Descubra e aprenda

O que é o eIDAS 2? Tudo o que você precisa saber

A União Europeia (UE) é um dos ambientes regulatórios mais complexos e ambiciosos. Com a entrada em vigor da segunda versão do Regulamento de Identificação Eletrônica, Autenticação e Serviços de Confiança (eIDAS), as empresas da UE têm de lidar com as mudanças e adaptar-se a uma das transformações mais significativas na infraestrutura de identidade digital, autenticação e confiança da região desde 2016.

Em conjunto com a norma técnica relacionada, o eIDAS 2 estabelece uma base jurídica e técnica unificada sobre como os indivíduos se autenticam, como os dados de identidade são compartilhados e como os serviços de confiança operam além-fronteiras. Ele reformula o ecossistema europeu de identidade digital, tornando-o mais interoperável, com maior respeito à privacidade e mais resiliente contra fraudes e ameaças à segurança emergentes.

Ao mesmo tempo, essas mudanças ocorrem em um contexto de convergência global na verificação de identidade, à medida que os órgãos reguladores em todo o mundo reforçam as expectativas de segurança, priorizam a prevenção de fraudes e convergem cada vez mais os requisitos de verificação remota de identidade e de integração em serviços financeiros. O eIDAS 2 agora faz parte de uma mudança internacional mais ampla em direção à identidade digital de alta segurança.

A seguir, detalhamos o eIDAS2 e fornecemos tudo o que você precisa saber para atingir a conformidade com os requisitos do regulamento.Abordaremos os seguintes tópicos:

  • O que é a regulamentação eIDAS?
  • O que é o eIDAS 2?
  • Verificação de identidade segundo o eIDAS 2 e o ETSI v2
  • Quem é um provedor de serviços de confiança?
  • Como atingir a conformidade com a eIDAS 2
  • Simplifique a conformidade com a Entrust

O eIDAS (sigla em inglês para Identificação Eletrônica, Autenticação e Serviços de Confiança) é o regulamento abrangente da UE que introduziu a primeira estrutura jurídica harmonizada para identificação eletrônica e serviços de confiança em todos os Estados-Membros da UE.

Antes de sua adoção, a UE dependia de um conjunto heterogêneo de leis nacionais – a Lei de Assinaturas da Alemanha (Signaturgesetz), a lei francesa sobre assinaturas eletrônicas, o Código de Administração Digital da Itália (Codice dell’Amministrazione Digitale), a Lei 59/2003 da Espanha, entre outras – cada uma com regras, requisitos de segurança e formatos distintos. Consequentemente, a abordagem para realizar a identificação eletrônica e a verificação remota de identidade variava significativamente de um Estado-Membro para outro.

Essa fragmentação dificultou as interações digitais transfronteiriças.Uma assinatura eletrônica ou credencial de identidade válida em um Estado-Membro pode não ser reconhecida em outro, obrigando as organizações a manter processos paralelos e minando a confiança nas transações eletrônicas.A ausência de uma estrutura comum também limitou a expansão de serviços online seguros e impediu o desenvolvimento do comércio eletrônico transfronteiriço.

O primeiro Regulamento eIDAS (UE n.º 910/2014) foi uma tentativa de abordar essas questões através do estabelecimento de um quadro harmonizado à estrutura da UE.Adotado em 2014 e totalmente implementado a partir de 2016, ele se baseou em três princípios fundamentais:

  • Reconhecimento mútuo:Todos os Estados-Membros foram legalmente obrigados a reconhecer os sistemas nacionais de identificação eletrônica notificados uns dos outros.
  • Interoperabilidade:O Regulamento assegurou a compatibilidade entre diferentes soluções de identificação eletrônica e serviços de confiança em toda a UE.
  • Segurança: O eIDAS introduziu requisitos de segurança rigorosos para assinaturas eletrônicas, selos, carimbos de data/hora e certificados.

Ele também formalizou o papel dos prestadores de serviços fiduciários (TSPs), que devem ser credenciados e supervisionados antes de emitir serviços qualificados.

É importante ressaltar que o eIDAS aplica-se não apenas a órgãos do setor público, mas também a organizações do setor privado que dependem de identificação eletrônica ou serviços de confiança, incluindo serviços financeiros, seguros, saúde e comércio eletrônico. Ele funciona, portanto, como uma infraestrutura unificada de confiança digital para todas as interações eletrônicas transfronteiriças dentro da UE.

Embora a regulamentação tenha melhorado significativamente o panorama da confiança digital na Europa, várias limitações persistiram. Em 2021, o uso de identidades eletrônicas nacionais além das fronteiras permanecia limitado, a adoção pelo setor privado era desigual e o escopo da estrutura não refletia mais como os serviços de identidade digital e de confiança estavam sendo usados. Essas lacunas acabaram por levar ao desenvolvimento de uma alteração ao Regulamento, o eIDAS2. 

O eIDAS2 – formalmente o Regulamento Europeu de Identidade Digital (Regulamento (UE) 2024/1183) – é a versão atualizada e ampliada da estrutura original do eIDAS.Foi publicado no Jornal Oficial da União Europeia em abril de 2024 e entrou em vigor gradualmente em 20 de maio de 2024.

A revisão foi motivada por limitações persistentes na primeira regulamentação. Em 2021, a utilização de sistemas nacionais de identificação eletrônica transfronteiriça manteve-se baixa, a adoção por parte das entidades privadas que dependem desses sistemas foi inconsistente e existiram divergências significativas entre os Estados-Membros na forma como os serviços de garantia de identidade remota e de confiança foram implementados. Essas inconsistências criaram atritos para empresas que operam em múltiplas jurisdições, com apenas 59% dos residentes da UE capazes de usar um eID confiável fora de seu país de origem.

O eIDAS 2 representa uma evolução estrutural da estrutura europeia de identidade digital e serviços de confiança. A proposta aborda as limitações da estrutura original, amplia a lista de serviços de confiança regulamentados, reforça os requisitos de segurança e governança e – principalmente – introduz a Carteira Europeia de Identidade Digital (EUDI) como um componente obrigatório dos ecossistemas nacionais de identidade digital.

Enquanto o regulamento original lançou as bases para a confiança transfronteiriça, o eIDAS 2 fornece o rascunho para um modelo de identidade digital mais avançado, interoperável, de alta segurança e controlado pelo utilizador em toda a União Europeia.

Um escopo regulatório expandido

O Regulamento eIDAS original (2016) lançou as bases para a identificação eletrônica e os serviços de confiança na UE, mas o seu âmbito de aplicação permaneceu relativamente limitado; não previu a amplitude das interações digitais que agora dependem de mecanismos de identidade e confiança de elevada segurança. Embora a estrutura tenha proporcionado segurança jurídica para assinaturas eletrônicas, selos, carimbos de data/hora e certificados qualificados, ela não abrangeu diversas funcionalidades de serviços de confiança que, desde então, se tornaram essenciais para os modelos de negócios digitais e a interoperabilidade transfronteiriça.

O eIDAS 2 amplia isso significativamente.A regulamentação atualizada reforça o papel dos prestadores de serviços de confiança qualificados (QTSPs) – entidades certificadas para oferecer serviços de confiança seguros e confiáveis – que agora devem cumprir as expectativas de supervisão harmonizadas e alinhadas com a legislação de cibersegurança da UE. Isso inclui padrões de segurança obrigatórios, auditorias regulares, relatórios formais de incidentes e requisitos consistentes para a gestão de chaves e resiliência operacional em toda a União.

Além disso, o eIDAS 2 expandiu o escopo da regra para incluir quatro novos serviços de confiança qualificados:

  1. Serviços de arquivamento eletrônico:Esses serviços oferecem armazenamento seguro e de longo prazo de documentos e dados eletrônicos. Eles garantem que os dados e documentos arquivados permaneçam autênticos e inalterados durante todo o período de retenção, preservando assim sua integridade e valor jurídico.Essa capacidade é essencial para setores como saúde, finanças e setor público, onde a conformidade exige a retenção confiável de dados e documentos sensíveis com integridade garantida ao longo do tempo.
  2. Livros-razão eletrônicos: Esse serviço fornece um registro seguro e imutável de transações e dados. Isso garante que os dados eletrônicos possam ser rastreados e verificados de forma confiável, dando suporte a várias aplicações e casos de uso, como transações financeiras, gerenciamento da cadeia de suprimentos e muito mais.
  3. Gerenciamento de dispositivos remotos de criação de assinaturas e selos eletrônicos (QSCD): Esse serviço de confiança permite que os fornecedores de assinatura eletrônica gerenciem os processos de assinatura e selagem remotamente, mantendo os rigorosos requisitos de segurança associados aos QSCDs. Permite a assinatura e autenticação seguras baseadas na nuvem, oferece suporte ao trabalho remoto e a transações internacionais e amplia a usabilidade de assinaturas qualificadas sem comprometer o controle exclusivo do signatário sobre suas chaves de assinatura.
  4. Emissão de Atestado Eletrônico de Atributos Qualificado: O eIDAS2 introduz o Atestado Eletrônico de Atributos Qualificado (QEAA), que permite que autoridades confiáveis certifiquem a precisão de atributos específicos relacionados a uma pessoa, organização ou dispositivo.Essas informações podem incluir idade, licenças profissionais, qualificações educacionais ou identificadores de conta. Um QEAA assume a forma de uma declaração assinada digitalmente que pode ser armazenado e utilizado em uma Carteira de Identidade Digital da UE, facilitando o compartilhamento de atributos com preservação da privacidade e permitindo a troca de atributos de identidade com alta segurança em toda a UE.

Ao expandir o catálogo de serviços de confiança, o regulamento fortalece a integridade, a segurança e a interoperabilidade do ecossistema de identidade digital e confiança da UE.

O eIDAS 2 também introduz novas obrigações para determinadas partes dependentes do setor privado. Bancos, operadoras de telecomunicações e outros prestadores de serviços de alto valor serão obrigados a aceitar a Carteira de Identidade Digital da UE para casos de uso específicos a partir de 2027. O regulamento incorpora princípios de controle exclusivo do usuário e privacidade desde a concepção, permitindo que os indivíduos divulguem apenas o conjunto mínimo de atributos necessários para uma determinada transação.

Finalmente, essa expansão resolve inconsistências antigas observadas no âmbito do eIDAS 1.0, em que as autoridades nacionais de supervisão interpretavam de forma diferente os requisitos de verificação remota de identidade. Alguns Estados-Membros exigiam o cadastro baseado no QES (por exemplo, a França), outros recorriam a videochamadas ao vivo (por exemplo, a Alemanha), enquanto outros aceitavam a IDV remota em conformidade com o ETSI (por exemplo, a Itália e a Romênia). O eIDAS2 harmoniza essas interpretações e fornece uma estrutura consistente e transfronteiriça para a comprovação de identidade de alta segurança e o uso de serviços de confiança em toda a UE.

A Carteira Europeia de Identidade Digital (Carteira EUDI)

Nos termos do Regulamento eIDAS original (2016), os Estados-Membros podiam notificar voluntariamente os seus sistemas nacionais de identificação eletrônica, tornando esses sistemas legalmente reconhecíveis em toda a UE. Esse modelo voluntário tinha uma limitação crítica:Os países que não possuíam um sistema de identificação eletrônica não eram obrigados a criar um.Como resultado, as taxas de adoção variaram significativamente de estado para estado, e a interoperabilidade transfronteiriça permaneceu desigual.

O eIDAS 2 substitui essa abordagem por uma estrutura obrigatória e harmonizada. Até o final de 2026, cada Estado-Membro deverá emitir pelo menos uma Carteira de Identidade Digital da UE (Carteira EUDI). Essa carteira permitirá que indivíduos e empresas armazenem e gerenciem seus documentos de identidade eletrônicos nacionais, juntamente com atributos e credenciais verificados – como carteiras de motorista, diplomas, qualificações profissionais ou informações de contas bancárias – e os compartilhem de forma segura e seletiva.Isso cria uma identidade digital universal e portátil em toda a Europa.

O objetivo é dar aos europeus o controle total sobre sua identidade digital ao interagir online, permitindo-lhes divulgar apenas o que é estritamente necessário e reduzindo a dependência de sistemas de login fragmentados ou verificações de identidade repetidas. Para casos de uso definidos nos setores público e privado, as partes confiáveis serão obrigadas a aceitar a carteira para autenticação, garantindo uma experiência consistente e confiável em toda a UE.

A carteira EUDI se baseia em três pilares fundamentais:

  1. Segurança: A carteira está em conformidade com a legislação existente da UE sobre proteção de dados e cibersegurança, incluindo o Regulamento Geral de Proteção de Dados (RGPD) e a Diretiva NIS2, incorporando princípios de privacidade desde a concepção e fortes salvaguardas técnicas.
  2. Comodidade:A carteira digital facilita o acesso de cidadãos e residentes a serviços públicos, a candidatura a empregos, a abertura de contas bancárias e a realização de outras atividades transfronteiriças.Eles podem usar essa ferramenta para compartilhar detalhes de identidade com organizações para fins de autenticação. Ela consolida as informações de identidade em uma única ferramenta reutilizável, eliminando a necessidade de múltiplos logins ou etapas repetidas de verificação.
  3. Interoperabilidade: O regulamento estabelece um quadro técnico comum e normas harmonizadas para garantir que as credenciais de identidade digital armazenadas na carteira sejam aceitas em toda a UE.Ao definir especificações comuns para carteiras digitais, provedores de serviços e autoridades públicas, garante-se a interoperabilidade entre os sistemas nacionais.Essa harmonização promove uma abordagem unificada e transfronteiriça à identidade digital, fomentando a confiança e o reconhecimento das credenciais tanto para cidadãos quanto para empresas.

Ao abrigo do eIDAS2, todos os Estados-Membros devem disponibilizar pelo menos uma carteira EUDI aos cidadãos e residentes até dezembro de 2026, o que representa um passo importante rumo a um panorama de identidade digital totalmente interoperável na Europa.

Cronograma do eIDAS 2
ÁreaeIDAS (2016)eIDAS 2 (2024)
EscopoEstrutura harmonizada para sistemas de identificação eletrônica notificados e um conjunto definido de serviços de confiança (assinaturas, selos, carimbos de data/hora, certificados).Amplia o escopo para incluir carteiras de identidade digital da UE (EUDI), QEAAs, arquivamento eletrônico qualificado, registros eletrônicos qualificados e gerenciamento remoto de QSCD, com regras mais detalhadas para a utilização de terceiros e a adoção pelo setor privado.
Reconhecimento das identidades eletrônicasOs documentos de identidade eletrônicos nacionais só são reconhecidos se forem notificados voluntariamente pelo Estado-Membro emissor.Exige que cada Estado-Membro emita pelo menos uma carteira EUDI e aceite carteiras de outros Estados-Membros para casos de uso definidos.
Arquitetura de identidade digitalDependia de sistemas nacionais de identificação eletrônica, com interoperabilidade limitada.Apresenta a estrutura da Carteira de Identidade Digital da UE (EUDI) para cidadãos, residentes e, em alguns casos, empresas, permitindo uma utilização transfronteiriça consistente.
Serviços de confiançaAssinaturas eletrônicas, selos, registros de data e hora e certificados de autenticação de sites definidos e regulamentados.Abrange a inclusão de arquivamento eletrônico, um livro-razão eletrônico qualificado, QEAAs e gerenciamento remoto de QSCD, além de atualizar as regras para os serviços existentes.
Obrigações da parte confianteOs serviços de confiança podiam ser utilizados pelos setores público e privado, mas não existiam obrigações a nível da UE para que as entidades privadas que confiassem nos serviços aceitassem meios específicos de identificação eletrônica.   Introduz a obrigatoriedade de aceitação de carteiras digitais para determinados serviços privados de alto valor (como serviços bancários e de telecomunicações) até 2027.
Controle do usuário e privacidadeControle limitado do usuário sobre os atributos de identidade; depende principalmente de estruturas nacionais e especificidades do serviço.Incorpora o "controle exclusivo do usuário" e a divulgação seletiva ao modelo de carteira, permitindo que os usuários escolham quais atributos compartilhar em uma determinada transação.
Cronograma de implementaçãoAdotada em 2014 e em vigor desde julho de 2016.Entrou em vigor em maio de 2024, com atos de implementação complementares adotados entre a sua entrada em vigor e 2026, emissão obrigatória de carteiras digitais até dezembro de 2026 e aceitação obrigatória por partes interessadas do setor privado a partir de 2027.

Em conjunto, estas alterações transformam o eIDAS de uma estrutura de identidade digital fragmentada para uma abordagem pan-europeia harmonizada, centrada no utilizador e obrigatória, com regras comuns sobre a forma como as identidades digitais e os serviços de confiança são emitidos, verificados e aceitos em toda a UE.

Como o eIDAS 2 se relaciona com o ETSI

O Instituto Europeu de Normas de Telecomunicações (ETSI) é um organismo independente e sem fins lucrativos responsável pelo desenvolvimento de especificações reconhecidas globalmente para tecnologias de informação e comunicação. No âmbito do eIDAS, o ETSI desempenha um papel fundamental:Ela traduz as obrigações legais de alto nível do regulamento em requisitos técnicos precisos e auditáveis. Esse trabalho se reflete em normas como a ETSI TS 119 461 e a série mais abrangente ETSI EN 319, que definem como os serviços de confiança e a comprovação de identidade devem operar na prática.

Com a introdução da Carteira de Identidade Digital da UE no eIDAS 2 e de novos serviços de confiança qualificados, como os QEAAs, o ETSI atualizou e expandiu suas normas para definir a segurança, a interoperabilidade e os controles técnicos necessários para a conformidade. Essas normas servem como a base técnica que garante que os Estados-Membros e os prestadores de serviços de confiança implementem o eIDAS 2 de forma consistente e segura.

A verificação remota de identidade é um componente central do ecossistema eIDAS 2. Para promover a uniformidade em toda a UE, o regulamento é acompanhado por sua norma operacional específica, ETSI TS 119 461 v2.1.1.

A relação entre os dois instrumentos é fundamental:

  • O eIDAS 2 estabelece os requisitos legais para a comprovação de identidade.
  • A ETSI v2 define como esses requisitos devem ser atendidos na prática, por meio de controles técnicos específicos e auditáveis.

O papel da ETSI 119 461 v2: A espinha dorsal técnica

A norma ETSI v2 define os requisitos detalhados para a verificação remota e automatizada de identidade, incluindo:

  • Como os documentos de identidade devem ser validados e verificados, incluindo a consistência da MRZ e da zona visível, e a verificação dos elementos de segurança.
  • Como os dados biométricos devem ser capturados, analisados e protegidos contra falsificação, deepfakes e ataques de apresentação.
  • Como os atributos de identidade e as evidências devem ser comparados entre as fontes.
  • Que provas devem ser retidas para dar suporte a auditorias regulatórias e supervisão?
  • Como deve ser realizado o processo de integração com maior segurança no âmbito do Nível Estendido de Comprovação de Identidade (LoIP)

Ela garante que a verificação de identidade em toda a UE não seja apenas uniforme, mas também tecnicamente rigorosa e resistente aos padrões de fraude modernos.O Regulamento eIDAS já é referenciado pelas diretrizes da Autoridade Bancária Europeia (EBA) para integração remota de clientes, pelas diretivas de combate à lavagem de dinheiro e pelo futuro regulamento de combate à lavagem de dinheiro. Ele também faz parte das expectativas e requisitos de supervisão previstos na PSD2 e em estruturas relacionadas ao combate a crimes financeiros.

Esse alinhamento regulatório tem implicações significativas. A norma ETSI v2 tornou-se a referência operacional para a verificação remota de identidade em toda a Europa, particularmente no setor de serviços financeiros. Um processo de verificação de identidade concebido em conformidade com a ETSI v2 irá, em princípio, satisfazer simultaneamente as obrigações da eIDAS 2, as normas de AML/KYC e as expectativas de supervisão. Para as instituições financeiras, essa convergência reduz a fragmentação e fornece uma estrutura clara e harmonizada para a integração transfronteiriça.

Impacto nos serviços financeiros

A UE está caminhando para uma convergência regulatória entre o eIDAS 2 e as estruturas de Combate à Lavagem de Dinheiro (AML), criando uma abordagem unificada para a verificação remota de identidade (IDV). Esse alinhamento torna o processo de integração certificado pela ETSI o padrão ouro, garantindo segurança jurídica e interoperabilidade em todos os Estados-Membros da UE.

Para instituições financeiras, como bancos, provedores de pagamento e instituições financeiras regulamentadas, a introdução do eIDAS 2 significa, portanto, uma estrutura harmonizada para a integração de clientes além-fronteiras. A convergência proporciona:

  • Reduzir os custos de conformidade:Um único processo de IDV certificado pela ETSI permite que os provedores de serviços financeiros atendam às obrigações originadas de múltiplas estruturas regulatórias (eIDAS, AMLD6, PSD2), reduzindo a duplicação e simplificando a preparação de auditorias.
  • Interoperabilidade transfronteiriça:Os processos de integração em conformidade com a ETSI são reconhecidos em todos os Estados-Membros da UE, permitindo uma integração consistente e uma expansão simplificada para novos mercados.
  • Prevenção e segurança contra fraudes aprimoradas:A ETSI v2 introduz controles rigorosos de integridade biométrica e anti-falsificação, mitigando os riscos associados a deepfakes e ataques de apresentação sofisticados – agora críticos em ambientes de transação de alto risco.

Nesse contexto, as instituições financeiras precisam se preparar para a conformidade gradual:

Cronograma do eIDAS 2

Um prestador de serviços fiduciários (TSP) é uma pessoa jurídica ou física que presta um ou mais serviços fiduciários ao abrigo do eIDAS e é supervisionado por uma autoridade nacional.Sua função é garantir que as interações digitais – desde a assinatura e autenticação de documentos até o registro de data e hora ou a transmissão de informações confidenciais – sejam seguras, autênticas e juridicamente confiáveis.Os TSPs também mantêm a confidencialidade e o non-repudiation das informações e permitem a autenticação de sites ou signatários.

Seus serviços fornecem os mecanismos para verificar a autenticidade e a integridade de documentos eletrônicos, identidades e comunicações. Eles são um componente central da estrutura eIDAS2, garantindo que as interações online e digitais alcancem os mesmos níveis de segurança e eficácia jurídica que os processos tradicionais em papel. Quando um prestador de serviços satisfaz os requisitos mais rigorosos e é formalmente acreditado, torna-se um Prestador de Serviços Fiduciários Qualificado (QTSP) e pode prestar serviços fiduciários qualificados que têm efeitos jurídicos específicos em toda a UE.

No âmbito do eIDAS 2, os serviços de confiança incluem tanto aqueles estabelecidos ao abrigo do Regulamento eIDAS original como uma série de novos serviços concebidos para dar resposta às necessidades em constante evolução da identidade digital.Isso inclui:

  1. Assinaturas eletrônicas para indivíduos

    Uma assinatura eletrônica permite que indivíduos assinem documentos digitalmente com garantias de integridade e autenticidade, ou seja, fornece uma maneira segura e verificável de garantir que o signatário é quem afirma ser e que o documento não foi alterado desde que a assinatura foi aplicada. O regulamento classifica essas assinaturas em três níveis: Assinatura eletrônica simples: Oferece segurança básica adequada para casos de uso de baixo risco. Assinatura eletrônica avançada: Fornece um nível mais alto de segurança ao vincular a assinatura exclusivamente ao signatário e permitir a detecção de quaisquer alterações feitas nos dados assinados. Assinatura eletrônica qualificada (QES): Emite o mais alto nível de segurança e tem o mesmo efeito legal que uma assinatura manuscrita. Deve ser criada utilizando um dispositivo de criação de assinatura qualificado (QSCD) e respaldada por um certificado qualificado emitido por um provedor de serviços de confiança qualificado (QTSP).Os QSCDs normalmente dependem de hardware criptográfico seguro, como um módulo de segurança de hardware (HSM), que passou por um processo de certificação eIDAS.

     

  2. Selos eletrônicos (ESeals)

    Os selos eletrônicos funcionam de forma semelhante às assinaturas, mas são usados por entidades jurídicas (por exemplo, empresas) em vez de indivíduos.Eles são amplamente utilizados para faturas, comunicações oficiais e documentação de conformidade. De acordo com o eIDAS2, os selos confirmam a origem e a integridade de um documento, verificando se ele foi emitido por uma entidade específica e se não foi alterado. Semelhantes às assinaturas eletrônicas, eles podem ser simples, avançados ou qualificados.

     

  3. Carimbos eletrônico de data e hora

    Um carimbo de data e hora comprova que um documento eletrônico específico ou um dado existiu em um determinado momento e não foi alterado desde então. É uma forma segura de estabelecer a origem da criação, submissão ou recebimento de documentos, adicionando mais uma camada de integridade e confiança. O eIDAS 2 reforça os requisitos de registro de data e hora para fornecer evidências verificáveis e de longo prazo de que os dados existiam em um momento específico, preservando sua integridade. É utilizado principalmente em setores como finanças, saúde e serviços jurídicos.Os registros de data e hora eletrônicos podem ser qualificados ou não qualificados.

     

  4. Certificados de autenticação de site qualificados (QWACs)

    Resumindo, um QWAC é um arquivo que comprova a autenticidade de um dispositivo, servidor, usuário ou entidade usando criptografia de chave pública. Ele contém uma cópia de uma chave pública do titular do certificado, que deve ser associado a uma chave privada correspondente para verificar a proveniência. É o equivalente europeu de um certificado TLS/SSL público. No âmbito do eIDAS 2, os QWACs continuam sendo essenciais para construir confiança entre os usuários e os serviços online, especialmente as instituições financeiras e os portais governamentais.

     

  5. Serviço eletrônico de entrega registrada qualificado (ERDS)

    Um ERDS garante a transmissão eletrônica segura de dados com comprovante de envio e recebimento, oferecendo segurança jurídica semelhante à do correio registrado. Ele é crucial para comunicações sensíveis, como contratos, documentos regulatórios e notificações oficiais. O eIDAS 2 aprimora a interoperabilidade do ERDS por meio das normas ETSI, harmonizando as abordagens regulatórias para mensagens seguras transfronteiriças.

     

  6. Atestado eletrônico de atributos qualificado (QEAA)

    Um QEAA permite a verificação confiável de atributos pessoais ou organizacionais, como nome, idade, qualificações profissionais ou licenças. Este serviço oferece suporte aos processos de verificação de identidade e KYC sem expor dados pessoais desnecessários, graças à divulgação seletiva. Ele certifica atributos de identidade para interações baseadas em carteiras digitais e, como tal, é um pilar fundamental para a identidade digital com preservação da privacidade no ecossistema da Carteira EUDI.

     

  7. Arquivamento eletrônico de documentos digitais

    Esse serviço garante a preservação a longo prazo de documentos eletrônicos, com garantias de integridade e autenticidade. Ele atende à crescente necessidade de armazenamento digital seguro em setores com alta exigência de conformidade, como saúde, finanças e governo. O arquivamento sob o eIDAS2 exige o uso de métodos criptográficos para manter a confiança ao longo do tempo.

     

  8. Serviços de livros-razão eletrônicos

    Os livros-razão eletrônicos proporcionam um armazenamento imutável de dados usando blockchain ou tecnologias semelhantes. Eles permitem trilhas de auditoria transparentes e invioláveis para transações financeiras, gerenciamento da cadeia de suprimentos e relatórios regulatórios. Ao introduzir este serviço, o eIDAS2 apoia modelos de confiança descentralizados e estruturas de conformidade à prova de futuro.

     

  9. Gerenciamento remoto de QSCDs

    O gerenciamento remoto de QSCD permite o controle remoto seguro de dispositivos de criação de assinaturas, possibilitando assinaturas eletrônicas qualificadas (QES) e selos sem presença física. Essa inovação apoia o trabalho remoto e a transformação digital, mantendo os mais altos padrões de segurança. Ela é particularmente relevante para operações comerciais transfronteiriças e soluções de assinatura baseadas na nuvem.

A introdução do eIDAS 2 representa uma mudança significativa na forma como os serviços de identidade digital e de confiança funcionam em toda a UE. Até 2026, todos os Estados-Membros deverão ser compatíveis com a Carteira EUDI, e as organizações em setores regulamentados – incluindo serviços financeiros, telecomunicações e saúde – precisarão cumprir novos requisitos para verificação de identidade e serviços de confiança.

Os caminhos para a conformidade variam dependendo do papel da organização no ecossistema de identidade digital. Os requisitos diferem entre as partes confiantes – empresas da UE que utilizam serviços de verificação de identidade e de confiança – e os prestadores de serviços de confiança (TSPs), que emitem esses serviços sob supervisão regulamentar.

Empresas da UE

Para empresas da UE que utilizam a verificação de identidade como parte dos seus fluxos de integração ou transação, a conformidade exigirá cada vez mais o alinhamento com o ETSI TS 119 461 v2 e com o modelo de autenticação baseado em carteira introduzido pelo eIDAS2. Na prática, isso significa:

  • Implementar processos robustos de verificação remota de identidade com integridade biométrica, resistência a falsificação e verificação de autenticidade de documentos.
  • Integrar assinaturas eletrônicas qualificadas ou certificadas  onde legalmente exigido
  • Preparar sistemas para aceitar autenticação baseada em carteira EUDI e Atestados Eletrônicos Qualificados de Atributos (QEAAs)

Essas alterações garantem que as partes confiáveis apoiem um modelo de verificação consistente e de alta confiabilidade em toda a UE.

Provedores de serviço de confiança

Para os prestadores de serviços de confiança, a conformidade exige a operação de QSCDs, infraestruturas de PKI e plataformas de serviços de confiança de acordo com os requisitos técnicos e de supervisão definidos no âmbito do eIDAS e das normas ETSI relevantes.

Isso inclui:

  • Geração e armazenamento seguros de chaves de assinatura em QSCDs
  • Acesso rigorosamente controlado às funcionalidades de assinatura e selagem.
  • Registro, retenção e arquivamento confiáveis de evidências.
  • Uma estrutura organizacional e de segurança capaz de passar por auditorias de supervisão e cumprir as obrigações de notificação de incidentes.

Os TSPs devem usar QSCDs certificados para criar assinaturas eletrônicas qualificadas. Esses dispositivos garantem que os dados de criação de assinaturas – como chaves privadas – sejam gerados, gerenciados e armazenados em um ambiente seguro, impedindo acesso não autorizado.

Os provedores de serviços também devem implementar uma infraestrutura de chave pública (PKI) robusta para gerenciar certificados digitais e chaves criptográficas. A PKI sustenta a emissão, distribuição e verificação seguras de certificados digitais, garantindo a confiabilidade em assinaturas eletrônicas e outros serviços de confiança.Portanto, os TSPs devem manter práticas de gerenciamento de chaves em conformidade, controles de ciclo de vida seguros e alinhamento com todos os requisitos aplicáveis do eIDAS.

Sistemas eficazes de gerenciamento de identificação e acesso (IAM) são igualmente essenciais para que os TSPs gerenciem as identidades dos usuários e controlem o acesso aos seus serviços. Esses sistemas devem incorporar métodos de autenticação fortes, como autenticação multifator (MFA), para verificar as identidades dos usuários. As soluções de IAM também podem garantir que somente indivíduos e pessoal autorizados possam realizar operações confidenciais, como emitir certificados ou criar assinaturas eletrônicas.

Em ambos os casos, a mudança introduzida pelo eIDAS 2 diz respeito não apenas às ferramentas que as organizações utilizam, mas também à forma como essas ferramentas são geridas, testadas e demonstradas aos reguladores. O alinhamento com a norma ETSI TS 119 461 v2 e com as normas ETSI mais abrangentes proporciona o caminho mais claro e auditável para demonstrar que a verificação de identidade e as operações de serviços de confiança cumprem o novo nível de garantia harmonizado esperado em toda a UE.

Como membro fundador do Cloud Signature Consortium e líder de longa data em PKI, infraestrutura de confiança e cibersegurança, a Entrust ajuda as organizações a atender aos requisitos em evolução do eIDAS 2.

Nossas soluções se integram perfeitamente aos fluxos de trabalho de integração KYC e AML e oferecem suporte às práticas robustas de verificação de identidade, centradas na privacidade, exigidas pela eIDAS 2 e pelas regulamentações do setor financeiro.

A Entrust fornece verificação de identidade alinhada com a ETSI que combina verificação de documentos, verificações biométricas e inteligência de dispositivos em um fluxo de trabalho eficiente e automatizado. Essas funcionalidades ajudam a viabilizar um processo de integração remota seguro e confiável, sem a necessidade de videochamadas ou processamento manual, mantendo-se em conformidade com os requisitos do GDPR e da ETSI. Elas também apoiam a interoperabilidade transfronteiriça, permitindo que as organizações operem de forma consistente em todos os Estados-Membros da UE.

Além disso, a liderança da Entrust em PKI e infraestrutura de confiança ajuda os clientes a construir e operar serviços de confiança digital em conformidade com as normas, sobre uma base segura e escalável. Nossa tecnologia oferece suporte a organizações que buscam implementar fluxos de trabalho de assinatura digital ou outras arquiteturas de serviços de confiança de maneiras que estejam alinhadas com as expectativas técnicas refletidas no IDAS 2. Com o Entrust, as organizações podem entrar com confiança na era do eIDAS 2, apoiadas por recursos de infraestrutura de confiança e verificação de identidade confiáveis, interoperáveis e preparadas para o futuro.