Reglamento eIDAS 2 · Identidad Digital Europea

El Reglamento (UE) 2024/1183 se publicó el 30 de abril de 2024 y entró en vigor el 20 de mayo de 2024. La obligación de los Estados miembros de ofrecer la cartera corre a partir de los actos de ejecución de la Comisión (cuyo primer bloque se adoptó en noviembre de 2024): las carteras deben estar disponibles en el plazo de veinticuatro meses desde esos actos, es decir, antes de finales de 2026. Para los clientes del despacho la lectura práctica es doble: 2025-2026 es ventana de preparación como parte usuaria, y desde 2027 la aceptación deja de ser opcional en los sectores obligados.

Cada Estado miembro debe proporcionar al menos una cartera europea de identidad digital: un medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura sus datos de identificación y declaraciones electrónicas de atributos, presentarlos selectivamente a partes usuarias, y firmar mediante firma electrónica cualificada (o sellar, en el caso de personas jurídicas). La cartera es de uso voluntario para el ciudadano y gratuita para las personas físicas, se expide bajo un sistema de identificación de nivel de seguridad alto, e incluye un panel de control que da transparencia sobre qué datos se han compartido y con quién, con mecanismos para denunciar solicitudes de datos presuntamente ilícitas.

La aceptación de la cartera no es solo una opción de mercado: las partes usuarias privadas que estén obligadas por el Derecho de la Unión o nacional a usar autenticación reforzada de usuario para la identificación en línea (señaladamente banca y servicios financieros, y ámbitos como transporte, energía, comunicaciones electrónicas, salud o educación cuando concurre esa obligación) deberán aceptar la cartera europea como medio de identificación, en el horizonte temporal que fija el propio artículo a contar desde los actos de ejecución — en la práctica, hacia finales de 2027. También las plataformas en línea de muy gran tamaño designadas conforme al Reglamento de Servicios Digitales deberán aceptarla cuando requieran autenticación. Cliente típico afectado en cartera de asesoría: fintech, pasarelas y comercios con autenticación reforzada.

eIDAS 2 amplía el catálogo de servicios de confianza del Reglamento 910/2014 con cinco nuevos: las declaraciones electrónicas de atributos (incluida su variante cualificada), la gestión a distancia de dispositivos cualificados de creación de firma y de sello, el archivo electrónico cualificado y los libros mayores electrónicos (registros distribuidos). Para las declaraciones de atributos, el artículo 45 sexies obliga a los Estados a habilitar la verificación electrónica de determinados atributos contra las fuentes auténticas del sector público (o intermediarios designados), lo que convierte títulos, poderes o condiciones profesionales en credenciales verificables. Para prestadores de servicios digitales, esto abre tanto obligaciones (si actúan como parte usuaria) como una línea de negocio regulada (si aspiran a prestar el servicio de confianza).

Un cuestionario adaptativo determina qué obligaciones de eIDAS 2 aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

• Política de Firma Electrónica e Identificación Digital (eIDAS)