Cumplimiento eIDAS 2.0: Plazos y Preparativos Empresariales (ES)

eIDAS 2.0 — el reglamento revisado de la UE sobre identificación electrónica, autenticación y servicios de confianza — exige que cada estado miembro de la UE ponga a disposición de sus ciudadanos y entidades legales una Cartera EUDI (Identidad Digital de la UE). Es el cambio estructural más grande en identidad digital en Europa desde el reglamento eIDAS original en 2014, y crea obligaciones de aceptación reales para los servicios del sector privado en todo el bloque.

El despliegue es gradual y se ajusta precisamente al progreso de implementación de cada estado miembro, que varía. Lo que es inequívoco es la dirección: las Carteras EUDI están llegando, la aceptación será obligatoria para categorías de servicios específicas, y las empresas que comprendan el marco ahora se integrarán de manera más fluida que las que esperen.

Puntos clave

• eIDAS 2.0 exige que los 27 estados miembros de la UE pongan a disposición de los ciudadanos y entidades legales las Carteras EUDI, permitiendo la identificación electrónica y la presentación de credenciales a través de las fronteras.
• Tres niveles de seguridad (LoA) — Bajo, Sustancial y Alto — definen la rigurosidad con la que se estableció una credencial; el nivel apropiado depende del riesgo del servicio que la utiliza.
• Las obligaciones de aceptación para los servicios del sector privado se están implementando gradualmente, con bancos, empresas de telecomunicaciones y grandes plataformas en línea entre los sectores designados para la aceptación obligatoria.
• Se espera que, alrededor de 2026, los estados miembros tengan las Carteras EUDI operativas, con obligaciones de aceptación amplias para el sector privado que se implementarán a partir de entonces, aunque los plazos de despliegue varían según el estado miembro.
• Didit es el único proveedor de identidad formalmente certificado por un gobierno de un estado miembro de la UE — el Tesoro / BdE / SEPBLAC / CNMV de España — como más seguro que la verificación en persona, proporcionando una base lista para el cumplimiento alineada con el estándar de seguridad Alto de eIDAS 2.0.

Qué es eIDAS 2.0

El reglamento eIDAS original, adoptado en 2014, creó un marco para el reconocimiento mutuo de los esquemas nacionales de identificación electrónica entre los estados miembros de la UE. Funcionó para grandes programas nacionales de eID — como el Online-Ausweis de Alemania o la tarjeta eID de Bélgica — pero dejó brechas significativas: sin un formato de cartera común, cobertura limitada de servicios del sector privado e interoperabilidad transfronteriza que funcionaba mejor en principio que en la práctica operativa.

eIDAS 2.0 — formalmente el Reglamento (UE) 2024/1183, que modifica el original — reemplaza ese modelo fragmentado de esquemas nacionales con un enfoque europeo único. Cada estado miembro debe poner a disposición una Cartera EUDI a cada ciudadano y entidad legal que la desee. Cada cartera debe cumplir con estándares técnicos comunes. Y lo que es crucial, los proveedores de servicios especificados deben aceptar las presentaciones de la cartera de cualquier ciudadano de la UE, independientemente del estado miembro que emitió la cartera.

La cartera contiene credenciales verificables: documentos de identidad emitidos por el gobierno, cualificaciones educativas, licencias profesionales, prueba de cuenta bancaria — cualquier atributo emitido formalmente por un proveedor de servicios de confianza y que sea presentable y verificable electrónicamente. Un ciudadano alemán que presenta su Cartera EUDI a un banco español, o un autónomo polaco que presenta credenciales profesionales a un mercado francés, debería funcionar tan fluidamente como una presentación nacional.

Niveles de seguridad: Bajo, Sustancial y Alto

eIDAS 2.0 hereda el marco LoA del reglamento original y lo extiende al contexto de la cartera. Tres niveles definen con qué confianza se ha establecido una credencial:

Bajo — la credencial se estableció a través de un proceso que proporciona una confianza limitada en la identidad reclamada. Adecuado para servicios de bajo riesgo donde el costo del error es mínimo y la fricción debe ser lo más baja posible.

Sustancial — la credencial se estableció a través de un proceso que reduce sustancialmente el riesgo de uso indebido de la identidad. La verificación basada en documentos con comprobaciones automatizadas suele cumplir este nivel. La mayoría de las comprobaciones de grado KYC (Conozca a su Cliente) están diseñadas para una seguridad Sustancial.

Alto — la credencial se estableció a través de un proceso que previene el uso indebido con muy alta confianza. La verificación de documentos combinada con la prueba de vida biométrica en iBeta Nivel 1 o superior — el equivalente a la verificación en persona o demostrablemente superior a ella — cumple este nivel.

El marco LoA es importante para las empresas porque mapea el nivel de seguridad que un servicio necesita con el método de verificación que lo satisface. La apertura de una cuenta de pago puede requerir Sustancial; el acceso a un producto financiero regulado puede requerir Alto. eIDAS 2.0 codifica estas expectativas y las hace portables en toda la UE.

Lo que la Cartera EUDI significa para las empresas

Hoy, un usuario presenta su identidad a su plataforma subiendo una imagen de documento y tomándose una selfie — y su plataforma la verifica en tiempo real. Con la Cartera EUDI, el modelo cambia: el usuario posee una credencial pre-verificada emitida por un proveedor de servicios de confianza de un estado miembro, y le presenta esa credencial. Usted verifica la firma criptográfica de la credencial y la fiabilidad del emisor — no el documento subyacente desde cero.

Para las empresas reguladas, el modelo de presentación de la cartera ofrece beneficios concretos. La identidad del usuario ya ha sido verificada por un emisor de confianza con un nivel de seguridad conocido, lo que reduce la carga de verificación en su extremo. La credencial del usuario lleva un LoA específico que usted puede mapear directamente a sus requisitos de riesgo. Y las credenciales reutilizables significan que los usuarios no vuelven a subir documentos a cada servicio con el que interactúan, lo que reduce la fricción de incorporación para los usuarios legítimos.

El lado de la obligación es igualmente concreto: ciertas categorías de servicios no pueden rechazar las credenciales presentadas por la cartera una vez que las obligaciones de aceptación están en vigor. Un banco o una gran plataforma en línea que se encuentre dentro de las categorías de aceptación obligatoria debe ser capaz de aceptar las presentaciones de la Cartera EUDI, lo que requiere la integración de la API con el ecosistema de la cartera y la lógica de mapeo de LoA en su proceso de identidad.

Obligaciones de aceptación y calendario de fases

eIDAS 2.0 identifica las categorías de proveedores de servicios sujetos a la aceptación obligatoria de las presentaciones de la Cartera EUDI: plataformas en línea muy grandes según la Ley de Servicios Digitales, proveedores de servicios bancarios y de pago, proveedores de servicios de comunicaciones electrónicas, proveedores de servicios de transporte y energía, y proveedores de servicios de cualificaciones profesionales.

La obligación de aceptación se implementa a medida que los estados miembros despliegan sus carteras. Los Proyectos Piloto a Gran Escala — programas de prueba de varios estados miembros que cubren servicios de salud, educación, viajes, finanzas y gobierno — han estado en marcha desde 2023 y están generando especificaciones técnicas listas para la producción. Se espera que los estados miembros tengan las Carteras EUDI operativas en el período alrededor de 2026, con obligaciones de aceptación obligatorias para el sector privado que se implementarán a medida que la infraestructura madure.

El calendario exacto mes a mes depende del progreso de implementación de cada estado miembro y de los actos de ejecución que emita la Comisión Europea. Lo que está claro es que la dirección está establecida y la arquitectura técnica es real — los aprendizajes del programa piloto se están incorporando ahora a las especificaciones técnicas finales.

Qué deben preparar las empresas

Mapee sus requisitos de nivel de seguridad. Para cada servicio que ofrece, identifique el LoA que una credencial presentada necesita satisfacer. Un servicio de contenido de bajo riesgo puede necesitar Bajo; una cuenta financiera regulada requiere Alto. Este mapeo determina qué presentaciones de credenciales necesita aceptar y cómo las valida.

Evalúe su exposición a la aceptación obligatoria. Si su servicio se encuentra dentro de las categorías nombradas — banca, telecomunicaciones, gran plataforma en línea — su obligación de aceptar las presentaciones de la Cartera EUDI es regulatoria, no opcional. Comience la evaluación técnica antes de que la obligación entre en vigor, no después.

Audite su arquitectura de verificación de identidad. La aceptación de eIDAS 2.0 no significa eliminar su proceso de verificación existente, sino extenderlo. Los usuarios que tienen una Cartera EUDI la presentan; los usuarios que no la tienen completan el flujo estándar de documento y biometría. Ambos caminos deben converger en el mismo registro de cumplimiento y clasificación de LoA.

Construya sobre una infraestructura ya certificada. Las credenciales emitidas con seguridad Alta requieren un proceso de verificación que cumpla con el estándar LoA Alto, incluida la verificación biométrica comparable o superior a la identificación en persona. Construir sobre un proveedor con certificación supervisora existente reduce su superficie de cumplimiento y simplifica el diálogo regulatorio.

Lo que eIDAS 2.0 significa para los proveedores de verificación de identidad

La Cartera EUDI no desplaza la verificación tradicional de documentos y biometría, sino que añade una nueva vía de presentación junto a ella. A corto plazo, la mayoría de los usuarios no tendrán Carteras EUDI. A medio plazo, la adopción de la cartera crecerá a medida que los estados miembros implementen sus soluciones y la experiencia del usuario madure. A largo plazo, las credenciales de cartera reutilizables reducirán la carga de verificación por incorporación para los usuarios, mientras que el marco LoA estandarizará cómo las empresas entienden y comunican lo que verificaron.

Para los proveedores de verificación de identidad, esto crea un panorama de doble vía: verificación bajo demanda tradicional para usuarios sin carteras, e infraestructura de aceptación de credenciales para usuarios que presentan credenciales de la Cartera EUDI. El marco LoA es el puente entre las dos vías: una empresa con un requisito de seguridad Alta puede satisfacerlo a través de cualquiera de los dos caminos.

Casos de uso

Bancos e instituciones de pago — nombrados en el ámbito de aceptación obligatoria desde el principio. La integración de la Cartera EUDI junto con los procesos KYC existentes permite una incorporación fluida para los usuarios que poseen una cartera, mientras que el flujo existente gestiona a los usuarios sin cartera. El mapeo de LoA reemplaza la decisión de verificación por incorporación para credenciales de cartera de alta seguridad.

Proveedores de telecomunicaciones — nombrados en las categorías de aceptación obligatoria. La verificación de la identidad del suscriptor a través de la Cartera EUDI con seguridad Alta es la dirección a seguir para el registro regulado de SIM en la UE.

Grandes plataformas en línea y mercados regulados — las plataformas en línea muy grandes según la DSA se enfrentan a obligaciones de aceptación obligatoria. La verificación de vendedores y usuarios con seguridad Sustancial utilizando credenciales de cartera es un caso de uso concreto de eIDAS 2.0.

Servicios financieros transfronterizos — un usuario español que se incorpora hoy a un neobanco holandés se enfrenta a un proceso completo de documentos y biometría. Con las Carteras EUDI, su credencial pre-verificada emitida por el gobierno español se transfiere directamente con el nivel de seguridad adecuado, reduciendo la fricción para un usuario legítimo al tiempo que mantiene el registro de cumplimiento.

Cómo ayuda Didit

Didit es el único proveedor de identidad formalmente certificado por un gobierno de un estado miembro de la UE — el Tesoro / BdE / SEPBLAC / CNMV de España — como más seguro que la verificación en persona. Esa certificación es el estándar de seguridad Alto en la práctica: verificación de documentos más prueba de vida biométrica evaluada y aprobada por una autoridad supervisora financiera nacional, no una autocertificación.

Para las empresas que se preparan para el cumplimiento de eIDAS 2.0, esto significa:

• Verificación de ID con estándar de grado LoA Alto a través de Didit ID Verification — verificación de documentos más prueba de vida pasiva o activa más coincidencia facial, todo certificado iBeta Nivel 1 PAD y certificado por el gobierno de la UE.
• KYC reutilizable (gratuito) — una vez que un usuario es verificado por Didit, esa verificación es portable. El usuario no se vuelve a verificar para cada servicio; la credencial y su nivel de seguridad son de confianza en la cadena.
• Infraestructura certificada por la UE — construir su postura de cumplimiento de eIDAS 2.0 sobre un proveedor con certificación supervisora nacional existente reduce tanto su carga de cumplimiento como su carga de explicabilidad ante los reguladores.

A medida que las obligaciones de aceptación de la Cartera EUDI se implementan gradualmente, el proceso de verificación de Didit sirve como complemento: los usuarios sin cartera verifican a través del flujo estándar de documentos y biometría; los usuarios que presentan la cartera completan la ruta de aceptación de la cartera; ambos convergen en el mismo registro de cumplimiento en su Consola de Negocio.

Preguntas frecuentes

¿Cuándo deben aceptar exactamente las empresas las Carteras EUDI?

El reglamento establece una dirección y nombra categorías de aceptación obligatoria; los plazos precisos varían según el estado miembro, la categoría de servicio y los actos de ejecución que emita la Comisión. Se espera que los estados miembros tengan las carteras operativas alrededor de 2026, con obligaciones de aceptación para el sector privado que se implementarán a medida que madure el despliegue de las carteras. Siga a su autoridad nacional de implementación y los actos de ejecución relevantes de la UE para el calendario autorizado.

¿Cuál es la diferencia entre eIDAS 1.0 y eIDAS 2.0?

eIDAS 1.0 (2014) creó un marco de reconocimiento mutuo transfronterizo para los esquemas nacionales de eID. eIDAS 2.0 añade un formato común de Cartera EUDI disponible para cada ciudadano y entidad legal de la UE, extiende la cobertura al sector privado con obligaciones de aceptación obligatorias, introduce las Atestaciones Electrónicas Cualificadas de Atributos (QEAAs) como un nuevo tipo de credencial portátil y amplía el alcance de los servicios de confianza regulados.

¿Aceptar las Carteras EUDI reemplaza la verificación KYC?

No. Aceptar una credencial presentada por la cartera es una entrada en su programa de identidad. El nivel de seguridad de la credencial le indica cuán fiablemente se estableció la identidad. Su programa de cumplimiento aún determina qué nivel es suficiente para cada servicio, y otras comprobaciones — detección de AML (Antilavado de Dinero), monitoreo continuo, monitoreo de transacciones — siguen aplicándose.

¿Cuánto cuesta la verificación de identificación de Didit?

El flujo principal — documento de identidad (0,15 $) + prueba de vida pasiva (0,10 $) + coincidencia facial (0,05 $) + análisis de IP (0,03 $) — cuesta 0,33 $ por verificación. 500 comprobaciones gratuitas al mes. Sin mínimos, pago por llamada.

¿Cuál es la certificación del gobierno de la UE de Didit?

El Tesoro (Tesoro), el BdE (Banco de España), el SEPBLAC (autoridad supervisora contra el lavado de dinero) y la CNMV (regulador de valores) de España certificaron formalmente que el proceso de verificación de Didit es más seguro que la identificación en persona. Esta es una evaluación de una autoridad supervisora nacional, no una autocertificación o un premio de la industria. Detalles completos en el Centro de confianza.

¿Listo para empezar?

Lea la documentación de verificación de ID para comprender el proceso de verificación, vea el producto completo en la página del producto de verificación de ID y consulte los precios por llamada en la página de precios. Cuando esté listo, comience gratis — 500 verificaciones gratuitas al mes, sin contrato, sin mínimos.