eIDAS 2.0: Prazos e o Que as Empresas Devem Preparar (PT-BR)

eIDAS 2.0 — o regulamento revisado da UE sobre identificação eletrônica, autenticação e serviços de confiança — exige que cada estado-membro da UE disponibilize uma Carteira EUDI (Identidade Digital da UE) para seus cidadãos e entidades legais. É a maior mudança estrutural na identidade digital na Europa desde o regulamento eIDAS original em 2014, e cria obrigações reais de aceitação para serviços do setor privado em todo o bloco.

A implementação é faseada e cronometrada precisamente de acordo com o progresso de implementação de cada estado-membro, que varia. O que é inequívoco é a direção: as Carteiras EUDI estão chegando, a aceitação será obrigatória para categorias de serviços nomeadas, e as empresas que entenderem a estrutura agora se integrarão de forma mais suave do que aquelas que esperarem.

Principais pontos

• O eIDAS 2.0 exige que todos os 27 estados-membros da UE disponibilizem Carteiras EUDI para cidadãos e entidades legais, permitindo identificação eletrônica e apresentação de credenciais transfronteiriças.
• Três níveis de LoA (Nível de Garantia) — Baixo, Substancial e Alto — definem o rigor com que uma credencial foi estabelecida; o nível apropriado depende do risco do serviço que a utiliza.
• As obrigações de aceitação para serviços do setor privado estão sendo implementadas gradualmente, com bancos, empresas de telecomunicações e grandes plataformas online entre os setores nomeados para aceitação obrigatória.
• Por volta de 2026, espera-se que os estados-membros tenham as Carteiras EUDI operacionais, com amplas obrigações de aceitação do setor privado sendo implementadas a partir de então — embora os cronogramas de implantação variem por estado-membro.
• A Didit é o único provedor de identidade formalmente atestado por um governo de um estado-membro da UE — Tesoro / BdE / SEPBLAC / CNMV da Espanha — como mais seguro do que a verificação presencial, fornecendo uma base pronta para conformidade alinhada com o padrão de garantia Alta do eIDAS 2.0.

O que é o eIDAS 2.0

O regulamento eIDAS original, adotado em 2014, criou uma estrutura para o reconhecimento mútuo de esquemas nacionais de identificação eletrônica entre os estados-membros da UE. Funcionou para grandes programas nacionais de eID — Online-Ausweis da Alemanha, cartão eID da Bélgica — mas deixou lacunas significativas: nenhum formato de carteira comum, cobertura limitada de serviços do setor privado e interoperabilidade transfronteiriça que funcionava melhor em princípio do que na prática operacional.

eIDAS 2.0 — formalmente Regulamento (UE) 2024/1183, que altera o original — substitui esse modelo fragmentado de esquema nacional por uma abordagem europeia única. Cada estado-membro deve disponibilizar uma Carteira EUDI para cada cidadão e entidade legal que a desejar. Cada carteira deve atender a padrões técnicos comuns. E, crucialmente, provedores de serviços especificados devem aceitar apresentações de carteira de qualquer cidadão da UE, independentemente do estado-membro que emitiu a carteira.

A carteira mantém credenciais verificáveis: documentos de identidade emitidos pelo governo, qualificações educacionais, licenças profissionais, comprovante de conta bancária — qualquer atributo formalmente emitido por um provedor de serviços de confiança e eletronicamente apresentável e verificável. Um cidadão alemão apresentando sua Carteira EUDI a um banco espanhol, ou um freelancer polonês apresentando credenciais profissionais a um marketplace francês, deve funcionar tão perfeitamente quanto uma apresentação doméstica.

Níveis de garantia: Baixo, Substancial e Alto

O eIDAS 2.0 herda a estrutura LoA do regulamento original e a estende ao contexto da carteira. Três níveis definem o quão confiantemente uma credencial foi estabelecida:

Baixo — a credencial foi estabelecida por meio de um processo que oferece confiança limitada na identidade reivindicada. Adequado para serviços de baixo risco onde o custo do erro é mínimo e o atrito deve ser o menor possível.

Substancial — a credencial foi estabelecida por meio de um processo que reduz substancialmente o risco de uso indevido de identidade. A verificação baseada em documentos com verificações automatizadas geralmente atende a esse nível. A maioria das verificações de grau KYC (Conheça Seu Cliente) são projetadas para garantia Substancial.

Alto — a credencial foi estabelecida por meio de um processo que impede o uso indevido com altíssima confiança. Verificação de documentos combinada com prova de vida biométrica no Nível 1 do iBeta ou superior — o equivalente à verificação presencial ou demonstravelmente superior a ela — atende a esse nível.

A estrutura LoA é importante para as empresas porque mapeia o nível de garantia que um serviço precisa para o método de verificação que o satisfaz. A abertura de uma conta de pagamento pode exigir Substancial; o acesso a um produto financeiro regulamentado pode exigir Alto. O eIDAS 2.0 codifica essas expectativas e as torna portáteis em toda a UE.

O que a Carteira EUDI significa para as empresas

Hoje, um usuário apresenta sua identidade à sua plataforma fazendo upload de uma imagem de documento e tirando uma selfie — e sua plataforma a verifica em tempo real. Com a Carteira EUDI, o modelo muda: o usuário possui uma credencial pré-verificada emitida por um provedor de serviços de confiança de um estado-membro e a apresenta a você. Você verifica a assinatura criptográfica da credencial e a confiabilidade do emissor — não o documento subjacente do zero.

Para empresas regulamentadas, o modelo de apresentação da carteira oferece benefícios concretos. A identidade do usuário já foi verificada por um emissor confiável em um nível de garantia conhecido, reduzindo a carga de verificação em sua extremidade. A credencial do usuário carrega um LoA específico que você pode mapear diretamente para seus requisitos de risco. E credenciais reutilizáveis significam que os usuários não precisam reenviar documentos para cada serviço com o qual interagem — reduzindo o atrito de onboarding para usuários legítimos.

O lado da obrigação é igualmente concreto: certas categorias de serviços não podem recusar credenciais apresentadas pela carteira uma vez que as obrigações de aceitação estejam em vigor. Um banco ou grande plataforma online que se enquadre nas categorias de aceitação obrigatória deve ser capaz de aceitar apresentações da Carteira EUDI — o que exige integração de API com o ecossistema da carteira e lógica de mapeamento de LoA em seu pipeline de identidade.

Obrigações de aceitação e cronograma de fases

O eIDAS 2.0 identifica categorias de provedores de serviços sujeitos à aceitação obrigatória de apresentações da Carteira EUDI: plataformas online muito grandes sob a Lei de Serviços Digitais, provedores de serviços bancários e de pagamento, provedores de serviços de comunicações eletrônicas, provedores de serviços de transporte e energia e provedores de serviços de qualificações profissionais.

A obrigação de aceitação é implementada à medida que os estados-membros implantam suas carteiras. Pilotos em Grande Escala — programas de teste multi-estados-membros abrangendo saúde, educação, viagens, finanças e serviços governamentais — estão em andamento desde 2023 e estão gerando especificações técnicas prontas para produção. Espera-se que os estados-membros tenham as Carteiras EUDI operacionais no período por volta de 2026, com obrigações de aceitação obrigatórias do setor privado sendo implementadas à medida que a infraestrutura amadurece.

O calendário exato mês a mês depende do progresso de implementação de cada estado-membro e dos atos de execução emitidos pela Comissão Europeia. O que está claro é que a direção está definida e a arquitetura técnica é real — os aprendizados dos programas piloto estão sendo incorporados às especificações técnicas finais agora.

O que as empresas devem preparar

Mapeie seus requisitos de nível de garantia. Para cada serviço que você oferece, identifique o LoA que uma credencial apresentada precisa satisfazer. Um serviço de conteúdo de baixo risco pode precisar de Baixo; uma conta financeira regulamentada requer Alto. Esse mapeamento determina quais apresentações de credenciais você precisa aceitar e como você as valida.

Avalie sua exposição à aceitação obrigatória. Se seu serviço se enquadra nas categorias nomeadas — bancário, telecomunicações, grande plataforma online — sua obrigação de aceitar apresentações da Carteira EUDI é regulatória, não opcional. Inicie a avaliação técnica antes que a obrigação esteja em vigor, não depois.

Audite sua arquitetura de verificação de identidade. A aceitação do eIDAS 2.0 não significa remover seu pipeline de verificação existente — significa estendê-lo. Usuários que possuem uma Carteira EUDI a apresentam; usuários que não possuem completam o fluxo padrão de documento e biometria. Ambos os caminhos precisam convergir para o mesmo registro de conformidade e classificação de LoA.

Construa sobre infraestrutura já atestada. Credenciais emitidas com garantia Alta exigem um pipeline de verificação que atenda ao padrão LoA Alto — incluindo verificação biométrica comparável ou superior à identificação presencial. Construir sobre um provedor com atestado de supervisão existente reduz sua superfície de conformidade e simplifica o diálogo regulatório.

O que o eIDAS 2.0 significa para provedores de verificação de identidade

A Carteira EUDI não substitui a verificação tradicional de documentos e biometria — ela adiciona um novo caminho de apresentação ao lado dela. A curto prazo, a maioria dos usuários não terá Carteiras EUDI. A médio prazo, a adoção da carteira crescerá à medida que os estados-membros implementarem suas soluções e a experiência do usuário amadurecer. A longo prazo, as credenciais de carteira reutilizáveis reduzirão a carga de verificação por onboarding para os usuários, enquanto a estrutura LoA padroniza como as empresas entendem e comunicam o que verificaram.

Para provedores de verificação de identidade, isso cria um cenário de duas vias: verificação sob demanda tradicional para usuários sem carteiras e infraestrutura de aceitação de credenciais para usuários que apresentam credenciais da Carteira EUDI. A estrutura LoA é a ponte entre as duas vias — uma empresa com um requisito de alta garantia pode satisfazê-lo por qualquer caminho.

Casos de uso

Bancos e instituições de pagamento — nomeados no escopo de aceitação obrigatória desde o início. A integração da Carteira EUDI ao lado dos pipelines KYC existentes permite um onboarding contínuo para usuários com carteira, enquanto o fluxo existente lida com usuários sem carteira. O mapeamento LoA substitui a decisão de verificação por onboarding para credenciais de carteira de alta garantia.

Provedores de telecomunicações — nomeados nas categorias de aceitação obrigatória. A verificação da identidade do assinante via Carteira EUDI com garantia Alta é a direção para o registro regulamentado de SIM na UE.

Grandes plataformas online e marketplaces regulamentados — plataformas online muito grandes sob a DSA enfrentam obrigações de aceitação obrigatória. A verificação de vendedores e usuários com garantia Substancial usando credenciais da carteira é um caso de uso concreto do eIDAS 2.0.

Serviços financeiros transfronteiriços — um usuário espanhol que faz onboarding em um neobanco holandês hoje enfrenta um fluxo completo de documentos e biometria. Com as Carteiras EUDI, sua credencial pré-verificada emitida pelo governo espanhol é transferida diretamente no nível de garantia apropriado, reduzindo o atrito para um usuário legítimo enquanto mantém o registro de conformidade.

Como a Didit ajuda

A Didit é o único provedor de identidade formalmente atestado por um governo de um estado-membro da UE — Tesoro / BdE / SEPBLAC / CNMV da Espanha — como mais seguro do que a verificação presencial. Esse atestado é o padrão de garantia Alta na prática: verificação de documentos mais prova de vida biométrica avaliada e aprovada por uma autoridade supervisora financeira nacional, não uma autocertificação.

Para empresas que buscam a conformidade com o eIDAS 2.0, isso significa:

• Verificação de ID com padrão LoA Alto via Verificação de ID Didit — verificação de documento mais prova de vida passiva ou ativa mais correspondência facial, tudo certificado iBeta Nível 1 PAD e atestado pelo governo da UE.
• KYC reutilizável (gratuito) — uma vez que um usuário é verificado pela Didit, essa verificação é portátil. O usuário não precisa se verificar novamente para cada serviço; a credencial e seu nível de garantia são confiáveis downstream.
• Infraestrutura atestada pela UE — construir sua postura de conformidade com o eIDAS 2.0 em um provedor com atestado de supervisão nacional existente reduz tanto sua carga de conformidade quanto sua carga de explicabilidade com os reguladores.

À medida que as obrigações de aceitação da Carteira EUDI são implementadas, o pipeline de verificação da Didit serve como complemento: usuários sem carteira verificam-se através do fluxo padrão de documentos e biometria; usuários que apresentam carteira completam o caminho de aceitação da carteira; ambos convergem para o mesmo registro de conformidade em seu Console de Negócios.

Perguntas frequentes

Quando exatamente as empresas devem aceitar as Carteiras EUDI?

O regulamento estabelece uma direção e nomeia categorias de aceitação obrigatória; os prazos precisos variam por estado-membro, categoria de serviço e atos de execução emitidos pela Comissão. Espera-se que os estados-membros tenham as carteiras operacionais por volta de 2026, com obrigações de aceitação do setor privado sendo implementadas à medida que a implantação da carteira amadurece. Acompanhe sua autoridade de implementação nacional e os atos de execução da UE relevantes para o cronograma oficial.

Qual a diferença entre eIDAS 1.0 e eIDAS 2.0?

eIDAS 1.0 (2014) criou uma estrutura de reconhecimento mútuo transfronteiriço para esquemas nacionais de eID. eIDAS 2.0 adiciona um formato comum de Carteira EUDI disponível para cada cidadão e entidade legal da UE, estende a cobertura ao setor privado com obrigações de aceitação obrigatórias, introduz Atestados Eletrônicos Qualificados de Atributos (QEAAs) como um novo tipo de credencial portátil e amplia o escopo dos serviços de confiança regulamentados.

A aceitação das Carteiras EUDI substitui a verificação KYC?

Não. Aceitar uma credencial apresentada pela carteira é uma entrada em seu programa de identidade. O nível de garantia da credencial informa o quão confiavelmente a identidade foi estabelecida. Seu programa de conformidade ainda determina qual nível é suficiente para cada serviço, e outras verificações — triagem AML (Anti-Lavagem de Dinheiro), monitoramento contínuo, monitoramento de transações — ainda se aplicam.

Quanto custa a Verificação de ID da Didit?

O fluxo principal — documento de identificação (US$ 0,15) + prova de vida passiva (US$ 0,10) + correspondência facial (US$ 0,05) + análise de IP (US$ 0,03) — custa US$ 0,33 por verificação. 500 verificações gratuitas por mês. Sem mínimos, pague por chamada.

Qual é o atestado do governo da UE da Didit?

O Tesoro (Tesouro) da Espanha, BdE (Banco da Espanha), SEPBLAC (autoridade supervisora de combate à lavagem de dinheiro) e CNMV (regulador de valores mobiliários) atestaram formalmente que o processo de verificação da Didit é mais seguro do que a identificação presencial. Esta é uma avaliação de uma autoridade supervisora nacional — não uma autocertificação ou prêmio da indústria. Detalhes completos no centro de confiança.

Pronto para começar?

Leia a documentação de Verificação de ID para entender o pipeline de verificação, veja o produto completo na página do produto Verificação de ID e verifique os preços por chamada na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações gratuitas por mês, sem contrato, sem mínimos.