La revolución de la identidad digital en Europa ya no es una previsión futura, sino una realidad normativa en plena construcción.
La sexta sesión de los Legal Innovation Days pondrá el foco en uno de los cambios más trascendentes del ecosistema digital europeo: la Cartera de Identidad Digital Europea y el nuevo marco de servicios de confianza cualificados que introduce el reglamento eIDAS2.
Una transformación que no solo afecta al ámbito tecnológico, sino que impacta directamente en el ejercicio jurídico, la actividad empresarial y la relación entre ciudadanos y administraciones.
Para analizar este nuevo escenario, el webinario contará con la intervención de Julián Inza, presidente de EADTrust, uno de los mayores expertos en identidad y confianza digital en España.
Desde una perspectiva práctica y estratégica, desgranará las claves de eIDAS2, sus diferencias respecto al marco anterior y los retos que plantea su implantación, en un contexto en el que la seguridad jurídica y la interoperabilidad europea se convierten en pilares esenciales del mercado único digital.
1. Aunque eIDAS2 ya está formalmente en vigor desde mayo de 2024, su desarrollo práctico depende ahora de la implementación técnica y de los actos de ejecución. ¿En qué punto real de aplicación nos encontramos y qué margen de adaptación tienen aún las organizaciones?
Estamos en una fase avanzada pero aún no operativa plena. Los primeros actos de ejecución se adoptaron en noviembre de 2024, y en febrero de 2026 se han presentado borradores que modifican varios de ellos.
El Architecture and Reference Framework (ARF) está en versión 2.8 con cambios frecuentes.
El marco de certificación de carteras de ENISA se espera para finales del primer semestre de 2026, permitiendo auditorías con margen antes del 25 de diciembre de 2026 (obligatoriedad de publicación de cartera por los Estados miembros).
Han concluido cuatro proyectos piloto (DC4EU, EWC, NOBID, Potential), y existe código fuente de referencia en GitHub publicado por Scytale para la Comisión.
Algunos países ya prueban versiones casi definitivas, pero todas requerirán certificación.
El primer paso es obtener la credencial DIP de un organismo público, cuyo procedimiento aún genera dudas. No hay avances claros sobre qué administraciones ofrecerán servicios vía cartera (posible adaptación de @firma).
Las entidades privadas del artículo 5 septies tienen hasta diciembre de 2027 para aceptar la cartera en procesos con autenticación reforzada (sectores: banca, energía, transporte, sanidad, telecomunicaciones, etc.).
El grado de preparación privada es bajo. Las organizaciones aún tienen margen (≈10-11 meses para carteras públicas; ≈22 meses para aceptación obligatoria privada), pero deben actuar ya en integración técnica y seguimiento normativo.
2. La Cartera de Identidad Digital Europea introduce un modelo basado en credenciales verificables y control del usuario. ¿Qué supone este cambio respecto al modelo tradicional de certificados electrónicos y sistemas actuales como Cl@ve?
El modelo eIDAS2 adopta conceptos similares a las credenciales verificables del W3C, pero con terminología propia: “declaraciones electrónicas de atributos” (cualificadas, no cualificadas o expedidas por organismo público).
Flujo: las “fuentes auténticas” envían datos a la cartera vía Prestadores de Declaraciones Electrónicas de Atributos; la cartera los presenta selectivamente a la “parte usuaria” bajo control del titular.
Cl@ve podría evolucionar incorporando la EUDI Wallet como método adicional de autenticación. Los servicios de Cartera Ciudadana podrían emitir declaraciones de atributos.
Los certificados electrónicos tradicionales persisten, ya que la cartera permite generar QES (Qualified Electronic Signature/Seal), probablemente mediante firma remota o sello remoto en nube (dispositivos centralizados).
El cambio principal es pasar de un modelo centralizado y binario (certificado sí/no) a uno descentralizado, selectivo y centrado en el usuario (compartir solo atributos necesarios).
3. Nos encontramos ahora en fase de desarrollo de actos de ejecución e implementación técnica. ¿Cuáles son los principales retos prácticos que afrontará España en el despliegue efectivo de la Cartera Digital?
Los retos clave son:
● Crear y certificar Prestadores de Declaraciones Electrónicas de Atributos (los cualificados requieren auditoría bienal, normas de evaluación y auditores acreditados).
● Establecer vínculos operativos entre “fuentes auténticas” y Prestadores.
● Implementar protocolos en las “partes usuarias” (que ven ventajas pero reciben poca guía institucional sobre integración, APIs y certificados necesarios para solicitar datos a carteras).
La falta de información clara y estandarizada sobre cómo integrarse está retrasando la preparación, especialmente en el sector privado.
4. eIDAS2 amplía el catálogo de servicios de confianza cualificados, incluyendo nuevos elementos como los atributos electrónicos cualificados o la conservación cualificada reforzada. ¿Cuáles cree que tendrán mayor impacto en el sector legal y corporativo?
Los de mayor impacto serán:
● Archivo Electrónico: Similar al actual servicio de conservación de firmas/sellos, pero permite preservar electrónicamente documentos digitalizados de originales en papel (considerando 66 del Reglamento).
● Archivo Electrónico con Orden Cronológico: Aunque se esperaba que se definiera con uso de DLT, los actos de ejecución apuntan a un servicio centralizado evolucionado del archivo electrónico.
● Firma remota y sello remoto: Gestión de claves en la nube por el prestador en nombre del firmante, facilitando QES/QSeal sin dispositivos locales.
Estos servicios mejoran la trazabilidad, la conservación a largo plazo y la accesibilidad de firmas cualificadas en entornos corporativos y legales.
5. Desde la perspectiva de los prestadores cualificados de servicios de confianza, ¿cómo cambia el papel de entidades como EADTrust en este nuevo ecosistema de identidad digital europea?
Por un lado, se consolidan los servicios ya existentes, pero aparecen otros nuevos. El reto no es solo implementarlos en tanto que PSC (Prestador de Servicios de Confianza), que también, sino crear una división de servicios profesionales de apoyo a los clientes (entidades públicas y sujetos obligados del artículo 5 septies que van a requerir nuevas bibliotecas técnicas y APIS y guías de implementación.
El cambio de paradigma en la gestión de Identidad va a ser tan relevante que aparecerán negocios nuevos que se beneficien de la nueva agilidad para contratar online servicios de todo tipo y que tendrán ventajas si van de la mano de Prestadores que estén implementando los conceptos de cartera desde el minuto uno, como es el caso de EADTrust.
6. De cara a su ponencia en Legal Innovation Days, ¿qué deberían empezar a hacer hoy los despachos y empresas que quieran estar realmente preparados para el nuevo marco eIDAS2?
Mi primera sugerencia sería que se inscribieran en el formulario disponible en nuestra página web usercentric.id (directorio) de forma que puedan recibir información sobre los cambios que se van produciendo.
Y si tienen posibilidad de asignar recursos técnicos, pueden hacer pruebas con el prototipo de cartera cuyo código fuente se ha publicado en Github.
A las entidades de los sectores incluidos en el artículo 5 septies les recordaría que tiene algo más de un año para adaptarse, pero que eses es un tiempo escaso en las grandes instituciones. Deberían iniciar ya una evaluación de impacto, planificación de integración y formación interna.
