eIDAS 2.0: Qué cambia para el QES en 2025-2026

¿Qué es eIDAS 2.0?

eIDAS 2.0 se refiere al Reglamento (UE) 2024/1183, que modifica el Reglamento eIDAS original (910/2014) que rige la identificación electrónica y los servicios de confianza en toda la UE desde 2016. Piensa en él como eIDAS 2.0, una versión mejorada que aborda las limitaciones descubiertas durante los primeros ocho años de aplicación.

¿Por qué era necesaria una actualización?

El reglamento eIDAS original logró un éxito notable al crear un marco jurídico para la firma electrónica reconocida y la confianza digital transfronteriza. Sin embargo, surgieron lagunas:

Adopción limitada de los sistemas nacionales de identificación electrónica

En 2021, sólo el 59% de los residentes en la UE podrían utilizar una identidad electrónica de confianza para acceder a servicios en línea transfronterizos. Los Estados miembros podían notificar voluntariamente los sistemas nacionales de identificación electrónica, pero muchos no crearon sistemas completos, lo que dio lugar a la fragmentación.

Aplicación incoherente

Los organismos nacionales de supervisión y las organizaciones de evaluación de la conformidad interpretaron los requisitos del eIDAS de forma diferente, creando distintos niveles de seguridad y normas de confianza en los distintos Estados miembros. Un proveedor de firma cualificado certificado en Alemania podría enfrentarse a requisitos diferentes que uno en Italia.

Lagunas tecnológicas

El reglamento de 2014 no preveía cómo los teléfonos inteligentes se convertirían en el principal dispositivo de identidad digital. La creación de firmas cualificadas a distancia era posible pero engorrosa, y requería tokens USB o tarjetas inteligentes en lugar de soluciones móviles integradas.

Alcance limitado de los servicios fiduciarios

Los servicios de confianza como el archivo electrónico, los libros de contabilidad electrónicos y la gestión de firmas electrónicas remotas no estaban cubiertos adecuadamente, a pesar de la creciente demanda empresarial de estas capacidades.

El cambio de juego: Carteras Europeas de Identidad Digital (EUDIW)

La pieza central del eIDAS 2.0 es la Cartera Europea de Identidad Digital,una aplicación móvil que cambiará radicalmente la forma en que los europeos demuestran su identidad y firman documentos digitalmente.

¿Qué es el EUDIW?

El Billetero Europeo de Identidad Digital es una aplicación para smartphone (u otro dispositivo personal) que permite a los usuarios:

• Almacena y gestiona documentos de identidad digitales: DNI, carnés de conducir, cualificaciones profesionales, títulos educativos, tarjetas de seguro médico, etc.
• Demuestra tu identidad sin revelar datos innecesarios: Por ejemplo, demuestra que tienes más de 18 años sin mostrar tu fecha de nacimiento exacta ni tu nombre completo
• Crea firmas electrónicas cualificadas directamente desde tu teléfono: Sin necesidad de aplicaciones separadas, tokens USB o dispositivos físicos
• Accede a servicios públicos y privados: Portales gubernamentales, aplicaciones bancarias, plataformas de comercio electrónico y aplicaciones empresariales
• Utiliza el mismo monedero en todos los países de la UE: Tu monedero belga funciona sin problemas en España, Alemania, Italia o cualquier otro Estado miembro

Emisión obligatoria por los Estados miembros

A diferencia del eIDAS original, en el que los sistemas nacionales de identificación electrónica eran voluntarios, el eIDAS 2.0 exige a los 27 Estados miembros de la UE que expidan carteras de identidad digital a los ciudadanos que las soliciten. Este mandato garantiza la disponibilidad universal en toda la Unión.

Los Estados miembros tienen hasta 24 meses tras la adopción de las especificaciones técnicas (Actos de Ejecución) para proporcionar estos monederos. Según el artículo 5 bis, la Comisión Europea debe establecer las normas técnicas y los requisitos de certificación antes del 21 de noviembre de 2024, lo que significa que el despliegue de los monederos debería comenzar en 2025, y la plena disponibilidad está prevista para 2026.

El sector privado debe aceptar el DIUE

El eIDAS 2.0 va más allá al exigir a las grandes plataformas en línea que acepten el EUDIW para verificar la identidad. Esto incluye:

• Plataformas de medios sociales
• Mercados de comercio electrónico
• Servicios en la nube
• Plataformas de economía colaborativa
• Proveedores de servicios financieros

Esta aceptación obligatoria garantiza que las empresas no puedan crear silos de identidad propietarios, promoviendo la interoperabilidad y la elección del usuario en toda la economía digital.

Repercusión en las firmas electrónicas reconocidas

Para las empresas y los particulares que utilizan actualmente firmas electrónicas reconocidas, eIDAS 2.0 aporta tanto oportunidades como nuevas consideraciones.

Tu Smartphone se convierte en un QSCD

Uno de los cambios técnicos más transformadores: EUDIW incluye la funcionalidad de Dispositivo Cualificado de Creación de Firma (QSCD) integrada en el monedero. Esto significa que

• No necesitas hardware externo: Olvídate de tokens USB, tarjetas inteligentes o dispositivos criptográficos independientes
• Almacenamiento seguro de claves en el enclave del dispositivo: Tus claves de firma privadas permanecen protegidas por el hardware seguro de tu smartphone
• Autenticación biométrica: Utiliza la huella dactilar o el reconocimiento facial para autorizar firmas
• Creación instantánea de firma reconocida: De la recepción del documento al documento firmado en menos de un minuto

Los métodos QES existentes siguen funcionando

La introducción de EUDIW no invalida los métodos QES actuales. Los proveedores de servicios de confianza cualificados, como los que se ofrecen a través de plataformas como QES-Sign (itsme, Evrotrust, Adacom), seguirán funcionando y seguirán cumpliendo plenamente el eIDAS 2.0.

Requisitos de seguridad reforzados

eIDAS 2.0 introduce requisitos técnicos y operativos más estrictos para los servicios de confianza cualificados, entre los que se incluyen:

• Evaluación de la conformidad armonizada: Criterios de evaluación más coherentes en todos los Estados miembros
• Notificación obligatoria de incidentes: Los QTSP deben informar de las violaciones de seguridad a las autoridades supervisoras en plazos específicos
• Supervisión reforzada: Los organismos nacionales de supervisión reciben poderes adicionales para garantizar el cumplimiento
• Auditorías periódicas: Evaluaciones de conformidad más frecuentes para mantener el estatus cualificado

Nuevos servicios fiduciarios

eIDAS 2.0 amplía los servicios fiduciarios cualificados para incluir:

Archivo Electrónico Cualificado

Garantiza que los documentos sigan siendo legibles, auténticos y legalmente válidos durante décadas, algo crucial para los contratos con largos requisitos de conservación.

Libros electrónicos cualificados

Proporciona registros a prueba de manipulaciones de datos o transacciones a lo largo del tiempo, apoyando el cumplimiento normativo y las pistas de auditoría.

Gestión de Firmas y Sellos Electrónicos Remotos

Formaliza la creación de QES a distancia (como los métodos actuales) con normas técnicas y requisitos de seguridad más claros.

Calendario de aplicación: Qué ocurre cuándo

El despliegue del eIDAS 2.0 sigue un enfoque por fases con plazos específicos:

Qué significa esto para las distintas partes interesadas

Para empresas que utilizan el EQS

Si tu organización utiliza actualmente firmas electrónicas reconocidas, ten en cuenta estas implicaciones:

Oportunidades

• Mayor adopción por parte de clientes y socios: Cuando todo el mundo tiene EUDIW, solicitar QES a las contrapartes se convierte en algo sin fricciones.
• Incorporación simplificada: Los nuevos empleados o socios comerciales pueden firmar inmediatamente sin descargas de aplicaciones ni selección de proveedores.
• Reducción de la carga de soporte: Los monederos gubernamentales reducen los tickets de soporte de «¿cómo firmo?
• Mayor seguridad: Las normas unificadas en toda la UE mejoran la confianza y la seguridad generales

Acciones

• Actualiza los sistemas de aceptación: Asegúrate de que tus sistemas de gestión de documentos y de verificación de firmas pueden reconocer las firmas reconocidas creadas por EUDIW
• Formar al personal: Preparar a los equipos para los métodos duales QES durante el periodo de transición 2025-2026
• Revisa los contratos: Verifica la hoja de ruta de cumplimiento de eIDAS 2.0 de tu proveedor de QES y actualiza los acuerdos de servicio
• Supervisa los Actos de Ejecución: Mantente informado sobre las especificaciones técnicas publicadas por la Comisión Europea

Para proveedores de QES (QTSP)

Los proveedores de servicios fiduciarios cualificados se enfrentan tanto a retos como a oportunidades:

• Coexistencia con EUDIW: Los proveedores operarán junto con los monederos de las Administraciones Públicas, centrándose en servicios de valor añadido como la automatización del flujo de trabajo, la firma masiva, la integración de API y la compatibilidad con múltiples métodos.
• Mayores requisitos de conformidad: Las evaluaciones de conformidad más estrictas y la supervisión continua requieren una mayor inversión en gestión de la seguridad y la calidad
• Nuevas oportunidades de servicio: Los servicios de confianza ampliados (archivo, libros de contabilidad, gestión remota de firmas) crean fuentes de ingresos adicionales
• Normas de interoperabilidad: Deben garantizar que las firmas funcionen a la perfección con EUDIW y otros proveedores

Para los Departamentos de RRHH

Los equipos de recursos humanos experimentarán importantes mejoras en el flujo de trabajo:

Para particulares

Los ciudadanos de la UE adquieren un control sin precedentes sobre su identidad digital:

• Acceso universal al QES: No necesitas buscar proveedores, comparar opciones ni pagar cuotas de alta: tu gobierno te proporciona el monedero.
• Privacidad por diseño: Comparte sólo la información necesaria (demuestra que tienes más de 18 años sin revelar tu fecha de nacimiento exacta)
• Una app para todo: verificación de identidad, firma de documentos, almacenamiento de credenciales y acceso a servicios en una única interfaz
• Reducción de la dependencia de plataformas privadas: La identidad emitida por el gobierno reduce la dependencia de los sistemas de inicio de sesión de las empresas tecnológicas

Preocupaciones y preguntas abiertas

A pesar de su promesa, el eIDAS 2.0 se enfrenta a críticas y retos sin resolver:

Cuestiones de protección de datos

Los defensores de la privacidad han expresado su preocupación por el EUDIW:

• Potencial de vigilancia: Los sistemas de identidad centralizados podrían permitir el seguimiento de las actividades de los ciudadanos si se diseñan incorrectamente
• Retención de datos poco clara: ¿Cuánto tiempo pueden permanecer los datos en los monederos digitales? ¿Qué ocurre con las credenciales de identidad archivadas?
• No hay salvaguardias explícitas contra el uso indebido: Los críticos argumentan que el reglamento carece de prohibiciones firmes contra el uso de los datos de la cartera para publicidad o elaboración de perfiles

Requisitos de seguridad

Los expertos en seguridad informática señalan que el eIDAS 2.0 no define normas de seguridad específicas para la implantación de monederos electrónicos: éstas se establecerán mediante Actas de Implantación. Hasta que se publiquen las especificaciones técnicas, sigue habiendo dudas:

• Algoritmos criptográficos necesarios para las firmas cualificadas en los monederos
• Protección contra el malware en los smartphones de los consumidores
• Mecanismos de recuperación si se pierde el acceso al monedero
• Prevención de la clonación o extracción no autorizada de claves

Aplicación coherente

El eIDAS original adolecía de una interpretación incoherente entre los Estados miembros. Aunque el eIDAS 2.0 pretende solucionar este problema mediante especificaciones técnicas más detalladas, sigue siendo difícil lograr una verdadera armonización en los 27 países.

Requisitos de aceptación del sector privado

Aunque las grandes plataformas online deben aceptar el EUDIW, el reglamento no especifica los detalles técnicos de la integración. Siguen existiendo dudas al respecto:

• Coste y complejidad de la integración para las empresas
• Responsabilidad al aceptar credenciales de monedero
• Procesos de verificación de la validez de la firma
• Mecanismos de emergencia si los sistemas de monedero no están disponibles

Comparación: eIDAS 1.0 frente a eIDAS 2.0

Entender qué ha cambiado ayuda a las empresas a planificar su transición:

Prepararse para el eIDAS 2.0: Pasos prácticos

Las empresas deben empezar a prepararse ahora, aunque falten entre 18 y 24 meses para la plena aplicación:

Acciones inmediatas (2024-2025)

1. Evalúa el uso actual de la firma cualificada: Documenta qué procesos utilizan firmas cualificadas, identifica a las partes interesadas y mapea los flujos de trabajo.
2. Verifica el cumplimiento del proveedor: Confirma que tu proveedor de QES está preparado para eIDAS 2.0 y el calendario para admitir las firmas EUDIW
3. Revisar la arquitectura de los sistemas: Garantizar que los sistemas de gestión de documentos y verificación de firmas puedan manejar múltiples fuentes de QES (QTSP tradicionales y EUDIW).
4. Vigila las normas técnicas: Vigila los Actos de ejecución publicados por la Comisión Europea, en particular las especificaciones sobre carteras.
5. Presupuesta las actualizaciones: Asigna recursos para las modificaciones del sistema, la formación del personal y el posible trabajo de integración

Durante el despliegue (2025-2026)

1. Prueba piloto de aceptación de EUDIW: Prueba las firmas basadas en monederos en procesos no críticos una vez que tu estado miembro ponga en marcha EUDIW
2. Actualiza la documentación: Revisar los procedimientos de firma, las guías de usuario y el material de preguntas frecuentes para reflejar los métodos duales.
3. Formar al personal: Asegurarse de que los equipos comprenden tanto la EQS tradicional como las firmas basadas en la EUDIW.
4. Comunícate con las partes interesadas: Informar a clientes, socios y empleados sobre las nuevas opciones de firma
5. Prueba los procesos de verificación: Valida que tus sistemas verifican correctamente las firmas de ambas fuentes

Post-Implantación (2027+)

1. Controla los índices de adopción: Haz un seguimiento de los métodos de firma que prefieren las partes interesadas y optimiza los flujos de trabajo en consecuencia.
2. Evaluar la estrategia del proveedor: Evaluar si el uso continuado de los QTSP tradicionales aporta valor o si el EUDIW satisface la mayoría de las necesidades.
3. Aprovecha los nuevos servicios fiduciarios: Explora el archivado cualificado, los libros de contabilidad y la gestión remota de firmas para obtener ventajas adicionales de cumplimiento.
4. Revisar la estructura de costes: Comparar los gastos con el nuevo ecosistema y ajustar las estrategias de adquisición

Puntos clave

• eIDAS 2.0 ya es ley: El Reglamento (UE) 2024/1183 entró en vigor el 20 de mayo de 2024, estableciendo el marco legal para los Billetes de Identidad Digital Europeos y los servicios de confianza mejorados en toda la UE.
• EUDIW transforma la accesibilidad de la FEC: Para 2026, todos los ciudadanos de la UE tendrán acceso a carteras de identidad digital emitidas por el gobierno, capaces de crear firmas electrónicas reconocidas directamente desde teléfonos inteligentes, sin necesidad de aplicaciones externas ni hardware.
• La aceptación obligatoria crea interoperabilidad: Las grandes plataformas en línea deben aceptar el EUDIW para la verificación de la identidad, y todos los Estados miembros deben emitir monederos para los ciudadanos que lo soliciten, garantizando la disponibilidad universal y la funcionalidad transfronteriza.
• Los métodos QES existentes siguen siendo válidos: Los Prestadores Cualificados de Servicios de Confianza y los métodos de firma actuales siguen funcionando junto con el EUDIW durante el periodo transitorio y después, proporcionando a las empresas múltiples opciones conformes.
• La preparación debe empezar ahora: Aunque faltan entre 18 y 24 meses para la plena implantación, las empresas deben evaluar los sistemas actuales, verificar el cumplimiento de los proveedores y planificar la aceptación de firmas tanto de los QTSP tradicionales como de las fuentes EUDIW.
• Mayor seguridad y nuevos servicios: eIDAS 2.0 introduce requisitos de conformidad más estrictos para los servicios de confianza cualificados y amplía la cobertura para incluir el archivo electrónico, los libros de contabilidad y la gestión remota de firmas, creando nuevas oportunidades de cumplimiento y de negocio.

Preguntas frecuentes

¿Cuándo sustituirá totalmente eIDAS 2.0 a eIDAS 1.0?

El eIDAS 2.0 no sustituye al reglamento original, sino que lo modifica. El Reglamento (UE) 2024/1183 entró en vigor el 20 de mayo de 2024, pero su aplicación es escalonada. El despliegue del EUDIW debe comenzar en 2025, y la disponibilidad universal está prevista para 2026. Muchas disposiciones coexistirán con los sistemas existentes durante una transición de varios años.

¿Seguirá funcionando mi actual proveedor de QES después de eIDAS 2.0?

Sí. Los proveedores de servicios de confianza cualificados, como los que se ofrecen a través de QES-Sign (itsme, Evrotrust, Adacom), siguen funcionando y siguen siendo plenamente conformes. eIDAS 2.0 añade EUDIW como método QES adicional, pero no invalida los enfoques existentes. Muchas empresas utilizarán ambos sistemas durante la transición y potencialmente después.

¿Tengo que esperar a que EUDIW utilice firmas cualificadas?

En absoluto. Sigue utilizando firmas electrónicas reconocidas a través de los proveedores actuales. La EUDIW no estará ampliamente disponible hasta 2026, y las empresas necesitan soluciones de firma electrónica reconocida hoy. Las plataformas que ofrecen QES de pago por uso (como QES-Sign, a partir de 5 euros por firma) proporcionan acceso inmediato sin suscripciones ni compromisos a largo plazo.

¿Cuánto costará el Billetero Europeo de Identidad Digital?

Los Estados miembros proporcionarán gratuitamente el EUDIW a los ciudadanos. Esto se indica explícitamente en el eIDAS 2.0. Los ciudadanos que soliciten un monedero de identidad digital no deberán pagar tasas por el monedero en sí, aunque los servicios específicos a los que se acceda a través del monedero pueden tener costes asociados determinados por los proveedores de servicios.

¿Y si alguien no quiere un monedero de identidad digital?

El EUDIW es voluntario para los ciudadanos: nadie está obligado a solicitar o utilizar una cartera de identidad digital. Los métodos tradicionales de identificación (documentos de identidad físicos, pasaportes) siguen siendo válidos. Sin embargo, las empresas y plataformas pueden preferir o exigir cada vez más la verificación de la identidad digital para los servicios en línea, lo que hace que el EUDIW sea muy beneficioso aunque no sea obligatorio.

¿Funcionará el EUDIW en países no pertenecientes a la UE?

EUDIW está diseñado principalmente para su uso dentro de la UE, el EEE y, potencialmente, países con acuerdos de equivalencia. Para operaciones verdaderamente globales que requieran EQT en países como Estados Unidos, China, Brasil o Australia, las empresas deben seguir utilizando EQT con amplia cobertura geográfica, como Adacom (68 países) o Evrotrust (58 países).

¿Hasta qué punto es seguro crear QES en un smartphone?

EUDIW utilizará enclaves seguros de smartphone (como iOS Secure Enclave o Android StrongBox) para proteger las claves de firma privadas, combinadas con autenticación biométrica. Estas características de seguridad basadas en hardware cumplen los requisitos QSCD del eIDAS. Las especificaciones técnicas publicadas a través de los Actos de Aplicación definirán las normas de seguridad exactas para la implementación de los monederos.

¿Pueden las empresas crear sus propios monederos digitales de identidad?

No. Sólo los Estados miembros pueden emitir Monederos Europeos de Identidad Digital con arreglo al eIDAS 2.0. Las empresas privadas pueden desarrollar el software del monedero (los Estados miembros pueden subcontratar el desarrollo), pero la emisión, certificación y supervisión siguen siendo responsabilidad del gobierno. Esto garantiza la confianza, la seguridad y la interoperabilidad transfronteriza.

Conclusión

eIDAS 2.0 representa la evolución más significativa en los servicios europeos de identidad digital y confianza desde el reglamento original lanzado en 2016. La introducción de las Carteras Europeas de Identidad Digital transformará las firmas electrónicas cualificadas, que pasarán de ser una herramienta empresarial especializada a una capacidad ubicua accesible a todos los ciudadanos de la UE a través de su smartphone.

Para las empresas que actualmente utilizan QES, esta evolución ofrece enormes oportunidades: mayor adopción entre socios y clientes, procesos de incorporación simplificados, menor fricción en las transacciones transfronterizas y mayor seguridad mediante normas armonizadas. En el periodo de transición entre 2025 y 2027 funcionarán simultáneamente los métodos tradicionales basados en el QTSP y las nuevas firmas EUDIW, lo que dará a las organizaciones flexibilidad para adaptarse.

La clave del éxito es la preparación. Comprender los plazos, evaluar tus sistemas actuales, verificar la conformidad de los proveedores y planificar la aceptación del método dual situará a tu organización en una posición que le permitirá aprovechar las ventajas del eIDAS 2.0 y mantener ininterrumpidas las capacidades del EQ durante la transición.

Aunque siguen existiendo retos -sobre todo en torno a las garantías de privacidad, las especificaciones de seguridad y la aplicación coherente en todos los Estados miembros-, el objetivo fundamental del eIDAS 2.0 es claro: crear un mercado único digital verdaderamente unificado en el que las identidades electrónicas y las firmas cualificadas funcionen sin problemas a través de fronteras, plataformas y casos de uso.

Tanto si eres un responsable de RRHH que firma contratos de trabajo, un abogado que ejecuta documentos legales o un empresario que negocia acuerdos internacionales, eIDAS 2.0 hará que las firmas electrónicas cualificadas sean más accesibles, más seguras y estén más integradas en la vida digital europea cotidiana.