El Reglamento (UE) 2024/1183, conocido como eIDAS 2.0, representa la evolución natural del marco normativo europeo de identificación electrónica y servicios de confianza que lleva en vigor desde 2014. Este nuevo reglamento no es una mera actualización técnica: constituye un cambio estructural en la manera en que la Unión Europea concibe la identidad digital, la firma electrónica y la verificación de atributos en el mercado único digital.
Frente al eIDAS original, que sentó las bases jurídicas de la firma electrónica cualificada y los servicios de confianza, el nuevo reglamento amplía significativamente su alcance. Introduce la cartera europea de identidad digital (European Digital Identity Wallet, en adelante EUDI Wallet), un instrumento personal que permitirá a cualquier ciudadano o residente de la Unión identificarse, firmar electrónicamente y compartir atributos verificados con pleno valor jurídico en todos los Estados miembros. Esta cartera no será un simple repositorio de credenciales, sino un ecosistema interoperable que transformará las relaciones entre personas, empresas y administraciones públicas.
Un ecosistema de identidad digital descentralizado y portable
La EUDI Wallet es una apuesta decidida por un modelo descentralizado de gestión de la identidad. A diferencia de los sistemas centralizados tradicionales, donde cada proveedor de servicios mantiene sus propias bases de datos de usuarios, la cartera europea permite que sea el propio ciudadano quien custodie y controle sus credenciales y atributos verificados. Esta arquitectura responde a los principios de privacidad desde el diseño y minimización de datos que inspiran el Reglamento General de Protección de Datos.
La cartera digital permitirá almacenar no solo los datos de identidad básicos (nombre, fecha de nacimiento, nacionalidad), sino también atributos verificados por terceros de confianza: titulaciones académicas, habilitaciones profesionales, certificados de residencia, números de identificación fiscal, licencias administrativas o certificaciones sectoriales. Estos atributos podrán presentarse de forma selectiva ante cualquier interlocutor, permitiendo que el usuario comparta únicamente la información estrictamente necesaria para cada transacción.
El reconocimiento mutuo obligatorio entre Estados miembros garantiza que una identidad digital emitida en cualquier país de la Unión sea aceptada en todos los demás sin necesidad de homologaciones ni trámites adicionales. Esto supone un avance cualitativo en la construcción del mercado único digital, eliminando barreras que hasta ahora dificultaban la movilidad transfronteriza y el acceso a servicios en otros Estados miembros.
Ampliación del catálogo de servicios de confianza
eIDAS 2.0 amplía de manera significativa el catálogo de servicios de confianza que ya existían bajo el marco normativo anterior. Los servicios cualificados de firma, sello y entrega electrónicos se mantienen como pilares fundamentales, pero se añaden nuevas categorías que responden a las necesidades actuales del mercado digital:
- El archivo electrónico se incorpora como servicio de confianza, reconociendo que la preservación a largo plazo de documentos electrónicos firmados requiere garantías técnicas y jurídicas específicas. Este servicio garantiza que los documentos almacenados mantendrán su integridad, autenticidad y legibilidad durante todo el periodo de conservación legalmente exigible, incluso cuando las tecnologías criptográficas originales queden obsoletas.
- La emisión y verificación de atestaciones de atributos electrónicos constituye otra de las novedades relevantes. Este servicio permite que los prestadores de confianza que ganen la cualificación contra la norma ETSI-ESI TS 119 471 emitan atestaciones de atributos contra las fuentes auténticas y no auténticas (universidades, colegios profesionales, autoridades tributarias, empresas de telecomunicaciones, clubes de fútbol, … etc) puedan emitir atestaciones de atributos de identidad con el marchamo de que se corresponden, bajo el principio de minimización de datos y de privacidad por diseño, a los que están en las fuentes que atestiguan. Las atestaciones serán gestionadas, una vez emitidas y con la duración y extensión de cada caso de uso, por el propio ciudadano titulare de los datos desde su cartera digital.
Esta ampliación del catálogo de servicios no es meramente nominal. Cada uno de ellos habrá de cumplir con requisitos técnicos, organizativos y de seguridad específicos, verificados mediante un proceso de evaluación de conformidad conforme a las normas europeas EN 319 401 para todos los prestadores, y la norma técnica de cada servicio.
Nuevas oportunidades para el tejido empresarial
El despliegue progresivo de eIDAS 2.0 abrirá oportunidades de mercado para empresas de distintos tamaños y sectores. Las organizaciones que desarrollen soluciones tecnológicas compatibles con la cartera europea de identidad digital podrán ofrecer servicios de integración, desarrollo de conectores y adaptación de sistemas legacy a los nuevos estándares europeos. Los sectores que tradicionalmente han requerido procesos intensivos de verificación de identidad y atributos se verán especialmente beneficiados, como la banca, los seguros, las fintech, las plataformas de formación o los servicios de recursos humanos. Los procedimientos de diligencia debida (KYC) y prevención del blanqueo de capitales (AML) podrán apoyarse en las verificaciones realizadas a través de la cartera digital europea, sin perjuicio del cumplimiento de las obligaciones sectoriales específicas.
En el ámbito de las relaciones entre empresas (B2B) y entre empresas y administraciones (B2G), la identidad digital europea facilitará la participación en procedimientos de contratación pública transfronterizos, la verificación automática de capacidades y solvencia de proveedores, y la creación de redes de confianza basadas en atributos empresariales verificados. El wallet permitirá demostrar instantáneamente su inscripción registral, sus certificaciones de calidad, su solvencia tributaria o sus habilitaciones sectoriales mediante credenciales digitales verificables. Estos casos de uso se están desarrollando en el Large Scale Pilot del wallet WE BUILD del que CerteIDAS forma parte comoel de la emisión de poderes de representación (powers of attorney) y mandatos mediante atestaciones de atributos. Las implicaciones prácticas son considerables: un apoderado podría identificarse y demostrar simultáneamente su capacidad de representación ante una entidad bancaria, una administración tributaria o un proveedor extranjero mediante la presentación de su identidad personal y del atributo de representación verificable almacenado en su cartera. El destinatario de la actuación podría verificar criptográficamente la autenticidad del poder, su vigencia y su alcance sin necesidad de procesos manuales de comprobación. Los sistemas de revocación de credenciales permitirían que la extinción del poder surta efectos inmediatos, eliminando el riesgo de que poderes revocados sigan siendo utilizados indebidamente.
Otro caso de uso que daría salida a las entidades que han estado trabajando en un wallet alineado con el ARF (aunque sin todas las funcionalidades del EUDIW) sería usarlos en sistemas en la identificación de los empleados de una organización, sustituyendo los sistemas tradicionales de IAM ((Identity and Access Management), centralizados y basados en directorios corporativos, por una arquitectura descentralizada donde cada empleado custodia su propia cartera digital corporativa. Así, la organización emitiría a cada empleado un conjunto de atributos electrónicos de autenticación que acreditarían su vinculación con la empresa, su rol organizativo, sus permisos de acceso a sistemas, sus certificaciones técnicas o sus habilitaciones para tratar datos sensibles. Estos atributos se almacenarían en una cartera digital del empleado que podría ser una cartera privada desarrollada adaptada a las necesidades específicas del entorno corporativo. Las atestaciones de atributos, por tanto, actuarían como un sistema dinámico de perfilado de privilegios y como un sistema de inicio de sesión único (Single Sign-On, SSO) descentralizado, donde la autenticación y autorización se fundamentan en la verificación criptográfica de atributos emitidos por la organización en lugar de consultas a servidores de autenticación centrales.
El papel de la evaluación de conformidad
La confianza que sustenta todo el ecosistema eIDAS 2.0 descansa sobre un sistema riguroso de evaluación de conformidad. Los prestadores de servicios de confianza deben someterse a procesos de certificación conforme a normas europeas armonizadas, verificando que sus sistemas cumplen los requisitos técnicos, organizativos y de seguridad establecidos en el reglamento y sus actos de ejecución. Este proceso no constituye un trámite burocrático, sino el fundamento del valor jurídico de los servicios de confianza cualificados. La certificación emitida por un organismo de evaluación de conformidad acreditado, como CerteIDAS, constituye la garantía de que el servicio cumple con los estándares exigidos y puede, por tanto, generar efectos jurídicos plenos en todos los Estados miembros. Sin esta evaluación previa, ningún servicio podría considerarse cualificado ni beneficiarse del reconocimiento mutuo que establece el reglamento.
Calendario de implementación y desafíos técnicos
El reglamento eIDAS 2.0 establece un calendario de aplicación progresiva que se extenderá hasta 2027, permitiendo que Estados miembros y actores privados dispongan del tiempo necesario para adaptar sus sistemas e infraestructuras. Este despliegue gradual no debe interpretarse como un periodo de espera pasiva. Las organizaciones que deseen posicionarse en el nuevo ecosistema digital europeo deberán comenzar desde ahora sus procesos de análisis, diseño e implementación de soluciones compatibles.
Ya contamos con 22 actos de ejecución publicados y estamos a la espera del quito paquete normativo. Navegar esta complejidad técnica y jurídica requiere una expertise con la que pocos operadores, entidades de evaluación y consultoras cuentan. La gobernanza del ecosistema eIDAS 2.0 requerirá, además, una coordinación estrecha entre organismos nacionales de supervisión, organismos de evaluación de conformidad, prestadores de servicios cualificados y proveedores de carteras digitales.
