Conformidade eIDAS 2.0: Prazos e Preparação Essencial para Empresas (PT-PT)

O eIDAS 2.0 — o regulamento revisto da UE sobre identificação eletrónica, autenticação e serviços de confiança — exige que cada estado-membro da UE disponibilize uma Carteira EUDI (Identidade Digital da UE) aos seus cidadãos e entidades legais. É a maior mudança estrutural na identidade digital na Europa desde o regulamento eIDAS original em 2014, e cria obrigações de aceitação reais para serviços do setor privado em todo o bloco.

A implementação é faseada e cronometrada precisamente de acordo com o progresso de implementação de cada estado-membro, que varia. O que é inequívoco é a direção: as Carteiras EUDI estão a chegar, a aceitação será obrigatória para categorias de serviços designadas, e as empresas que compreenderem a estrutura agora integrarão de forma mais suave do que aquelas que esperarem.

Principais conclusões

• O eIDAS 2.0 exige que todos os 27 estados-membros da UE disponibilizem Carteiras EUDI a cidadãos e entidades legais, permitindo a identificação eletrónica e a apresentação de credenciais transfronteiriças.
• Três níveis LoA (Nível de Garantia) — Baixo, Substancial e Elevado — definem o rigor com que uma credencial foi estabelecida; o nível apropriado depende do risco do serviço que a utiliza.
• As obrigações de aceitação para os serviços do setor privado estão a ser introduzidas faseadamente, com bancos, telecomunicações e grandes plataformas online entre os setores designados para aceitação obrigatória.
• Por volta de 2026, espera-se que os estados-membros tenham as Carteiras EUDI operacionais, com amplas obrigações de aceitação no setor privado a serem introduzidas posteriormente — embora os prazos de implementação variem por estado-membro.
• A Didit é o único fornecedor de identidade formalmente atestado por um governo de um estado-membro da UE — Tesoro / BdE / SEPBLAC / CNMV de Espanha — como mais seguro do que a verificação presencial, proporcionando uma base pronta para conformidade alinhada com o padrão de garantia Elevado do eIDAS 2.0.

O que é o eIDAS 2.0

O regulamento eIDAS original, adotado em 2014, criou um quadro para o reconhecimento mútuo de esquemas nacionais de identificação eletrónica entre os estados-membros da UE. Funcionou para grandes programas nacionais de eID — o Online-Ausweis da Alemanha, o cartão eID da Bélgica — mas deixou lacunas significativas: sem um formato de carteira comum, cobertura limitada de serviços do setor privado e interoperabilidade transfronteiriça que funcionava melhor em princípio do que na prática operacional.

O eIDAS 2.0 — formalmente Regulamento (UE) 2024/1183, que altera o original — substitui esse modelo fragmentado de esquemas nacionais por uma abordagem europeia única. Cada estado-membro deve disponibilizar uma Carteira EUDI a cada cidadão e entidade legal que a deseje. Cada carteira deve cumprir padrões técnicos comuns. E, crucialmente, os prestadores de serviços especificados devem aceitar apresentações de carteira de qualquer cidadão da UE, independentemente do estado-membro que emitiu a carteira.

A carteira contém credenciais verificáveis: documentos de identidade emitidos pelo governo, qualificações educacionais, licenças profissionais, comprovativo de conta bancária — qualquer atributo formalmente emitido por um prestador de serviços de confiança e eletronicamente apresentável e verificável. Um cidadão alemão a apresentar a sua Carteira EUDI a um banco espanhol, ou um freelancer polaco a apresentar credenciais profissionais a um mercado francês, deve funcionar tão perfeitamente como uma apresentação doméstica.

Níveis de garantia: Baixo, Substancial e Elevado

O eIDAS 2.0 herda o quadro LoA do regulamento original e estende-o ao contexto da carteira. Três níveis definem a confiança com que uma credencial foi estabelecida:

Baixo — a credencial foi estabelecida através de um processo que oferece confiança limitada na identidade reivindicada. Adequado para serviços de baixo risco onde o custo do erro é mínimo e a fricção deve ser a mais baixa possível.

Substancial — a credencial foi estabelecida através de um processo que reduz substancialmente o risco de uso indevido de identidade. A verificação baseada em documentos com verificações automatizadas tipicamente atinge este nível. A maioria das verificações de grau KYC (Conheça o Seu Cliente) são projetadas para garantia Substancial.

Elevado — a credencial foi estabelecida através de um processo que previne o uso indevido com muito alta confiança. A verificação de documentos combinada com a biometria de vivacidade no iBeta Nível 1 ou superior — o equivalente à verificação presencial ou demonstravelmente superior a ela — atinge este nível.

O quadro LoA é importante para as empresas porque mapeia o nível de garantia que um serviço necessita para o método de verificação que o satisfaz. Uma abertura de conta de pagamento pode exigir Substancial; o acesso a um produto financeiro regulado pode exigir Elevado. O eIDAS 2.0 codifica estas expectativas e torna-as portáteis em toda a UE.

O que a Carteira EUDI significa para as empresas

Hoje, um utilizador apresenta a sua identidade à sua plataforma ao carregar uma imagem de documento e tirar uma selfie — e a sua plataforma verifica-a em tempo real. Com a Carteira EUDI, o modelo muda: o utilizador possui uma credencial pré-verificada emitida por um prestador de serviços de confiança de um estado-membro e apresenta essa credencial a si. Você verifica a assinatura criptográfica da credencial e a fiabilidade do emissor — não o documento subjacente do zero.

Para empresas reguladas, o modelo de apresentação da carteira oferece benefícios concretos. A identidade do utilizador já foi verificada por um emissor de confiança com um nível de garantia conhecido, reduzindo o ónus da verificação na sua parte. A credencial do utilizador possui um LoA específico que pode mapear diretamente para os seus requisitos de risco. E credenciais reutilizáveis significam que os utilizadores não voltam a carregar documentos para cada serviço com o qual interagem — reduzindo a fricção de integração para utilizadores legítimos.

O lado da obrigação é igualmente concreto: certas categorias de serviço não podem recusar credenciais apresentadas pela carteira assim que as obrigações de aceitação estiverem em vigor. Um banco ou uma grande plataforma online que se enquadre nas categorias de aceitação obrigatória deve ser capaz de aceitar apresentações de Carteira EUDI — o que requer integração de API com o ecossistema da carteira e lógica de mapeamento de LoA no seu pipeline de identidade.

Obrigações de aceitação e cronograma de faseamento

O eIDAS 2.0 identifica categorias de prestadores de serviços sujeitos à aceitação obrigatória de apresentações de Carteira EUDI: plataformas online muito grandes ao abrigo do Regulamento dos Serviços Digitais, prestadores de serviços bancários e de pagamento, prestadores de serviços de comunicações eletrónicas, prestadores de serviços de transporte e energia e prestadores de serviços de qualificações profissionais.

A obrigação de aceitação é faseada à medida que os estados-membros implementam as suas carteiras. Grandes Projetos Piloto — programas de teste multi-estados-membros que abrangem serviços de saúde, educação, viagens, finanças e governo — estão em curso desde 2023 e estão a gerar especificações técnicas prontas para produção. Espera-se que os estados-membros tenham as Carteiras EUDI operacionais no período por volta de 2026, com obrigações de aceitação obrigatórias no setor privado a serem introduzidas à medida que a infraestrutura amadurece.

O calendário exato, mês a mês, depende do progresso de implementação de cada estado-membro e dos atos de execução que a Comissão Europeia emite. O que é claro é que a direção está definida e a arquitetura técnica é real — as aprendizagens dos programas piloto estão a ser incorporadas nas especificações técnicas finais agora.

O que as empresas devem preparar

Mapeie os seus requisitos de nível de garantia. Para cada serviço que oferece, identifique o LoA que uma credencial apresentada precisa de satisfazer. Um serviço de conteúdo de baixo risco pode precisar de Baixo; uma conta financeira regulada exige Elevado. Este mapeamento determina quais as apresentações de credenciais que precisa de aceitar e como as valida.

Avalie a sua exposição à aceitação obrigatória. Se o seu serviço se enquadra nas categorias nomeadas — banca, telecomunicações, grande plataforma online — a sua obrigação de aceitar apresentações de Carteira EUDI é regulamentar, não opcional. Comece a avaliação técnica antes que a obrigação esteja em vigor, não depois.

Audite a sua arquitetura de verificação de identidade. A aceitação do eIDAS 2.0 não significa remover o seu pipeline de verificação existente — significa estendê-lo. Os utilizadores que têm uma Carteira EUDI apresentam-na; os utilizadores que não a têm completam o fluxo padrão de documento e biometria. Ambos os caminhos precisam de convergir para o mesmo registo de conformidade e classificação LoA.

Construa sobre infraestrutura já atestada. Credenciais emitidas com garantia Elevada exigem um pipeline de verificação que cumpra o padrão LoA Elevado — incluindo verificação biométrica comparável ou superior à identificação presencial. Construir sobre um fornecedor com atestação supervisora existente reduz a sua superfície de conformidade e simplifica o diálogo regulatório.

O que o eIDAS 2.0 significa para os fornecedores de verificação de identidade

A Carteira EUDI não substitui a verificação tradicional de documentos e biometria — adiciona um novo caminho de apresentação ao lado dela. A curto prazo, a maioria dos utilizadores não terá Carteiras EUDI. A médio prazo, a adoção da carteira crescerá à medida que os estados-membros implementarem as suas soluções e a experiência do utilizador amadurecer. A longo prazo, as credenciais de carteira reutilizáveis reduzirão o ónus da verificação por integração para os utilizadores, enquanto o quadro LoA padroniza a forma como as empresas compreendem e comunicam o que verificaram.

Para os fornecedores de verificação de identidade, isto cria um cenário de dois caminhos: verificação tradicional a pedido para utilizadores sem carteiras, e infraestrutura de aceitação de credenciais para utilizadores que apresentam credenciais da Carteira EUDI. O quadro LoA é a ponte entre os dois caminhos — uma empresa com um requisito de garantia Elevada pode satisfazê-lo através de qualquer um dos caminhos.

Casos de uso

Bancos e instituições de pagamento — nomeados no âmbito de aceitação obrigatória desde o início. A integração da Carteira EUDI juntamente com os pipelines KYC existentes permite uma integração perfeita para utilizadores com carteira, enquanto o fluxo existente lida com utilizadores sem carteira. O mapeamento LoA substitui a decisão de verificação por integração para credenciais de carteira de alta garantia.

Provedores de telecomunicações — nomeados nas categorias de aceitação obrigatória. A verificação da identidade do assinante via Carteira EUDI com garantia Elevada é o rumo para o registo regulado de SIM na UE.

Grandes plataformas online e mercados regulados — plataformas online muito grandes ao abrigo do DSA enfrentam obrigações de aceitação obrigatória. A verificação de vendedores e utilizadores com garantia Substancial usando credenciais de carteira é um caso de uso concreto do eIDAS 2.0.

Serviços financeiros transfronteiriços — um utilizador espanhol que se integra num neobanco holandês hoje enfrenta um fluxo completo de documentos e biometria. Com as Carteiras EUDI, a sua credencial pré-verificada emitida pelo governo espanhol é transferida diretamente com o nível de garantia apropriado, reduzindo a fricção para um utilizador legítimo, mantendo o registo de conformidade.

Como a Didit ajuda

A Didit é o único fornecedor de identidade formalmente atestado por um governo de um estado-membro da UE — Tesoro / BdE / SEPBLAC / CNMV de Espanha — como mais seguro do que a verificação presencial. Essa atestação é o padrão de garantia Elevado na prática: verificação de documentos mais vivacidade biométrica avaliada e aprovada por uma autoridade de supervisão financeira nacional, não uma autocertificação.

Para empresas que se preparam para a conformidade com o eIDAS 2.0, isso significa:

• Verificação de Identidade com padrão de grau LoA Elevado via Verificação de Identidade Didit — verificação de documentos mais vivacidade passiva ou ativa mais correspondência facial, tudo certificado iBeta Nível 1 PAD e atestado pelo governo da UE.
• KYC Reutilizável (gratuito) — uma vez que um utilizador é verificado pela Didit, essa verificação é portátil. O utilizador não precisa de se verificar novamente para cada serviço; a credencial e o seu nível de garantia são confiados a jusante.
• Infraestrutura atestada pela UE — construir a sua postura de conformidade com o eIDAS 2.0 num fornecedor com atestação supervisora nacional existente reduz tanto o seu ónus de conformidade quanto o seu ónus de explicabilidade com os reguladores.

À medida que as obrigações de aceitação da Carteira EUDI são introduzidas, o pipeline de verificação da Didit serve como complemento: utilizadores sem carteira verificam-se através do fluxo padrão de documentos e biometria; utilizadores que apresentam carteira completam o caminho de aceitação da carteira; ambos convergem para o mesmo registo de conformidade na sua Consola de Negócios.

Perguntas frequentes

Quando exatamente as empresas devem aceitar as Carteiras EUDI?

O regulamento define uma direção e nomeia categorias de aceitação obrigatória; os prazos precisos variam por estado-membro, categoria de serviço e os atos de execução emitidos pela Comissão. Espera-se que os estados-membros tenham as carteiras operacionais por volta de 2026, com obrigações de aceitação no setor privado a serem introduzidas à medida que a implementação da carteira amadurece. Acompanhe a sua autoridade de implementação nacional e os atos de execução relevantes da UE para o cronograma oficial.

Qual é a diferença entre eIDAS 1.0 e eIDAS 2.0?

O eIDAS 1.0 (2014) criou um quadro de reconhecimento mútuo transfronteiriço para os esquemas nacionais de eID. O eIDAS 2.0 adiciona um formato comum de Carteira EUDI disponível para cada cidadão e entidade legal da UE, estende a cobertura ao setor privado com obrigações de aceitação obrigatórias, introduz Atestados Eletrónicos Qualificados de Atributos (QEAAs) como um novo tipo de credencial portátil e alarga o âmbito dos serviços de confiança regulados.

Aceitar as Carteiras EUDI substitui a verificação KYC?

Não. Aceitar uma credencial apresentada pela carteira é uma das entradas no seu programa de identidade. O nível de garantia da credencial informa o quão fiável foi estabelecida a identidade. O seu programa de conformidade ainda determina qual o nível suficiente para cada serviço, e outras verificações — rastreio AML (Anti-Branqueamento de Capitais), monitorização contínua, monitorização de transações — ainda se aplicam.

Quanto custa a Verificação de Identidade Didit?

O fluxo principal — documento de identificação (0,15 $) + vivacidade passiva (0,10 $) + correspondência facial (0,05 $) + análise de IP (0,03 $) — custa 0,33 $ por verificação. 500 verificações gratuitas por mês. Sem mínimos, pague por chamada.

O que é a atestação do governo da UE da Didit?

O Tesoro (Tesouro) de Espanha, o BdE (Banco de Espanha), o SEPBLAC (autoridade supervisora anti-branqueamento de capitais) e a CNMV (regulador de valores mobiliários) atestaram formalmente que o processo de verificação da Didit é mais seguro do que a identificação presencial. Esta é uma avaliação de uma autoridade supervisora nacional — não uma autocertificação ou prémio da indústria. Detalhes completos no centro de confiança.

Pronto para começar?

Leia a documentação de Verificação de Identidade para entender o pipeline de verificação, veja o produto completo na página do produto Verificação de Identidade, e verifique os preços por chamada na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações gratuitas por mês, sem contrato, sem mínimos.