e o serviço "QCertESig" (Qualified Certificate for Electronic Signature). Aqui estão os atores que figuravam no registro no momento da redação deste artigo (junho de 2026):

Atores franceses registrados na Trust List

| Prestatador | Tipo de serviço qualificado | Particularidade | |---|---|---| | Certigna (Dhimyotis) | Certificados qualificados, carimbo temporal qualificado | Grupo La Poste, certificado eIDAS desde 2016 | | Certinomis | Certificados qualificados | Filial La Poste, orientada ao setor público | | ChamberSign France | Certificados qualificados | Rede das CCI, forte ancoragem PME/TPE | | Keynectis / DocuSign France | Certificados qualificados | Adquirido por DocuSign, manutenção do rótulo ANSSI | | Universign (Tessi) | Certificados qualificados, carimbo temporal | Pioneiro do mercado, integrado no grupo Tessi | | Entrust (ex-Datacard) | Certificados qualificados | Ator internacional, Trust List em vários Estados-membros | | Oodrive Sign | Certificados qualificados | Editor soberano francês, qualificado SecNumCloud |

> Aviso: esta lista é fornecida a título informativo e indicativo. Apenas a Trust List oficial da Comissão Europeia é vinculante. Sempre verifique o status atual no portal ETSI antes de qualquer compromisso contratual.

Prestatadores estrangeiros reconhecidos na França via Trust List europeia

Em virtude do princípio de reconhecimento mútuo estabelecido pelo artigo 25 do Regulamento eIDAS, uma assinatura qualificada emitida por um PSCQ registrado na lista de confiança de outro Estado-membro produz os mesmos efeitos jurídicos na França. Entre os atores não-franceses frequentemente utilizados:

• Namirial (Itália): forte em assinatura qualificada remota (QES remote signing);
• SwissSign (Suíça): atenção, a Suíça não é membro da UE; o reconhecimento é parcial;
• Qualified.one / Asseco Data Systems (Polônia): ator público europeu, frequente nos mercados transfronteiriços.

Para comparar estas soluções de acordo com suas necessidades comerciais, consulte nosso comparativo de soluções de assinatura eletrônica que analisa critérios de preço, conformidade e integração API.

---

Como escolher o prestatador eIDAS qualificado certo para sua organização?

Estar registrado na Trust List é uma condição necessária, mas não suficiente. A escolha de um PSCQ deve ser baseada em vários critérios complementares.

Critérios técnicos e de integração

• API REST ou SDK disponível: indispensável para automatizar a assinatura nos seus fluxos comerciais (ERP, SIRH, CRM);
• Formatos de assinatura suportados: PAdES para PDF, XAdES para XML, CAdES para arquivos binários — todos normalizados pelo ETSI EN 319 100;
• Disponibilidade do serviço: SLA superior a 99,9% garantido contratualmente, com períodos de manutenção previstos fora do horário comercial;
• Hospedagem dos dados: prefira hospedagem na França ou na UE, idealmente qualificada SecNumCloud para dados sensíveis.

Critérios jurídicos e de conformidade

• Verifique se o prestatador fornece um relatório de qualificação atualizado (menos de 24 meses);
• Exija uma política de certificação publicada (CP) acessível publicamente e auditada;
• Garanta que as condições gerais prevejam explicitamente a emissão de certificados qualificados conforme Anexo I do Regulamento eIDAS.

Critérios operacionais e de suporte

• Procedimento de inscrição dos signatários: presencial em agência, vídeo-identificação conforme eIDAS ou NFC de um documento de identidade eletrônico;
• Suporte em português com prazos de resposta contratuais;
• Treinamento e documentação disponíveis para suas equipes jurídicas e de TI.

Se sua organização gerencia fluxos documentários importantes de RH, nossa página dedicada à assinatura eletrônica para equipes de RH detalha os casos de uso específicos (contratos de trabalho, aditivos, onboarding) e os níveis de assinatura recomendados por tipo de documento.

---

eIDAS 2.0: que mudanças para os prestatadores qualificados em 2026?

O Regulamento eIDAS 2.0 (Regulamento UE 2024/1183, em aplicação progressiva desde maio de 2024) introduz várias evoluções estruturais que impactam diretamente os PSCQ e seus clientes.

A Carteira Europeia de Identidade Digital (EUDI Wallet)

O artigo 6a do Regulamento revisado impõe aos Estados-membros oferecer, até setembro de 2026, uma carteira de identidade digital (EUDI Wallet) reconhecida em toda a UE. Para os prestatadores qualificados, isto significa:

• A obrigação de aceitar atributos de identidade do wallet como prova de identidade para inscrição de signatários;
• O surgimento de um novo serviço qualificado: a emissão de atestados de atributos qualificados (Qualified Electronic Attestation of Attributes, QEAA).

Novos serviços qualificados e expansão do escopo

eIDAS 2.0 amplia a lista de serviços de confiança qualificados para incluir:

• Os serviços de arquivo eletrônico qualificado (QPDS, artigo 45f);
• Os serviços de gestão de dispositivos de criação de assinatura remota (QRCD).

Essas evoluções representam tanto uma restrição de conformidade (prazos apertados para prestadores existentes) quanto uma oportunidade de diferenciação para novos entrantes capazes de integrar rapidamente as especificações técnicas publicadas pela ENISA e ETSI.

Para empresas que envisajam uma migração de uma plataforma existente para uma solução mais conforme, nosso guia de migração do DocuSign ou YouSign para Certyneo apresenta os passos concretos e os pontos de vigilância regulatória.

Marco legal aplicável aos prestatadores eIDAS qualificados

Regulamento eIDAS e direito europeu

O fundamento jurídico é o Regulamento (UE) nº 910/2014 do Parlamento Europeu e do Conselho de 23 de julho de 2014 sobre identificação eletrônica e serviços de confiança para transações eletrônicas no mercado interno (chamado "Regulamento eIDAS"), conforme alterado pelo Regulamento (UE) 2024/1183 (eIDAS 2.0). Este Regulamento é diretamente aplicável em todos os Estados-membros sem necessidade de transposição nacional.

Suas disposições principais para prestatadores qualificados:

• Artigo 17: obrigação de cada Estado-membro designar um órgão de supervisão (na França, a ANSSI);
• Artigo 20: procedimento de supervisão, auditoria e registro na lista de confiança;
• Artigo 25: presunção de equivalência entre QES e assinatura manuscrita, com efeito jurídico garantido em toda a UE;
• Anexo I: requisitos relativos aos certificados qualificados para assinatura eletrônica;
• Anexo II: requisitos relativos aos dispositivos de criação de assinatura qualificada (QSCD).

Direito francês

No direito interno, a assinatura eletrônica é regulada por:

• Código Civil, artigos 1366 e 1367: o artigo 1366 reconhece o valor probatório do escrito eletrônico sob condição de garantir a identidade do autor e integridade do documento. O artigo 1367 especifica que a assinatura eletrônica consistindo em um processo confiável de identificação se beneficia de uma presunção de confiabilidade quando criada em conformidade com o decreto de aplicação;
• Decreto nº 2017-1416 de 28 de setembro de 2017: define as condições nas quais a assinatura eletrônica qualificada é presumida confiável na França, remetendo explicitamente ao Regulamento eIDAS;
• Ordenança nº 2005-674 de 16 de junho de 2005 relativa ao cumprimento de certas formalidades contratuais por via eletrônica.

Proteção de dados pessoais

Os processos de inscrição e assinatura envolvem o tratamento de dados pessoais (dados de identidade, biometria para vídeo-identificação). O prestatador qualificado está sujeito ao Regulamento (UE) 2016/679 (RGPD) e deve especialmente:

• Designar um DPO se o tratamento for em larga escala;
• Documentar os tratamentos no registro CNIL;
• Enquadrar transferências fora da UE com garantias apropriadas (cláusulas contratuais padrão, decisão de adequação).

Cibersegurança e resiliência

Desde outubro de 2024, a Diretiva NIS2 (2022/2555/UE) se aplica aos prestatadores de serviços de confiança qualificados, classificados como entidades essenciais. Eles devem implementar medidas de gestão de riscos cibernéticos, notificar incidentes significativos à ANSSI dentro de 24 horas, e se submeter a auditorias regulares. A não conformidade expõe a multas podendo atingir 10 milhões de euros ou 2% da receita anual mundial.

Normas técnicas de referência

• ETSI EN 319 401: requisitos gerais para prestatadores de serviços de confiança;
• ETSI EN 319 411-2: perfil de política para certificados qualificados;
• ETSI EN 319 132: formatos de assinatura XAdES;
• ETSI EN 319 122: formatos de assinatura CAdES;
• ETSI EN 319 162: formatos de assinatura PAdES (PDF).

Cenários de uso: quando a assinatura qualificada eIDAS é indispensável?

Cenário 1 — Um escritório de advocacia gerando documentos sob assinatura privada de alta probidade

Um escritório de advocacia de negócios com cerca de vinte colaboradores trata mensalmente várias dezenas de cessões de participações sociais, protocolos de acordo e convenções de garantia de ativos e passivos (GAP). Estes documentos envolvem quantias frequentemente superiores a várias centenas de milhares de euros e são suscetíveis de contestação em juízo.

Antes de migrar para um prestatador eIDAS qualificado, o escritório utilizava uma solução de assinatura avançada (AES), o que era suficiente para a maioria dos documentos correntes. Após um incidente em que a parte contrária contestou a autenticidade de uma assinatura durante um litígio, o escritório optou pela QES para todos os documentos de alto risco. Resultado: redução de 90% do tempo gasto a produzir provas de assinatura durante procedimentos contenciosos, graças à presunção legal irrefragável anexada à QES. O custo adicional unitário por assinatura (aproximadamente 2 a 5 € conforme volumes) foi integralmente absorvido pela redução das despesas processuais.

Cenário 2 — Uma ETI industrial gerando contratos de fornecedores transfronteiriços

Uma empresa de tamanho intermediário (ETI) do setor de equipamento industrial, com fornecedores estabelecidos na França, Alemanha, Itália e Polônia, precisava até então enviar seus contratos-marco por correio postal ou organizar encontros de assinatura presenciais, gerando prazos de 10 a 21 dias úteis por contrato.

Ao implementar uma solução conectada a um PSCQ europeu registrado na Trust List, a empresa reduziu o ciclo de assinatura para menos de 48 horas em média. O reconhecimento mútuo entre Estados-membros garante o valor jurídico sem necessidade de legalização adicional. Em um portfólio de 350 contratos de fornecedores anuais, o ganho estimado em custos administrativos e logísticos supera 40.000 € por ano, conforme faixas coerentes com estudos setoriais publicados pela ACFE e APQC.

Cenário 3 — Um agrupamento hospitalar sujeito aos requisitos do setor de saúde

Um agrupamento hospitalar de aproximadamente 1.200 leitos deve assinar eletronicamente licitações públicas, convenções de pesquisa clínica e contratos de médicos hospitalares. Estes documentos estão sujeitos ao Código de Compras Públicas, que exige uma assinatura eletrônica conforme o RGS (Referencial Geral de Segurança) de nível ** ou, desde a desmaterialização de licitações públicas, a um nível equivalente eIDAS.

Baseando-se em um PSCQ registrado na Trust List francesa, o agrupamento garante conformidade com o artigo R. 2132-7 do Código de Compras Públicas enquanto reduz os prazos de assinatura de licitações de 15 dias para menos de 72 horas. A integração API com o sistema de informação hospitalar (SIH) permitiu automatizar o envio e acompanhamento de documentos, liberando aproximadamente 0,4 ETP em tarefas administrativas relacionadas a contratos.

Conclusão

Escolher um prestatador eIDAS qualificado não é uma simples compra de software: é uma decisão estratégica que compromete o valor probatório de seus atos, a conformidade regulatória de sua organização e a confiança de seus parceiros comerciais e institucionais. Em 2026, com a entrada em vigor progressiva do eIDAS 2.0 e as novas obrigações NIS2, o nível de exigência apenas aumenta.

Os pontos essenciais a reter: verifique sistematicamente o registro na Trust List oficial, exija uma política de certificação publicada, e adapte o nível de assinatura (QES, AES, SES) ao risco jurídico de cada documento.

A Certyneo o acompanha nesta jornada fornecendo-lhe acesso a certificados qualificados através de PSCQs referenciados, uma API de integração robusta e suporte jurídico dedicado. Pronto para passar para assinatura qualificada? Solicite uma demonstração ou crie sua conta na Certyneo e coloque sua organização em conformidade a partir de hoje.