Los servicios de verificación de identidad remota —identity proofing— se han convertido en infraestructura crítica para un espectro amplio de operadores: prestadores cualificados de servicios de confianza que emiten certificados de firma electrónica, entidades financieras sujetas a obligaciones de diligencia debida bajo la normativa de prevención de blanqueo de capitales, y en general cualquier organización que necesite identificar de manera robusta a sus clientes en entornos no presenciales. La certificación de estos servicios contra estándares reconocidos —la norma ETSI TS 119 461, los esquemas nacionales como el PVID francés o la Orden ETD/465/2021 española— proporciona a quienes los contratan la garantía de que el proceso de verificación cumple con los requisitos técnicos y de seguridad exigibles.
La publicación en febrero de 2025 de la versión 2.1.1 de la ETSI TS 119 461, con requisitos significativamente más exigentes que sus predecesoras —incluida la evaluación de componentes de detección de ataques de inyección conforme a CEN/TS 18099—, ha abierto la pregunta inevitable: cuándo deben los proveedores de identity proofing migrar a esta nueva versión. Y aquí es donde ha surgido la confusión.
La fecha del 21 de mayo de 2026 circula en el mercado como el deadline para tener completada esa certificación. La presión fluye en cascada: QTSPs que trasladan a sus proveedores de identity proofing la urgencia de recertificarse, calendarios de auditoría que se aceleran, decisiones de inversión que se adelantan. Todo ello sobre una premisa que, analizada con rigor, resulta ser incorrecta.
De dónde sale la fecha de mayo de 2026
El artículo 51(4) del Reglamento 2024/1183 —el eIDAS modificado— establece que los QTSPs que ya tenían condición de cualificados antes del 20 de mayo de 2024 deben presentar a su supervisor un informe de conformidad con el artículo 24 antes del 21 de mayo de 2026. Esta disposición transitoria concede dos años para adaptar los procesos de verificación de identidad a los requisitos reforzados del nuevo artículo 24 y acreditarlo ante el regulador.
Aquí surge el malentendido: se ha asumido que este informe debe basarse en certificaciones contra la nueva ETSI TS 119 461 V2.1.1. No es así. El artículo 51(4) exige demostrar cumplimiento con los requisitos sustantivos del artículo 24, pero no prescribe qué estándar técnico debe utilizarse para ello.
Y de dónde sale agosto de 2027
El Reglamento de Ejecución (UE) 2025/1566, publicado el 30 de julio de 2025, designa la ETSI TS 119 461 V2.1.1 como estándar de referencia para la verificación de identidad bajo el artículo 24(1c). Pero su artículo 2 establece que será aplicable a partir del 19 de agosto de 2027.
La consecuencia es directa: hasta esa fecha, la V2.1.1 no es el estándar de referencia obligatorio. Los operadores pueden seguir apoyándose en certificaciones contra versiones anteriores de la norma ETSI, en esquemas nacionales reconocidos, o en otros medios admitidos bajo el artículo 24(1)(d). Todos estos medios mantienen su validez hasta agosto de 2027.
No hay contradicción entre las dos fechas. Son obligaciones distintas con calendarios sucesivos: mayo de 2026 marca cuándo los QTSPs deben acreditar conformidad con el artículo 24; agosto de 2027, cuándo un estándar técnico específico deviene obligatorio para demostrarla.
Qué ocurre con los requisitos de CEN/TS 18099
La V2.1.1 de la norma ETSI introduce la exigencia de que los componentes de detección de ataques de inyección biométrica (IAD) sean evaluados por laboratorio acreditado conforme a CEN/TS 18099 «antes del final de 2026». Esta fecha ha alimentado la confusión, interpretándose como un deadline regulatorio adicional.
No lo es. Es un requisito interno de la norma técnica: aplica a quien decida certificarse contra la V2.1.1. Si un proveedor opta por obtener esa certificación antes de agosto de 2027, deberá cumplirlo. Pero la decisión de anticiparse es comercial, no una obligación derivada del Reglamento.
Por qué se ha extendido la confusión
Las razones son diversas. Interpretaciones conservadoras de equipos de cumplimiento que prefieren anticiparse a cualquier riesgo. Estrategias de posicionamiento de operadores que ya han invertido en la migración y quieren presentarse como early adopters. Recomendaciones de supervisores nacionales que, sin constituir exigencia formal, generan presión. Y, sobre todo, desconocimiento del contenido exacto del Implementing Regulation 2025/1566 y su fecha de aplicación.
La respuesta
¿Hay que certificarse contra la ETSI TS 119 461 V2.1.1 antes de mayo de 2026? No. Los QTSPs pueden presentar su informe de conformidad apoyándose en certificaciones vigentes de sus proveedores de identity proofing contra la versión anterior de la norma o contra esquemas nacionales. Exigir la V2.1.1 antes de esa fecha es una decisión de negocio, no una obligación.
¿Cuándo será obligatoria la V2.1.1? El 19 de agosto de 2027, fecha de aplicación del Implementing Regulation 2025/1566.
¿Qué deben hacer los proveedores de identity proofing? Sus certificados vigentes mantienen validez hasta su caducidad. La presión para anticipar la recertificación responde a dinámicas comerciales, no a imperativos normativos. Planificar la migración con tiempo es prudente; confundir prudencia con urgencia artificial, un error.
CerteIDAS es un Organismo de Evaluación de la Conformidad acreditado por ENAC para la evaluación de Prestadores Cualificados de Servicios de Confianza conforme al Reglamento eIDAS. Para consultas sobre certificación y planificación de auditorías, contacte con nuestro equipo técnico.
