eIDAS 2.0 合规性：时间表与企业准备工作 (ZH)

eIDAS 2.0——修订后的欧盟电子身份识别、认证和信任服务法规——要求每个欧盟成员国向其公民和法律实体提供EUDI（欧盟数字身份）钱包。这是自2014年最初的eIDAS法规以来，欧洲数字身份领域最大的结构性变革，它为整个欧盟的私营部门服务带来了真正的接受义务。

推广工作是分阶段进行的，并且精确地根据成员国的实施进展进行计时，这各不相同。明确的方向是：EUDI钱包即将到来，对于指定的服务类别，接受将是强制性的，而现在了解框架的企业将比那些等待的企业更顺利地进行整合。

主要收获

• eIDAS 2.0要求所有27个欧盟成员国向公民和法律实体提供EUDI钱包，从而实现跨境电子身份识别和凭证展示。
• 三个LoA（保障级别）等级——低、实质和高——定义了凭证建立的严谨程度；适当的级别取决于依赖该服务的风险。
• 私营部门服务的接受义务正在分阶段推行，银行、电信公司和大型在线平台等行业被指定为强制接受。
• 预计到2026年左右，成员国将使EUDI钱包投入运营，此后将逐步推行广泛的私营部门接受义务——尽管部署时间表因成员国而异。
• Didit是唯一一家获得欧盟成员国政府——西班牙的Tesoro / BdE / SEPBLAC / CNMV——正式认证的身份提供商，其安全性高于面对面验证，为符合eIDAS 2.0高保障标准的合规性奠定了基础。

什么是eIDAS 2.0

2014年通过的原始eIDAS法规为欧盟成员国之间的国家电子身份识别方案相互承认创建了一个框架。它适用于大型国家eID计划——德国的Online-Ausweis、比利时的eID卡——但留下了 significant gaps：没有共同的钱包格式，私营部门服务的覆盖范围有限，以及原则上比实际操作中更好的跨境互操作性。

eIDAS 2.0——正式名称为《欧盟法规》(EU) 2024/1183，修订了原法规——用单一的欧洲方法取代了这种分散的国家方案模式。每个成员国都必须向每个想要EUDI钱包的公民和法律实体提供一个。每个钱包都必须符合共同的技术标准。至关重要的是，指定的服提供商必须接受来自任何欧盟公民的钱包展示，无论哪个成员国签发了该钱包。

钱包中包含可验证的凭证：政府签发的身份文件、教育资格、专业执照、银行账户证明——任何由信任服务提供商正式签发并可电子呈现和验证的属性。德国公民向西班牙银行展示其EUDI钱包，或波兰自由职业者向法国市场展示专业凭证，应该像国内展示一样无缝。

保障级别：低、实质和高

eIDAS 2.0继承了原始法规中的LoA框架，并将其扩展到钱包情景。三个级别定义了凭证建立的置信度：

低 — 凭证是通过一个对所声称身份的置信度有限的过程建立的。适用于错误成本最小且摩擦应尽可能低的低风险服务。

实质 — 凭证是通过一个大大降低身份滥用风险的过程建立的。带有自动检查的基于文档的验证通常符合此级别。大多数KYC（了解您的客户）级别的检查都设计用于实质保障。

高 — 凭证是通过一个以极高置信度防止滥用的过程建立的。文档验证与iBeta 1级或更高级别的生物识别活体检测相结合——相当于面对面验证或明显优于面对面验证——符合此级别。

LoA框架对企业很重要，因为它将服务所需的保障级别映射到满足它的验证方法。开立支付账户可能需要实质级别；访问受监管的金融产品可能需要高级别。eIDAS 2.0对这些期望进行了编码，并使其在整个欧盟范围内可移植。

EUDI钱包对企业意味着什么

如今，用户通过上传文档图像和自拍来向您的平台展示其身份——您的平台会实时验证。有了EUDI钱包，模式发生了变化：用户持有由成员国信任服务提供商签发的预验证凭证，并将其展示给您。您验证凭证的加密签名和发行方的可信度——而不是从头开始验证底层文档。

对于受监管的企业来说，钱包展示模式提供了具体的优势。用户的身份已经由受信任的发行方以已知的保障级别进行了验证，从而减轻了您端的验证负担。用户的凭证带有特定的LoA，您可以将其直接映射到您的风险要求。可重复使用的凭证意味着用户无需向他们与之交互的每个服务重新上传文档——从而减少了合法用户的入职摩擦。

义务方面同样具体：一旦接受义务生效，某些服务类别不能拒绝钱包呈现的凭证。属于强制接受类别的银行或大型在线平台必须能够接受EUDI钱包呈现——这需要与钱包生态系统进行API集成，并在您的身份管道中进行LoA映射逻辑。

接受义务和分阶段时间表

eIDAS 2.0确定了受强制接受EUDI钱包展示的服务提供商类别：数字服务法下的大型在线平台、银行和支付服务提供商、电子通信服务提供商、运输和能源服务提供商以及专业资格服务提供商。

接受义务随着成员国部署其钱包而逐步推行。自2023年以来，大规模试点项目——涵盖医疗保健、教育、旅行、金融和政府服务的多成员国测试项目——一直在进行中，并正在生成可用于生产的技术规范。成员国预计将在2026年左右使EUDI钱包投入运营，随着基础设施的成熟，强制性私营部门接受义务将逐步推行。

确切的逐月日历取决于每个成员国的实施进展以及欧盟委员会发布的实施法案。明确的是，方向已定，技术架构真实存在——试点项目的经验教训正在被纳入最终技术规范。

企业应准备什么

映射您的保障级别要求。 对于您提供的每项服务，确定所呈现凭证需要满足的LoA。低风险内容服务可能需要低级别；受监管的金融账户需要高级别。此映射决定了您需要接受哪些凭证呈现以及如何验证它们。

评估您的强制接受风险。 如果您的服务属于指定类别——银行、电信、大型在线平台——您接受EUDI钱包展示的义务是监管性的，而非可选的。在义务生效之前，而不是之后，开始技术评估。

审计您的身份验证架构。 eIDAS 2.0的接受并不意味着移除您现有的验证管道——它意味着扩展它。拥有EUDI钱包的用户会展示它；没有的用户会完成标准的文档和生物识别流程。两条路径都需要汇聚到相同的合规记录和LoA分类上。

基于已认证的基础设施构建。 高保障级别签发的凭证需要满足高LoA标准的验证管道——包括与面对面身份识别相当或更优的生物识别验证。基于具有现有监管认证的提供商进行构建，可以减少您的合规范围并简化与监管机构的对话。

eIDAS 2.0对身份验证提供商意味着什么

EUDI钱包不会取代传统的文档和生物识别验证——它在其旁边增加了一条新的展示路径。短期内，大多数用户不会拥有EUDI钱包。中期内，随着成员国推出其实现方案和用户体验的成熟，钱包的采用率将增长。长期内，可重复使用的钱包凭证将减少每个入职的验证负担，而LoA框架将标准化企业理解和沟通其验证内容的方式。

对于身份验证提供商来说，这创建了一个双轨格局：为没有钱包的用户提供传统的按需验证，以及为呈现EUDI钱包凭证的用户提供凭证接受基础设施。LoA框架是连接这两个轨道的桥梁——具有高保障要求的企业可以通过任一路径满足它。

用例

银行和支付机构 — 从一开始就被指定为强制接受范围。EUDI钱包与现有KYC管道集成，为持有钱包的用户提供无缝入职，而现有流程则处理非钱包用户。LoA映射取代了高保障钱包凭证的每次入职验证决策。

电信提供商 — 被指定为强制接受类别。通过EUDI钱包进行高保障级别的用户身份验证是欧盟受监管SIM卡注册的发展方向。

大型在线平台和受监管市场 — DSA下的大型在线平台面临强制接受义务。使用钱包凭证进行实质保障级别的销售商和用户验证是eIDAS 2.0的具体用例。

跨境金融服务 — 如今，西班牙用户在荷兰新银行开户面临完整的文档和生物识别流程。有了EUDI钱包，他们预先验证的西班牙政府签发凭证将以适当的保障级别直接传输，从而减少了合法用户的摩擦，同时保持了合规记录。

Didit如何提供帮助

Didit是唯一一家获得欧盟成员国政府——西班牙的Tesoro / BdE / SEPBLAC / CNMV——正式认证的身份提供商，其安全性高于面对面验证。该认证实际上是高保障标准：文档验证加上被国家金融监管机构评估和批准的生物识别活体检测，而非自我认证。

对于致力于eIDAS 2.0合规的企业来说，这意味着：

• 通过Didit身份验证进行高LoA级别的身份验证——文档检查加上被动或主动活体检测加上人脸匹配，所有这些都符合iBeta 1级PAD认证和欧盟政府认证。
• 可重复使用的KYC（免费）——一旦用户通过Didit验证，该验证即可移植。用户无需为每个服务重新验证；凭证及其保障级别在下游受到信任。
• 欧盟认证基础设施——在具有现有国家监管认证的提供商上构建您的eIDAS 2.0合规立场，可以减少您的合规负担和与监管机构的解释负担。

随着EUDI钱包接受义务的逐步推行，Didit的验证管道作为补充：非钱包用户通过标准文档和生物识别流程进行验证；呈现钱包的用户完成钱包接受路径；两者都在您的业务控制台中汇聚到相同的合规记录中。

常见问题

企业何时必须接受EUDI钱包？

该法规规定了一个方向并指定了强制接受类别；具体截止日期因成员国、服务类别和委员会发布的实施法案而异。预计成员国将在2026年左右使钱包投入运营，随着钱包部署的成熟，私营部门的接受义务将逐步推行。请关注您的国家实施机构和相关的欧盟实施法案以获取权威时间表。

eIDAS 1.0和eIDAS 2.0有什么区别？

eIDAS 1.0（2014年）为国家eID方案创建了一个跨境互认框架。eIDAS 2.0增加了可供每个欧盟公民和法律实体使用的通用EUDI钱包格式，通过强制接受义务将覆盖范围扩展到私营部门，引入了合格电子属性证明（QEAAs）作为一种新的可移植凭证类型，并扩大了受监管信任服务的范围。

接受EUDI钱包会取代KYC验证吗？

不会。接受钱包呈现的凭证是您身份计划的一个输入。凭证的保障级别告诉您身份建立的可靠程度。您的合规计划仍然决定每个服务所需的级别，并且其他检查——AML（反洗钱）筛选、持续监控、交易监控——仍然适用。

Didit身份验证的费用是多少？

核心流程——身份文档（0.15美元）+被动活体检测（0.10美元）+人脸匹配（0.05美元）+IP分析（0.03美元）——每次验证0.33美元。每月500次免费检查。无最低消费，按次付费。

Didit欧盟政府认证是什么？

西班牙的Tesoro（财政部）、BdE（西班牙银行）、SEPBLAC（反洗钱监管机构）和CNMV（证券监管机构）正式证明Didit的验证流程比面对面身份识别更安全。这是国家监管机构的评估——不是自我认证或行业奖项。完整详情请访问信任中心。

准备好开始了吗？

阅读身份验证文档以了解验证管道，在身份验证产品页面查看完整产品，并在定价页面查看按次付费价格。准备好后，免费开始——每月500次免费验证，无合同，无最低消费。