Descubre y aprende

¿Qué es eIDAS 2? Todo lo que debe saber

La Unión Europea (UE) es uno de los entornos regulatorios más complejos y ambiciosos. Con la entrada en vigor de la segunda iteración del Reglamento sobre identificación electrónica, autenticación y servicios de confianza (eIDAS), las empresas de la UE deben navegar por los cambios y adaptarse a uno de los cambios más significativos de la región en identidad digital, autenticación e infraestructura de confianza desde 2016.

Junto con la norma técnica correspondiente, eIDAS 2 establece una base jurídica y técnica unificada para la autenticación de las personas, el intercambio de datos de identidad y el funcionamiento transfronterizo de los servicios de confianza. Reconfigura el ecosistema europeo de identidad digital para hacerlo más interoperable, más respetuoso con la privacidad y más resistente frente a las nuevas amenazas al fraude y la seguridad.

Al mismo tiempo, estos cambios se producen en un contexto de convergencia mundial de la prueba de identidad, ya que los reguladores de todo el mundo refuerzan las expectativas de seguridad, dan prioridad a la prevención del fraude y hacen converger cada vez más la prueba de identidad remota y los requisitos de incorporación a los servicios financieros. eIDAS 2 forma parte ahora de un cambio internacional más amplio en la identidad digital de alta seguridad.

A continuación, desglosamos eIDAS 2 y le ofrecemos todo lo que necesita saber para cumplir los requisitos de la normativa.Trataremos los siguientes temas:

  • ¿Qué es eIDAS?
  • ¿Qué es eIDAS 2?
  • Verificación de identidad según eIDAS 2 y ETSI v2
  • ¿Quién es un proveedor de servicios de confianza?
  • Cómo lograr el cumplimiento del eIDAS 2
  • Simplifique el cumplimiento normativo con Entrust

¿Qué es eIDAS?

eIDAS, que significa identificación electrónica, autenticación y servicios de confianza, es el amplio reglamento de la UE que introdujo el primer marco jurídico armonizado para la identificación electrónica y los servicios de confianza en todos los Estados miembros de la UE.

Antes de su adopción, la UE se basaba en un mosaico de legislaciones nacionales —la Signaturgesetz alemana, la ley francesa sobre firma electrónica, el Codice dell'Amministrazione Digitale italiano, la Ley 59/2003 española y otras—, cada una con normas, requisitos de seguridad y formatos distintos. En consecuencia, el enfoque para llevar a cabo la identificación electrónica y la verificación de identidad a distancia varió significativamente de un Estado miembro a otro.

Esta fragmentación dificultó las interacciones digitales transfronterizas. Una firma electrónica o una credencial de identidad válida en un Estado miembro puede no ser reconocida en otro, lo que obliga a las organizaciones a mantener procesos paralelos y socava la confianza en las transacciones electrónicas.La ausencia de un marco común también limitó la expansión de servicios en línea seguros e impidió el desarrollo del comercio electrónico transfronterizo.

El primer Reglamento eIDAS (UE n.º 910/2014) fue un intento de abordar estas cuestiones mediante el establecimiento de un marco armonizado a escala de la UE.Adoptada en 2014 y aplicada plenamente a partir de 2016, se basa en tres principios fundamentales:

  • Reconocimiento mutuo: Todos los Estados miembros estaban legalmente obligados a reconocer los sistemas nacionales de identificación electrónica notificados por los demás.
  • Interoperabilidad: El Reglamento garantizaba la compatibilidad entre las distintas soluciones de identificación electrónica y los servicios de confianza en toda la UE.
  • Seguridad: eIDAS introdujo rigurosos requisitos de seguridad para firmas electrónicas, sellos, marcas de tiempo y certificados.

También formalizó el papel de los proveedores de servicios de confianza (TSP), que deben estar acreditados y supervisados antes de emitir servicios cualificados.

Es importante destacar que el eIDAS se aplica no solo a los organismos del sector público, sino también a las organizaciones del sector privado que dependen de la identificación electrónica o los servicios de confianza, como servicios financieros, seguros, asistencia sanitaria y comercio electrónico. Por tanto, funciona como una infraestructura unificada de confianza digital para todas las interacciones electrónicas transfronterizas dentro de la UE.

Aunque el Reglamento mejoró significativamente el panorama de la confianza digital en Europa, persisten varias limitaciones. En 2021, el uso transfronterizo de las identificaciones electrónicas nacionales seguía siendo limitado, la adopción por parte del sector privado era desigual y el alcance del marco ya no reflejaba cómo se estaban utilizando los servicios de identidad y confianza digitales. Estas lagunas condujeron finalmente a la elaboración de una modificación del Reglamento: eIDAS 2. 

¿Qué es eIDAS 2?

eIDAS 2 —formalmente el Reglamento Europeo de Identidad Digital (Reglamento [UE] 2024/1183)— es la versión actualizada y ampliada del marco eIDAS original. Se publicó en el Diario Oficial de la Unión Europea en abril de 2024 y comenzó su entrada en vigor gradual el 20 de mayo de 2024.

La revisión se debió a las persistentes limitaciones del primer reglamento. En 2021, el uso transfronterizo de los sistemas nacionales de identificación electrónica seguía siendo escaso, la adopción por las partes usuarias del sector privado era incoherente y existían divergencias significativas entre los Estados miembros en cuanto a la forma de aplicar la garantía de identidad a distancia y los servicios de confianza. Estas incoherencias crearon fricciones para las empresas que operan en múltiples jurisdicciones, y solo el 59 % de los residentes en la UE pudieron utilizar una identificación electrónica de confianza fuera de su país de origen.

eIDAS 2 representa una evolución estructural del marco europeo de identidad digital y servicios de confianza. Aborda las limitaciones del marco original, amplía la lista de servicios de confianza regulados, refuerza los requisitos de seguridad y gobernanza y, sobre todo, introduce la Billetera Europea de Identidad Digital (EUDI) como componente obligatorio de los ecosistemas nacionales de identidad digital.

Mientras que el reglamento original sentaba las bases de la confianza transfronteriza, eIDAS 2 proporciona el proyecto para un modelo de identidad digital más avanzado, interoperable, de alta garantía y controlado por el usuario en toda la Unión Europea.

Un alcance regulatorio ampliado

El Reglamento eIDAS original (2016) sentó las bases de la identificación electrónica y los servicios de confianza en la UE, pero su alcance seguía siendo relativamente limitado; no preveía la amplitud de las interacciones digitales que ahora dependen de mecanismos de identidad y confianza de alta garantía. Aunque el marco ofrecía seguridad jurídica para las firmas electrónicas, los sellos, las marcas de tiempo y los certificados reconocidos, no abarcaba varias capacidades de servicios de confianza que desde entonces se han convertido en fundamentales para los modelos de negocio digital y la interoperabilidad transfronteriza.

eIDAS 2 amplía considerablemente esta posibilidad. La normativa actualizada refuerza el papel de los proveedores cualificados de servicios de confianza (QTSP) —entidades certificadas para ofrecer servicios de confianza seguros y fiables—, que ahora deben cumplir unas expectativas de supervisión armonizadas y alineadas con la legislación de la UE en materia de ciberseguridad. Esto incluye bases de seguridad obligatorias, auditorías periódicas, notificación formalizada de incidentes y requisitos coherentes de gestión de claves y resistencia operativa en toda la Unión.

Además, con el eIDAS 2, se amplió el ámbito de aplicación de la norma para incluir cuatro nuevos servicios de confianza cualificados:

  1. Servicios de archivado electrónico: Estos servicios proporcionan almacenamiento seguro y a largo plazo de documentos electrónicos y datos. Garantizan que los datos y documentos archivados sigan siendo auténticos e inalterados durante todo su período de conservación, preservando así su integridad y valor jurídico. Esta capacidad es esencial para sectores como la sanidad, las finanzas y el sector público, en los que el cumplimiento de las normativas exige la conservación fiable de datos y documentos confidenciales con garantía de integridad a lo largo del tiempo.
  2. Libros contables electrónicos: Este servicio proporciona un registro seguro e inmutable de transacciones y datos. Con esto, se garantiza que los datos electrónicos puedan rastrearse y verificarse de forma fiable, lo que admite diversas aplicaciones y casos prácticos, como transacciones financieras, gestión de la cadena de suministro, etc.
  3. Gestión de dispositivos remotos de creación de firmas y sellos electrónicos (QSCD): Este servicio de confianza permite a los proveedores de firmas electrónicas gestionar los procesos de firma y sellado a distancia, preservando al mismo tiempo los estrictos requisitos de seguridad asociados a los QSCD. Permite la firma y el sellado seguros basados en la nube, admite el trabajo remoto y las transacciones transfronterizas, y amplía las posibilidades de uso de las firmas cualificadas sin comprometer el control exclusivo del firmante sobre sus claves de firma.
  4. Emisión de declaraciones electrónicas cualificadas de atributos: eIDAS 2 introduce las declaraciones electrónicas cualificadas de atributos (QEAA), que permiten a las autoridades de confianza certificar la exactitud de atributos específicos relativos a una persona, organización o dispositivo. Entre ellos pueden figurar la edad, las licencias profesionales, las cualificaciones educativas o los identificadores de cuenta. Un QEAA adopta la forma de un certificado firmado digitalmente que puede almacenarse y utilizarse en una billetera digital de identidad de la UE, facilitando la puesta en común de atributos que preserven la privacidad y permitiendo un intercambio de atributos de identidad de alta garantía en toda la UE.

Al ampliar el catálogo de servicios de confianza, el reglamento refuerza la integridad, seguridad e interoperabilidad generales del ecosistema de confianza e identidad digital de la UE.

eIDAS 2 también introduce nuevas obligaciones para determinadas partes usuarias del sector privado. A partir de 2027, los bancos, los operadores de telecomunicaciones y otros proveedores de servicios de alto valor deberán aceptar la billetera de identidad digital de la UE para casos de uso definidos. El Reglamento incorpora los principios de control exclusivo del usuario y privacidad por diseño, permitiendo a los particulares revelar únicamente el conjunto mínimo de atributos necesarios para una transacción determinada.

Por último, esta ampliación resuelve las incoherencias observadas durante mucho tiempo en el eIDAS 1.0, en el que las autoridades nacionales de supervisión interpretaban de forma diferente los requisitos de verificación de identidad a distancia. Algunos Estados miembros exigían un registro basado en QES (por ejemplo, Francia), otros se basaban en videollamadas en directo (por ejemplo, Alemania), mientras que otros aceptaban IDV remotos conformes con ETSI (por ejemplo, Italia y Rumania). eIDAS 2 armoniza estas interpretaciones y proporciona un marco transfronterizo coherente para la acreditación de identidad de alta garantía y el uso de servicios de confianza en toda la UE.

Billetera Europea de Identidad Digital (EUDI Wallet)

En virtud del Reglamento eIDAS original (2016), los Estados miembros podían notificar voluntariamente sus sistemas nacionales de identificación electrónica, haciendo que esos sistemas fueran legalmente reconocibles en toda la UE. Este modelo voluntario tenía una limitación crítica: Los países que no disponían de un sistema de identificación electrónica no estaban obligados a crearlo. Como resultado, los índices de adopción variaron significativamente de un estado a otro, y la interoperabilidad transfronteriza siguió siendo desigual.

eIDAS 2 sustituye este enfoque por un marco obligatorio y armonizado. Para finales de 2026, cada Estado miembro deberá emitir al menos una Billetera de Identidad Digital de la UE (Billetera EUDI). Esta billetera permitirá a particulares y empresas almacenar y gestionar sus identificaciones electrónicas nacionales junto con atributos y credenciales verificados —como permisos de conducir, diplomas, cualificaciones profesionales o información sobre cuentas bancarias— y compartirlos de forma segura y selectiva.Esto crea una identidad digital universal y portátil en toda Europa.

El objetivo es dar a los europeos pleno control sobre su identidad digital al interactuar en línea, permitiéndoles revelar solo lo estrictamente necesario y reduciendo la dependencia de sistemas de inicio de sesión fragmentados o de repetidos controles de identidad. Para los casos de uso definidos en los sectores público y privado, se exigirá a las partes usuarias que acepten la billetera para la autenticación, lo que garantizará una experiencia coherente y de confianza en toda la UE.

La Billetera EUDI se basa en tres pilares fundamentales:

  1. Seguridad: La billetera se ajusta a la legislación vigente de la UE en materia de protección de datos y ciberseguridad, incluido el Reglamento General para la Protección de los Datos (GDPR) y la Directiva NIS2, incorporando principios de privacidad desde el diseño y sólidas salvaguardias técnicas.
  2. Comodidad: La billetera facilita a los ciudadanos y residentes el acceso a los servicios públicos, la solicitud de empleo, la apertura de cuentas bancarias u otras actividades transfronterizas. Pueden utilizar esta herramienta para compartir datos de identidad con organizaciones con fines de autenticación. Consolida la información de identidad en una única herramienta reutilizable, eliminando la necesidad de múltiples inicios de sesión o pasos de verificación repetidos.
  3. Interoperabilidad: El Reglamento establece un marco técnico común y normas armonizadas para garantizar que las credenciales de identidad digital almacenadas en la billetera sean aceptadas en toda la UE. Al definir especificaciones comunes para billeteras, proveedores de servicios y autoridades públicas, garantiza la interoperabilidad entre sistemas nacionales. Esta armonización promueve un enfoque unificado y transfronterizo de la identidad digital, fomentando la confianza y el reconocimiento de credenciales tanto para los ciudadanos como para las empresas.

En virtud de eIDAS 2, todos los Estados miembros deberán poner a disposición de los ciudadanos y residentes al menos una billetera EUDI antes de diciembre de 2026, lo que supondrá un gran paso hacia un panorama de identidad digital plenamente interoperable en Europa.

Cronograma de eIDAS 2
ÁreaeIDAS (2016)eIDAS 2 (2024)
AlcanceMarco armonizado para los sistemas de identificación electrónica notificados y un conjunto definido de servicios de confianza (firmas, sellos, marcas de tiempo, certificados).Se amplía el ámbito de aplicación para incluir las billeteras electrónicas de identidad digital de la UE (EUDI), los QEAA, los archivos electrónicos cualificados, los libros de contabilidad electrónicos cualificados y la gestión remota de QSCD, con normas más detalladas para las partes usuarias y la adopción por el sector privado.
Reconocimiento de identificaciones electrónicas (eID)Las eID nacionales solo se reconocen si el Estado miembro emisor las notifica voluntariamente.Requiere que cada Estado miembro emita al menos una billetera EUDI y acepte billeteras de otros Estados miembros para casos de uso definidos.
Arquitectura de identidad digitalDepende de los sistemas nacionales de identificación electrónica, con una interoperabilidad limitada.Introduce el marco de la Billetera de Identidad Digital de la UE (EUDI) para ciudadanos, residentes y, en algunos casos, empresas, permitiendo un uso transfronterizo coherente.
Servicios de confianzaDefinición y regulación de firmas electrónicas, sellos, marcas de tiempo y certificados de autenticación de sitios web.Se amplía para incluir el archivado electrónico, un libro mayor electrónico cualificado, QEAA y la gestión remota de QSCD, al tiempo que se actualizan las normas de los servicios existentes.
Obligaciones de las partes usuariasLos servicios de confianza podían ser utilizados por los sectores público y privado, pero no existía ninguna obligación a escala de la UE de que las partes usuarias privadas aceptaran medios específicos de identificación electrónica.   Introduce obligaciones de aceptación de billetera para determinados servicios privados de alto valor (como la banca y las telecomunicaciones) de aquí a 2027.
Control de usuarios y privacidadControl limitado del usuario sobre los atributos de identidad; depende principalmente de los marcos nacionales y las especificidades del servicio.Incorpora el «control exclusivo del usuario» y la divulgación selectiva en el modelo de billetera, permitiendo a los usuarios elegir qué atributos compartir para una transacción determinada.
Cronograma de aplicaciónAdoptada en 2014 y entrada en vigor en julio de 2016.Entró en vigor en mayo de 2024, con actos de ejecución complementarios adoptados entre su entrada en vigor y 2026, emisión obligatoria de billeteras en diciembre de 2026 y aceptación obligatoria por parte de los principales actores del sector privado que confían en ella a partir de 2027.

En conjunto, estos cambios hacen que el eIDAS pase de ser un marco de identidad digital fragmentado a un planteamiento paneuropeo armonizado, centrado en el usuario y obligatorio, con normas comunes sobre cómo se expiden, verifican y aceptan las identidades digitales y los servicios de confianza en toda la UE.

Relación entre eIDAS 2 y el ETSI

El Instituto Europeo de Normas de Telecomunicación (ETSI) es un organismo de normalización independiente y sin fines de lucro encargado de elaborar especificaciones mundialmente reconocidas para las tecnologías de la información y la comunicación. En el marco de eIDAS, el ETSI desempeña un papel fundamental:Traduce las obligaciones jurídicas de alto nivel de la normativa en requisitos técnicos precisos y auditables. Este trabajo se refleja en normas como ETSI TS 119 461 y la serie más amplia ETSI EN 319, que definen cómo deben funcionar en la práctica los servicios de confianza y la acreditación de identidad.

Con eIDAS 2, que introduce la billetera de identidad digital de la UE y nuevos servicios de confianza cualificados como los QEAA, el ETSI ha actualizado y ampliado sus normas para definir la seguridad, la interoperabilidad y los controles técnicos necesarios para su cumplimiento. Estas normas constituyen la espina dorsal técnica que garantiza que los Estados miembros y los proveedores de servicios de confianza apliquen eIDAS 2 de forma coherente y segura.

Verificación de identidad según eIDAS 2 y ETSI TS 119-461 v2 

La verificación remota de identidad es un componente central del ecosistema eIDAS 2. Para favorecer la uniformidad en toda la UE, el reglamento va acompañado de su norma operativa específica, ETSI TS 119 461 v2.1.1.

La relación entre ambos instrumentos es fundamental:

  • eIDAS 2 establece los requisitos legales para la acreditación de identidad.
  • ETSI v2 define cómo deben satisfacerse estos requisitos en la práctica, mediante controles técnicos específicos y auditables.

El papel del ETSI 119 461 v2: La columna vertebral técnica

ETSI v2 establece los requisitos detallados para la acreditación de identidad remota y automatizada, entre los que se incluyen:

  • Cómo deben validarse y cotejarse los documentos de identidad, incluida la coherencia de la MRZ y la zona visible y la verificación de los elementos de seguridad.
  • Cómo deben capturarse, analizarse y protegerse los datos biométricos contra la suplantación de identidad, las falsificaciones profundas y los ataques de presentación.
  • Cómo deben cotejarse los atributos de identidad y las pruebas en las distintas fuentes.
  • Qué pruebas deben conservarse para respaldar las auditorías reglamentarias y la supervisión.
  • Cómo debe realizarse la incorporación de mayor garantía en el marco del Nivel Ampliado de Acreditación de Identidad (LoIP).

Garantiza que la verificación de identidad en toda la UE no solo sea uniforme, sino también técnicamente rigurosa y resistente a los patrones modernos de fraude. El Reglamento eIDAS ya se menciona en las directrices de la Autoridad Bancaria Europea (ABE) para la incorporación remota, en las directivas contra el blanqueo de capitales y en el próximo reglamento contra el blanqueo de capitales. También forma parte de las expectativas y requisitos de supervisión en virtud de la PSD2 y los marcos relacionados con la delincuencia financiera.

Esta armonización reglamentaria tiene importantes implicaciones. ETSI v2 se ha convertido en la referencia operativa para la verificación de identidad a distancia en toda Europa, especialmente en los servicios financieros. Un proceso de verificación de identidad diseñado de conformidad con ETSI v2 satisfará, en principio, el eIDAS 2, las obligaciones AML/KYC y las expectativas de supervisión simultáneamente. Para las entidades financieras, esta convergencia reduce la fragmentación y proporciona un marco claro y armonizado para la incorporación transfronteriza.

Impacto en los servicios financieros

La UE avanza hacia la convergencia normativa entre el eIDAS 2 y los marcos de lucha contra el blanqueo de capitales (AML), creando un enfoque unificado de la verificación de identidad a distancia (IDV). Esta alineación convierte la incorporación certificada por el ETSI en la norma de referencia, garantizando la seguridad jurídica y la interoperabilidad en todos los Estados miembros de la UE.

Para las instituciones financieras, como bancos, proveedores de servicios de pago e instituciones financieras reguladas, la introducción del eIDAS 2 significa un marco armonizado para la incorporación de clientes a través de las fronteras. La convergencia cumple:

  • Menores costos de cumplimiento: Un único proceso IDV certificado por el ETSI permite a los proveedores de servicios financieros cumplir las obligaciones derivadas de múltiples marcos normativos (eIDAS, AMLD6, PSD2), reduciendo la duplicación y simplificando la preparación de auditorías.
  • Interoperabilidad transfronteriza: Los procesos de incorporación conformes con el ETSI están reconocidos en todos los Estados miembros de la UE, lo que permite una incorporación coherente y una expansión racionalizada a nuevos mercados.
  • Mayor prevención del fraude y seguridad: ETSI v2 introduce rigurosos controles de integridad biométrica y antifalsificación, mitigando los riesgos asociados a las falsificaciones profundas y a los sofisticados ataques de presentación, ahora críticos en entornos de transacciones de alto riesgo.

A raíz de ello, las entidades financieras deben prepararse para un cumplimiento gradual:

Cronograma de eIDAS 2

¿Qué es un proveedor de servicios de confianza? 

Un proveedor de servicios de confianza (TSP) es una persona física o jurídica que presta uno o varios servicios de confianza en el marco del eIDAS y está supervisado por una autoridad nacional. Su función es garantizar que las interacciones digitales —desde la firma y el sellado de documentos hasta el sellado de tiempo de datos o la transmisión de información sensible— sean seguras, auténticas y jurídicamente fiables. Los TSP también garantizan la confidencialidad y el no repudio de la información, y permiten la autenticación de sitios web o firmantes.

Sus servicios proporcionan los mecanismos para verificar la autenticidad y la integridad de documentos electrónicos, identidades y comunicaciones. Son un componente central del marco eIDAS 2, que garantiza que las interacciones en línea y digitales alcancen los mismos niveles de garantía y efecto jurídico que los procesos tradicionales en papel. Cuando un proveedor cumple los requisitos más estrictos y recibe una acreditación oficial, se convierte en proveedor de servicios de confianza cualificado (Qualified Trust Service Provider, QTSP) y puede prestar servicios fiduciarios cualificados que surten efectos jurídicos específicos en toda la UE.

En eIDAS 2, los servicios de confianza incluyen tanto los establecidos en el Reglamento eIDAS original como una serie de nuevos servicios diseñados para responder a las necesidades cambiantes de la identidad digital. Incluyen los siguientes:

  1. Firmas electrónicas para personas físicas

    Una firma electrónica permite a las personas firmar documentos de forma digital con garantías de integridad y autenticidad; es decir, ofrece un medio seguro y verificable para garantizar que el firmante es quien dice ser y que el documento no ha sido alterado desde que se aplicó la firma. El reglamento clasifica estas firmas en tres niveles: Firma electrónica simple: Ofrece seguridad básica adecuada para casos de uso de bajo riesgo. Firma electrónica avanzada: Proporciona un mayor nivel de seguridad dado que vincula la firma de forma exclusiva con el firmante y permite detectar cualquier cambio que se realice en los datos firmados. Firma electrónica calificada (QES): Emite el máximo nivel de seguridad y tiene el mismo efecto legal que una firma manuscrita. Debe crearse mediante un dispositivo cualificado de creación de firmas (qualified signature creation device, QSCD) y estar respaldado por un certificado cualificado (qualified certificate) emitido por un proveedor cualificado de servicios de confianza (QTSP). Los QSCD suelen basarse en hardware criptográfico seguro, como un módulo de seguridad de hardware (HSM), que ha sido sometido a un proceso de certificación de eIDAS.

     

  2. Sellos electrónicos (ESeals)

    Los sellos electrónicos funcionan de manera similar a las firmas, pero se utilizan por personas jurídicas (por ejemplo, empresas) en lugar de personas físicas. Se utilizan mucho para facturas, comunicaciones oficiales y documentación de conformidad. En virtud del eIDAS 2, los sellos confirman el origen y la integridad de un documento, verificando que fue emitido por una entidad específica y que no ha sido alterado. Al igual que las firmas electrónicas, pueden ser simples, avanzadas o cualificadas.

     

  3. Sellos de tiempo electrónicos

    Un sello de tiempo demuestra que un documento electrónico específico o un conjunto de datos existía en un momento determinado y que no ha sido alterado desde entonces. Es una forma segura de establecer el origen de la creación, presentación o recepción de un documento, añadiendo otra capa de integridad y confianza. eIDAS 2 refuerza los requisitos de sellado de tiempo para respaldar pruebas verificables y a largo plazo de que los datos existieron en un momento específico, preservando su integridad. Se utiliza principalmente en sectores como las finanzas, la sanidad y los servicios jurídicos. Los sellos de tiempo electrónicos pueden ser cualificados o no cualificados.

     

  4. Certificados cualificados de autenticación de sitios web (QWAC)

    En pocas palabras, un QWAC es un archivo que prueba la autenticidad de un dispositivo, un servidor, un usuario o una entidad mediante criptografía de clave pública. Funciona con una copia de una clave pública del titular del certificado, que debe cotejarse con una clave privada correspondiente para verificar su procedencia. Es el equivalente europeo de un certificado TLS/SSL público. En el marco del eIDAS 2, los QWAC siguen siendo fundamentales para generar confianza entre los usuarios y los servicios en línea, especialmente las instituciones financieras y los portales gubernamentales.

     

  5. Servicio cualificado de entrega electrónica certificada (ERDS)

    Un ERDS garantiza la transmisión electrónica segura de datos con prueba de envío y recepción, ofreciendo una seguridad jurídica similar a la del correo postal certificado. eIDAS 2 mejora la interoperabilidad del ERDS a través de las normas ETSI, armonizando los enfoques normativos de la mensajería segura transfronteriza.

     

  6. Atestación electrónica cualificada de atributos (QEAA)

    Una QEAA permite la verificación fiable de atributos personales u organizativos, como el nombre, la edad, las cualificaciones profesionales o las licencias. Este servicio facilita la verificación de la identidad y los procesos KYC sin exponer datos personales innecesarios, gracias a la divulgación selectiva. Certifica los atributos de identidad para las interacciones basadas en la billetera y, como tal, es una piedra angular para la identidad digital que preserva la privacidad en el ecosistema de la Billetera EUDI.

     

  7. Archivado electrónico de documentos digitales

    Este servicio garantiza la conservación a largo plazo de los documentos electrónicos con garantías de integridad y autenticidad. Responde a la creciente necesidad de almacenamiento digital seguro en sectores con un alto grado de cumplimiento de normativas, como la sanidad, las finanzas y la administración pública. El archivado conforme al eIDAS 2 requiere recurrir a métodos criptográficos para mantener la confianza a lo largo del tiempo.

     

  8. Servicios de libros contables electrónicos

    Los libros contables electrónicos proporcionan un registro inmutable mediante el uso de blockchain o tecnologías similares. Permiten pistas de auditoría transparentes y a prueba de manipulaciones para las transacciones financieras, la gestión de la cadena de suministro y la elaboración de informes reglamentarios. Con la introducción de este servicio, eIDAS 2 respalda modelos de confianza descentralizados y marcos de cumplimiento preparados para el futuro.

     

  9. Gestión remota de QSCD

    La gestión remota de QSCD permite controlar a distancia y de forma segura los dispositivos de creación de firmas, lo que posibilita las firmas electrónicas reconocidas (QES) y los sellos sin presencia física. Esta innovación respalda el trabajo remoto y la transformación digital, al tiempo que mantiene los más altos estándares de seguridad. Es especialmente relevante para las operaciones empresariales transfronterizas y las soluciones de firma en la nube.

Cómo lograr el cumplimiento del eIDAS 2 

La introducción de eIDAS 2 supone un cambio significativo en el funcionamiento de los servicios de confianza e identidad digital en la UE. Para 2026, todos los Estados miembros deberán ser compatibles con la Billetera EUDI, y las organizaciones de los sectores regulados —incluidos los servicios financieros, las telecomunicaciones y la sanidad— tendrán que cumplir nuevos requisitos de verificación de identidad y servicios de confianza.

Las vías de cumplimiento varían en función del papel de una organización en el ecosistema de la identidad digital. Los requisitos difieren entre las partes usuarias —empresas de la UE que utilizan servicios de verificación de identidad y de confianza— y los proveedores de servicios de confianza (TSP), que emiten esos servicios bajo supervisión reglamentaria.

Empresas de la UE

Para las empresas de la UE que utilizan la verificación de identidad como parte de sus flujos de incorporación o transacción, el cumplimiento requerirá cada vez más la alineación con ETSI TS 119 461 v2 y con el modelo de autenticación basado en billetera introducido por eIDAS 2. En la práctica, esto significa lo siguiente:

  • Implantación de procesos sólidos de acreditación de identidad a distancia con integridad biométrica, resistencia a la suplantación de identidad y comprobación de la autenticidad de los documentos.
  • Integración de firmas electrónicas reconocidas o certificado   cuando la ley lo exija.
  • Preparación de los sistemas para que acepten la autenticación basada en Billetera EUDI y los certificados electrónicos de atributos cualificados (QEAA).

Estos cambios garantizan que las partes usuarias apoyen un modelo de verificación coherente y de alta confianza en toda la UE.

Proveedores de servicios de confianza

Para los proveedores de servicios de confianza, el cumplimiento requiere el funcionamiento de los QSCD, las infraestructuras PKI y las plataformas de servicios de confianza de conformidad con los requisitos técnicos y de supervisión definidos en el marco del eIDAS y las normas ETSI pertinentes.

Esto incluye lo siguiente:

  • Generación y almacenamiento seguros de claves de firma en los QSCD.
  • Acceso estrictamente controlado a las funciones de firma y sellado.
  • Registro, conservación y archivado fiables de las pruebas.
  • Un marco organizativo y de seguridad capaz de superar las auditorías de supervisión y cumplir las obligaciones de notificación de incidentes.

Los TSP deben utilizar QSCD certificados para crear firmas electrónicas cualificadas. Estos dispositivos garantizan que los datos de creación de firmas —como las claves privadas— se generen, gestionen y almacenen en un entorno seguro a fin de evitar accesos no autorizados.

Los proveedores de servicios también deben implementar una sólida infraestructura de clave pública (PKI) para gestionar los certificados digitales y las claves criptográficas. La PKI sustenta la emisión, distribución y verificación seguras de certificados digitales, garantizando la confianza en las firmas electrónicas y otros servicios de confianza.Por lo tanto, los TSP deben mantener prácticas de gestión de claves conformes, controles seguros del ciclo de vida y alineación con todos los requisitos eIDAS aplicables.

Los sistemas de gestión de identidad y acceso (IAM) también son fundamentales para que los TSP gestionen las identidades de los usuarios y controlen el acceso a sus servicios. Estos sistemas deben incorporar métodos de autenticación firmes, como la autenticación de factores múltiples (MFA), para verificar la identidad de los usuarios. Con las soluciones de IAM también es posible garantizar que solo las personas y el personal autorizados puedan realizar operaciones confidenciales, como la emisión de certificados o la creación de firmas electrónicas.

En ambos casos, el cambio introducido por eIDAS 2 afecta no solo a las herramientas que utilizan las organizaciones, sino a la forma en que esas herramientas se gobiernan, se prueban y se demuestran a los reguladores. La alineación con ETSI TS 119 461 v2 y las normas más amplias de ETSI proporciona la vía más clara y auditable para demostrar que las operaciones de verificación de identidad y servicios de confianza cumplen el nuevo nivel de garantía armonizado que se espera en toda la UE.

Cómo puede ayudarlo Entrust a cumplir la normativa  

Como miembro fundador del Cloud Signature Consortium y líder desde hace tiempo en PKI, infraestructura de confianza y ciberseguridad, Entrust ayuda a las organizaciones a cumplir los requisitos cambiantes de eIDAS 2.

Nuestras soluciones se integran a la perfección con los flujos de trabajo de incorporación de KYC y AML, y son compatibles con las prácticas de verificación de identidad sólidas y centradas en la privacidad que exigen el eIDAS 2 y la normativa del sector financiero.

Entrust ofrece verificación de identidad alineada con ETSI que combina la verificación de documentos, comprobaciones biométricas e inteligencia de dispositivos dentro de un flujo de trabajo eficiente y automatizado. Estas capacidades ayudan a permitir una incorporación remota segura y fiable sin videollamadas ni procesamiento manual, manteniendo la alineación con los requisitos GDPR y ETSI. También apoyan la interoperabilidad transfronteriza, permitiendo a las organizaciones operar de forma coherente en todos los Estados miembros de la UE.

Además, el liderazgo de Entrust en PKI e infraestructura de confianza ayuda a los clientes a crear y operar servicios de confianza digital conformes sobre una base segura y escalable. Nuestra tecnología ayuda a las organizaciones que desean implantar flujos de trabajo de firma digital u otras arquitecturas de servicios de confianza de forma que se ajusten a las expectativas técnicas reflejadas en IDAS 2. Con Entrust, las organizaciones pueden entrar con confianza en la era eIDAS 2, con el apoyo de capacidades de verificación de identidades e infraestructuras de confianza fiables, interoperables y preparadas para el futuro.

Explorar secciones

Explorar secciones

Prepárese para eIDAS 2 con soluciones de identidad fiables
Explore las soluciones eIDAS

Soluciones del eIDAS

QSCD PARA FIRMA REMOTA

Obtenga un Qualified Signature Creation Device (QSCD) conforme con el eIDAS con módulos de seguridad de hardware (HSM) nShield y un módulo de activación de firma (SAM) de Entrust.

Explore QSCD

Sistemas de Firmas Digitales

Soluciones de digital signature para gobiernos y proveedores de servicios de confianza.

Explore los Sistemas de firmas digitales

Certificados QWAC eIDAS

Gracias a los certificados cualificados de autenticación de sitios web que cumplen con el eIDAS de Entrust, es posible habilitar el cumplimiento con las pautas del eIDAS.

Explore los QWAC

Soluciones de cumplimiento de verificación de identidad

Satisfaga las complejas necesidades normativas locales e incorpore clientes a distancia con una solución de incorporación sencilla, fluida y conforme con la normativa del eIDAS.

Explore el cumplimiento de IDV