Una introducción a eIDAS 2

Las firmas electrónicas se han convertido en una parte habitual de los negocios en toda Europa. Contratos, documentos de recursos humanos y acuerdos con proveedores ahora suelen firmarse digitalmente, en lugar de en papel.

Pero no todas las firmas electrónicas tienen la misma validez legal. Algunas son simples confirmaciones vinculadas a una dirección de correo electrónico, mientras que otras implican comprobaciones de identidad verificadas, lo que las convierte en equivalentes legales de una firma manuscrita.

Durante más de una década, estas diferencias entre firmas electrónicas y su peso legal han estado reguladas por la normativa de la Unión Europea sobre Identificación Electrónica, Autenticación y Servicios de Confianza (eIDAS). La normativa original creó un marco jurídico común para la identificación electrónica y los servicios de confianza entre los Estados miembros de la UE.

eIDAS 2.0, formalmente Reglamento (UE) 2024/1183, actualiza la normativa original e introduce un nuevo sistema basado en carteras de identidad digital. Si tu empresa utiliza plataformas de firma electrónica, o lo hará en el futuro, este cambio es relevante porque transformará, poco a poco, la forma en que se crean y verifican las formas más seguras de firma electrónica en toda Europa.

¿Qué es eIDAS 2.0?

eIDAS 2.0 es el marco actualizado de la Unión Europea para la identidad digital, las firmas electrónicas y los servicios de confianza.

El cambio más importante introducido por eIDAS 2.0 es la incorporación de la Cartera de Identidad Digital Europea (EUDI Wallet). Según la normativa:

• Cada Estado miembro de la UE debe proporcionar al menos una cartera digital que los ciudadanos puedan utilizar en un dispositivo móvil.
• La identidad se verifica una sola vez al emitir la cartera, en vez de repetirse con cada proveedor de servicios.
• Las credenciales verificadas pueden reutilizarse en diferentes servicios y países, permitiendo a las personas confirmar su identidad o compartir información oficial cuando sea necesario.

Para las empresas, el modelo de cartera crea una nueva base operativa para las interacciones digitales. En lugar de depender de comprobaciones de identidad específicas de cada proveedor, las organizaciones interactuarán cada vez más con identidades digitales portátiles y verificadas que podrán presentarse en diferentes plataformas.

Por qué se actualiza la normativa eIDAS original

La normativa eIDAS original, adoptada en 2014, estableció estándares legales claros para la identificación electrónica y los servicios de confianza en la UE, pero la adopción real fue desigual. Persistieron limitaciones en el uso transfronterizo, y obtener el más alto nivel de firma electrónica normalmente requería múltiples comprobaciones de identidad, adquisición de certificados y, en algunos casos, hardware dedicado.

eIDAS 2.0 fue presentada para abordar estas barreras. El marco actualizado está diseñado para facilitar la reutilización de la identidad verificada entre servicios y países.

Los tres niveles de firma electrónica según eIDAS

Uno de los elementos principales del marco eIDAS es que define tres niveles de firma electrónica, y el grado de verificación de identidad y validez legal que aplica a cada uno.

Es importante destacar que eIDAS 2.0 no modifica estas categorías. Pero sí cambia la manera de obtener el nivel más alto de firma.

Firma Electrónica Simple (SES)

Una Firma Electrónica Simple es la forma más básica de firmar electrónicamente e incluye acciones como escribir un nombre al final de un documento, hacer clic en un botón de “Acepto” o insertar una imagen de la firma en un archivo. Las firmas SES son ampliamente utilizadas en flujos de trabajo empresariales de bajo riesgo donde prima la comodidad.

Firma Electrónica Avanzada (AES)

Una Firma Electrónica Avanzada ofrece más garantías que una SES de que la firma está vinculada a una persona concreta. Estas firmas se emplean habitualmente en contratos y acuerdos empresariales que requieren una mayor seguridad de identidad.

Una AES debe:

• Estar vinculada de forma única al firmante
• Poder identificar al firmante
• Ser creada usando datos controlados por el firmante
• Detectar si el documento firmado ha sido modificado después de la firma

Firma Electrónica Cualificada (QES)

Una Firma Electrónica Cualificada es el estándar más alto que define eIDAS y tiene la misma validez legal que una firma manuscrita en toda la UE.

Para ser cualificada, la firma debe:

• Ser creada usando un certificado cualificado emitido por un Proveedor de Servicios de Confianza Cualificado (QTSP)
• Generarse a través de un proceso de firma seguro que verifique la identidad del firmante

Bajo eIDAS 2.0, se espera que las carteras de identidad digital agilicen este proceso. Las credenciales de identidad verificadas almacenadas en una cartera pueden reutilizarse para firmas de alta garantía, lo que reduce la necesidad de verificaciones repetidas.

Cómo cambia eIDAS 2.0 la identidad digital

eIDAS 2.0 está transformando el funcionamiento de la identidad digital en la UE.

En lugar de verificar la identidad repetidamente en diferentes servicios, las personas podrán almacenar credenciales verificadas en su EUDI Wallet. La identidad se confirma cuando se emite la cartera, y luego esas credenciales podrán reutilizarse en servicios y Estados miembros de la UE.

Cada Estado miembro facilitará o aprobará sus propias carteras, pero todas cumplirán los estándares, protocolos y formatos de intercambio de información establecidos en la normativa vigente.

El objetivo de eIDAS 2.0 es facilitar, homogeneizar y hacer más segura la verificación digital entre fronteras.

El despliegue de eIDAS 2.0: situación actual

Antes de diciembre de 2026, todos los Estados miembros de la UE deben ofrecer a sus ciudadanos acceso a al menos una cartera de identidad digital que cumpla con el marco de eIDAS 2.0.

Programas piloto a gran escala están probando cómo las carteras de identidad digital pueden funcionar en escenarios reales, como verificar credenciales académicas, abrir cuentas bancarias o acceder a servicios públicos transfronterizos.

Otro plazo clave para las empresas llega poco después del lanzamiento inicial. Para diciembre de 2027, determinadas organizaciones reguladas del sector privado, como bancos, operadores de telecomunicaciones y grandes plataformas en línea, deberán aceptar las EUDI Wallets.

La transición ya está en marcha. Las empresas que dependen de la verificación digital de identidad y de firmas electrónicas deberían considerar este periodo como una ventana de preparación.

Qué supone eIDAS 2.0 para las empresas que utilizan plataformas de firma electrónica

Para muchas organizaciones, los flujos de firma electrónica ya están bien implantados. Contratos, documentos de incorporación, aprobaciones internas y documentos financieros suelen firmarse usando plataformas basadas en el marco original de eIDAS. La mayoría de estos sistemas siguen un proceso en el que se envía un documento para su firma, la identidad del firmante se confirma a través del flujo de trabajo de la plataforma y el documento finalizado se almacena como PDF firmado.

Ese modelo se mantiene bajo eIDAS. Sin embargo, muchas plataformas existentes fueron creadas en torno al modelo de identidad basado en certificados. Cuando se requiere una Firma Electrónica Cualificada, la verificación de identidad y los certificados suelen gestionarse con integraciones de Proveedores de Servicios de Confianza Cualificados.

A medida que las carteras de identidad digital se generalicen, el modelo de base deberá adaptarse.

En vez de verificar la identidad por separado en cada flujo de firma, las organizaciones interactuarán con identidades digitales portátiles y verificadas que las personas podrán presentar directamente desde sus carteras. Así, la información de identidad podrá circular entre servicios y proveedores en lugar de generarse de nuevo cada vez que se firma un documento.

Las plataformas diseñadas con este enfoque centrado en la identidad probablemente se adaptarán con mayor facilidad a la evolución normativa. Por ejemplo, Verified Digital Signing (VDS) de Lumin Sign está basado en estándares de credenciales verificables que se alinean con la dirección general del marco eIDAS 2.0.

Para las organizaciones que evalúan herramientas de firma digital, la cuestión clave es si la arquitectura de una plataforma puede soportar un futuro en el que la identidad digital verificada sea reutilizable entre transacciones y servicios.

Obtén más información sobre Verified Digital Signing