Transição eIDAS 1 para 2: impactos na assinatura em 2025

Em 20 de maio de 2024, o regulamento (UE) 2024/1183 — comumente chamado de eIDAS 2 — foi publicado no Diário Oficial da União Europeia, revogando progressivamente o regulamento nº 910/2014 (eIDAS 1). Este texto representa a reforma mais estruturante da identidade digital e da assinatura eletrônica na Europa desde 2016. Para as empresas francesas que utilizam soluções de assinatura eletrônica em seus fluxos contratuais, a transição não é uma formalidade: ela implica ajustes técnicos, jurídicos e organizacionais cujo horizonte se estende até 2026 e além. Compreender a passagem de eIDAS 1 para eIDAS 2 e seu impacto na assinatura eletrônica em 2025 tornou-se, portanto, uma prioridade para as direções jurídicas, departamentos de TI e RH. Este artigo descodifica as evoluções fundamentais do marco, o cronograma preciso da transição e as medidas concretas a implementar para permanecer conforme.

O que o regulamento eIDAS 2 modifica fundamentalmente

Do regulamento de 2014 à reformulação de 2024: por que uma revisão era necessária

O eIDAS 1 havia estabelecido as bases para o reconhecimento mútuo de assinaturas eletrônicas dentro da União. Três níveis hierárquicos — simples (SES), avançada (AdES) e qualificada (QES) — estruturavam o valor probatório das assinaturas, apoiados em uma lista de prestadores de confiança (TSL). Mas em dez anos, duas lacunas importantes surgiram.

Primeiro, o regulamento original aplicava-se essencialmente às relações com administrações públicas (G2B, G2C). Ele não criava obrigações diretas nas transações privadas (B2B, B2C), deixando um vazio normativo que cada Estado-membro preenchia de forma heterogênea. Segundo, o surgimento de serviços digitais — aplicativos móveis, open banking, telemedicina — revelou a ausência de um sistema de identidade digital portátil e interoperável em nível continental.

O eIDAS 2 responde a esses dois desafios ao introduzir a carteira europeia de identidade digital (EU Digital Identity Wallet, EUDIW) e ao ampliar o escopo dos serviços de confiança para novos casos de uso: arquivamento eletrônico qualificado, atestados de atributos qualificados, registros eletrônicos qualificados (incluindo aplicações blockchain certificadas).

As novas categorias de serviços de confiança qualificados

O regulamento eIDAS 2 estende a lista de serviços de confiança qualificados (artigo 3 e anexo IV revisado). Além das assinaturas, selos e carimbos de tempo qualificados já reconhecidos pelo eIDAS 1, agora são qualificados:

• Serviços de arquivamento eletrônico qualificado (art. 34 bis): obrigação de preservar a integridade e a legibilidade dos documentos assinados a longo prazo, com requisitos reforçados para prestadores (QTSP).
• Serviços de gerenciamento de dispositivos de criação de assinatura remota qualificados (QRCD): regulação reforçada de soluções de assinatura remota via HSM (Hardware Security Module) em nuvem.
• Atestados de atributos qualificados: mecanismo permitindo a um terceiro de confiança certificar os atributos de uma entidade (ex. qualidade de advogado, status de médico) sem revelar o conjunto da identidade.
• Registros eletrônicos qualificados: reconhecimento de registros distribuídos sob condições estritas de auditabilidade e resiliência.

Para os usuários de soluções de assinatura eletrônica, essa extensão significa que os serviços de confiança qualificados disponíveis no mercado vão se diversificar, e que os critérios de seleção de um prestador (QTSP) devem integrar essas novas capacidades.

O EUDIW: a carteira de identidade digital como infraestrutura da assinatura

A inovação mais visível do eIDAS 2 permanece o EUDIW. Cada Estado-membro deverá disponibilizar a seus cidadãos e residentes uma carteira de identidade digital gratuita, interoperável com todos os outros Estados-membros, até 26 de novembro de 2026 (prazo de conformidade nacional conforme artigo 5 bis). Esta carteira permitirá:

• autenticar o usuário com um nível de garantia elevado (LoA High) sem recorrer a um prestador terceiro de identificação;
• assinar eletronicamente documentos com valor qualificado (QES) diretamente da carteira;
• compartilhar atributos de identidade seletivos (selective disclosure), respeitando assim o princípio de minimização de dados do RGPD.

Para as empresas, o EUDIW simplifica teoricamente os procedimentos de verificação de identidade prévia à assinatura qualificada, eliminando o atrito da videoidentificação ou da identificação presencial. Na prática, o impacto dependerá do ritmo de implantação nacional — a França lançou em 2025 uma experimentação piloto no âmbito do programa « France Identité ».

Cronograma preciso da transição eIDAS 1 para eIDAS 2

Os marcos regulatórios a conhecer

O regulamento 2024/1183 entrou em vigor em 20 de maio de 2024, mas sua aplicação é progressiva. Aqui estão os prazos-chave:

| Data | Evento | |------|----------| | 20 de maio de 2024 | Publicação no JOUE, entrada em vigor formal | | 20 de novembro de 2024 | Prazo de 6 meses para adoção de atos de execução pela Comissão (especificações técnicas do EUDIW) | | Fim de 2025 | Publicação das normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando requisitos eIDAS 2 | | 26 de maio de 2026 | Data-limite para conformidade dos Estados-membros nas novas categorias de serviços qualificados | | 26 de novembro de 2026 | Disponibilização obrigatória do EUDIW por cada Estado-membro | | 2027-2028 | Revisão completa das listas de confiança nacionais (TSL) e acreditação dos novos QTSP |

O eIDAS 1 permanece válido e as assinaturas emitidas sob seu regime conservam seu valor jurídico completo. Não há nenhuma obrigação de re-assinar os documentos existentes. Por outro lado, os prestadores de confiança qualificados deverão renovar sua acreditação conforme as novas normas técnicas até 2027.

O que não muda e o que é preciso acompanhar

A continuidade é um princípio cardinal da transição. Os três níveis de assinatura (SES, AdES, QES) são mantidos com suas definições inalteradas. A presunção de equivalência com uma assinatura manuscrita anexada à QES (artigo 25 eIDAS 1, retomado no artigo 27 eIDAS 2) permanece em vigor. O valor probatório de suas assinaturas eletrônicas atuais não é questionado.

O que é preciso acompanhar, no entanto: os atos de execução (implementing acts) publicados pela Comissão Europeia ao longo de 2025-2026 fixarão as especificações técnicas precisas do EUDIW e das novas categorias de serviços. Estes textos de nível 2 têm uma importância prática considerável para integradores e editores de software. Para empresas utilizando a assinatura eletrônica em seus processos de RH ou jurídicos, é recomendado solicitar ao seu prestador um roteiro de conformidade eIDAS 2.

Impacto concreto nas empresas e suas soluções de assinatura

Quais fluxos de trabalho estão em prioridade?

A transição eIDAS 1 para eIDAS 2 não tem o mesmo impacto dependendo do nível de assinatura utilizado. Para as empresas, três situações se distinguem:

Assinatura eletrônica simples (SES): utilizada para aditamentos de baixo valor, recibos de recebimento, formulários internos. Nenhuma obrigação de atualização imediata. As regras de prova permanecem regidas pelo Código Civil (art. 1366-1367) e não diretamente pelo eIDAS.

Assinatura eletrônica avançada (AdES/AdESQC): empresas utilizando soluções B2B para contratos comerciais, contratos de trabalho desmaterializados ou atos imobiliários devem verificar que seu prestador mantém conformidade com as normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) e EN 319 142 (PAdES) em suas versões revisadas para eIDAS 2. Essas normas serão publicadas pela ETSI até o final de 2025.

Assinatura eletrônica qualificada (QES): os prestadores qualificados (QTSP) deverão passar por uma nova acreditação eIDAS 2. O período transitório concede um prazo razoável (até 2027), mas os editais lançados a partir de 2025 deveriam integrar uma cláusula de conformidade eIDAS 2 nos critérios de seleção. Para organizações comparando as opções disponíveis, o comparativo de soluções de assinatura eletrônica permite avaliar a maturidade dos editores neste assunto.

Novas exigências para os prestadores de confiança qualificados (QTSP)

O eIDAS 2 endurece as exigências aplicáveis aos QTSP em três pontos principais:

1. Segurança dos sistemas: alinhamento obrigatório com NIS2 (diretiva (UE) 2022/2555) para QTSP, agora classificados como entidades essenciais. Isso se traduz em obrigações de notificação de incidentes em 24 horas, auditorias de segurança anuais e implementação de planos de continuidade de negócio.

1. Responsabilidade reforçada: o artigo 13 eIDAS 2 amplia o regime de responsabilidade dos QTSP. Em caso de descumprimento comprovado, o ônus da prova é invertido: o prestador deve demonstrar que não cometeu negligência, e não o contrário.

1. Interoperabilidade obrigatória: os QTSP deverão expor APIs padronizadas compatíveis com o EUDIW para permitir integração nativa das carteiras de identidade. Esta exigência vai acelerar a modernização das interfaces de integração disponíveis para desenvolvedores.

Para empresas considerando trocar de prestador neste contexto, migrar do DocuSign ou YouSign para uma solução conforme eIDAS 2 é uma abordagem que merece ser antecipada agora em vez de em urgência em 2027.

Dados pessoais e eIDAS 2: articulação com o RGPD

O EUDIW coleta e processa dados de identidade de caráter pessoal. O regulamento eIDAS 2 prevê explicitamente (considerando 11 e artigo 5 bis §14) que o conjunto do dispositivo deve estar em conformidade com o RGPD (regulamento (UE) 2016/679). Vários pontos de atenção:

• Selective disclosure: a carteira deve permitir ao usuário compartilhar apenas os atributos estritamente necessários à transação (princípio de minimização, art. 5(1)(c) RGPD). Para assinatura de contrato, apenas a verificação de maioridade poderia ser compartilhada sem revelar a data de nascimento completa.
• Transferências fora da UE: os dados de identidade tratados no âmbito do EUDIW não podem ser transferidos para fora do EEE sem garantias apropriadas (art. 46 RGPD). Prestadores usando infraestruturas em nuvem americana devem documentar sua conformidade.
• Conservação de logs de assinatura: o arquivamento de provas de assinatura deve respeitar a duração de conservação proporcional à natureza do documento. O novo serviço de arquivamento qualificado eIDAS 2 oferece um marco técnico para responder a essa exigência.

Empresas gerenciando contratos de trabalho internacionais estão particularmente envolvidas nesta articulação RGPD/eIDAS 2, particularmente quando signatários residem fora da UE.

Marco legal aplicável à transição eIDAS 1 para eIDAS 2

Textos de referência

A transição repousa em um acúmulo de textos que é indispensável dominar:

Em nível europeu:

• Regulamento (UE) nº 910/2014 (eIDAS 1): ainda em vigor até sua revogação progressiva pelo eIDAS 2. Define os três níveis de assinatura (SES, AdES, QES) e o regime dos QTSP.
• Regulamento (UE) 2024/1183 (eIDAS 2): entrou em vigor em 20 de maio de 2024. Modifica substancialmente o eIDAS 1 sem revogá-lo imediatamente. As disposições relativas ao EUDIW aplicam-se desde a publicação dos atos de execução.
• Regulamento (UE) 2016/679 (RGPD): aplica-se integralmente ao tratamento de dados de identidade no âmbito do EUDIW e dos processos de assinatura. O artigo 5 bis §14 do eIDAS 2 recorda essa subordinação explicitamente.
• Diretiva (UE) 2022/2555 (NIS2): impõe obrigações de segurança cibernética reforçadas aos QTSP, agora classificados como entidades essenciais. Transposta para a legislação francesa pela ordenança nº 2024-821 de 20 de junho de 2024 (em curso de decreto de aplicação).

Em nível francês:

• Código Civil, artigos 1366 e 1367: fundamento do valor probatório dos escritos em forma eletrônica. O artigo 1366 estabelece a equivalência entre escrito eletrônico e papel sob condições. O artigo 1367 confere à assinatura qualificada (QES) a mesma força probatória de uma assinatura manuscrita.
• Decreto nº 2017-1416 de 28 de setembro de 2017: precisa as condições de utilização da assinatura eletrônica em atos sob assinatura privada. Permanece aplicável durante o período transitório.
• Referencial Geral de Segurança (RGS) v2: para as administrações francesas, o RGS impõe o uso de soluções referenciadas pela ANSSI. Sua atualização para integrar eIDAS 2 é esperada ao longo de 2026.

Normas técnicas ETSI aplicáveis

As normas ETSI constituem o nível 3 da hierarquia normativa. As versões atuais aplicáveis:

• EN 319 132-1/2: formato XAdES (assinaturas XML avançadas)
• EN 319 122-1/2: formato CAdES (assinaturas CMS avançadas)
• EN 319 142-1/2: formato PAdES (assinaturas PDF avançadas)
• EN 319 401: requisitos gerais para prestadores de serviços de confiança
• EN 319 411-1/2: requisitos para AC emitindo certificados qualificados

Essas normas serão revisadas até o final de 2025 para integrar os novos requisitos eIDAS 2. Os contratos com QTSP devem incluir uma cláusula de atualização para as versões revisadas sem custo adicional.

Riscos jurídicos de não-conformidade

Uma assinatura emitida por um prestador que não estivesse mais acreditado após 2027 não perderia automaticamente seu valor jurídico para documentos já assinados, mas não se beneficiaria mais da presunção legal de equivalência com uma assinatura manuscrita (art. 25 eIDAS). O ônus da prova da integridade e identidade do signatário repousaria inteiramente sobre a empresa em caso de contencioso. Este risco probatório é particularmente sensível para atos cujo prazo de prescrição é longo (5 anos em matéria comercial, 30 anos para direitos reais imobiliários).

Cenários de uso: como as organizações antecipam a transição eIDAS 2

Cenário 1: um escritório de advocacia de 25 colaboradores racionaliza sua conformidade documental

Um escritório de advocacia especializado em direito empresarial, com cerca de 25 colaboradores e intensa atividade de assinatura de mandatos, atos de cessão e protocolos de acordo, utilizava até 2024 uma solução de assinatura avançada (AdES) para a totalidade de seus fluxos. Com o anúncio do eIDAS 2, o escritório realizou uma auditoria de seus 1.200 documentos assinados anualmente para identificar quais necessitariam de QES conforme as novas recomendações de sua ordem.

Resultado: 15% dos atos (aproximadamente 180 por ano) foram reclassificados para assinatura qualificada, o que permitiu securizar o regime probatório desses documentos. O escritório negociou com seu editor de assinatura uma cláusula garantindo conformidade eIDAS 2 assim que publicados os atos de execução, sem custo adicional. O tempo administrativo relacionado à verificação de identidade dos signatários diminuiu 40% graças à antecipação da integração EUDIW planejada para 2026.

Cenário 2: uma PME industrial de 150 funcionários securiza sua cadeia contratual de fornecedores

Uma PME industrial gerenciando cerca de 350 contratos fornecedores por ano — pedidos de compra, NDAs, contratos-marco — funcionava com duas soluções de assinatura distintas para seus fluxos internos e externos, criando uma fragmentação das provas de auditoria. No contexto da transição eIDAS 2 e dos novos requisitos de arquivamento qualificado, a TI decidiu unificar sua plataforma.

Ao migrar para uma solução única integrando o arquivamento eletrônico qualificado (futuro serviço eIDAS 2), a PME reduziu seus custos de armazenamento seguro em 30% e consolidou suas provas de assinatura em um cofre digital conforme. O conjunto da cadeia documental agora é auditável em menos de 2 minutos durante controles de fornecedores — um requisito crescente de seus clientes na indústria automotiva.

Cenário 3: um agrupamento hospitalar de cerca de 600 leitos prepara a integração EUDIW

Um agrupamento hospitalar público utilizava assinatura eletrônica qualificada para seus contratos médicos e compras públicas, em conformidade com obrigações do código de contratação pública. Com eIDAS 2, o serviço de tecnologia da informação identificou duas questões prioritárias: a integração futura da carteira « France Identité » para médicos liberais intervindo no estabelecimento, e a conformidade NIS2 de seu QTSP.

O agrupamento inscreveu em seu plano diretor de TI 2025-2028 um lote específico « conformidade eIDAS 2 », com orçamento estimado de 45.000 € para migração técnica e treinamento de agentes. O objetivo é estar em condições de aceitar assinaturas via EUDIW assim que o lançamento nacional previsto para novembro de 2026, reduzindo assim os prazos de contractualização com profissionais de saúde liberais de 3 dias para menos de 4 horas em média conforme benchmarks setoriais disponíveis.

Conclusão

A transição eIDAS 1 para eIDAS 2 não é uma ruptura mas uma evolução estruturada, com cronograma preciso estendendo-se até 2027. Os impactos na assinatura eletrônica são reais — extensão dos serviços qualificados, chegada do EUDIW, endurecimento das exigências NIS2 para QTSP — mas gerenciáveis desde que sejam antecipados. As empresas que agem agora aproveitam uma margem de manobra para auditar seus fluxos de trabalho, securizar seus contratos com seus prestadores e formar suas equipes sem pressão de urgência regulatória.

A Certyneo acompanha as empresas nesta transição com um roteiro de conformidade eIDAS 2 claro, formatos de assinatura mantidos atualizados e arquitetura pronta para integração EUDIW. Pronto para securizar seus fluxos de assinatura neste novo marco regulatório? Descubra nossas ofertas e comece gratuitamente na Certyneo.