El Reglamento (UE) 2024/1183, conocido como eIDAS2, entró en vigor el 20 de mayo de 2024 para modificar y actualizar sustancialmente el Reglamento eIDAS original de 2014 (UE 910/2014). Su objetivo central es establecer el marco europeo de identidad digital, con la Cartera de Identidad Digital Europea —denominada en español Cartera IDUE, y en inglés EUDI Wallet (European Digital Identity Wallet)— como pieza vertebral del nuevo ecosistema.
Este marco introduce cambios de calado: todo ciudadano o residente de la UE tendrá derecho a una identidad digital bajo su control exclusivo; los prestadores cualificados de servicios de confianza ganan nuevas categorías y obligaciones; y los sectores privados estratégicos deberán aceptar la Cartera como medio de identificación y firma electrónica antes del 31 de diciembre de 2027.
Lo que sigue es un conjunto de preguntas y respuestas sobre #EIDAS2 y la @EUDIWallet elaboradas por Julián Inza, Presidente de EADTrust (Grupo Garrigues), Prestador Cualificado de Servicios de Confianza Electrónica, y uno de los observadores más activos en España del desarrollo normativo y técnico de eIDAS2. En su blog Todo es electrónico (inza.blog) ha publicado, entre otras contribuciones, la traducción al español del Architecture and Reference Framework (ARF) —el documento técnico de referencia de la Cartera IDUE— y mantiene la lista más actualizada en lengua española de los actos de ejecución publicados. En esta entrevista repasa el estado de la implementación, los retos para España, los nuevos servicios de confianza y los pasos que deberían dar hoy despachos y empresas.
BLOQUE 1 — EL MARCO NORMATIVO: DE LA LEY A LOS ACTOS DE EJECUCIÓN
Pregunta 1. eIDAS2 lleva en vigor desde mayo de 2024, pero su eficacia práctica depende de los actos de ejecución. ¿Qué son exactamente y cuántos hay ya publicados?
El Reglamento eIDAS2 establece el marco jurídico de alto nivel, pero las especificaciones técnicas concretas —cómo debe funcionar la Cartera, qué protocolos usa, cómo se certifica su seguridad, qué atributos mínimos debe contener el dato de identificación personal— se desarrollan mediante reglamentos de ejecución (Implementing Acts, o CIR por sus siglas en inglés). Estos se publican en el Diario Oficial de la Unión Europea y son directamente aplicables en todos los Estados miembros, sin necesidad de transposición nacional.
Los primeros borradores se difundieron el 12 de agosto de 2024, el primer lote definitivo —cinco reglamentos— se adoptó el 21 de noviembre de 2024 en la tercera reunión del Comité eIDAS. A finales de 2025 se había llegado a 22 actos de ejecución publicados Cyber Risk GmbH, y en febrero de 2026 se ha añadido el CIR 2026/248 sobre formatos de firma electrónica avanzada reconocidos por organismos del sector público. En total, a fecha de esta entrevista la lista supera los 30 actos de ejecución publicados en el Diario Oficial, aunque el marco sigue siendo incompleto: aún faltan actos que el propio Reglamento remite expresamente a publicaciones adicionales, y en algunos casos se publican nuevos actos para modificar los anteriores Inza.
El primer lote (CIR 2024/2977 a 2024/2982) regula los aspectos nucleares de la Cartera: los datos de identificación personal (DIP) y las declaraciones electrónicas de atributos (DEA), la integridad y funcionalidades básicas, los protocolos e interfaces, las notificaciones del ecosistema y la certificación de soluciones de cartera. Los lotes posteriores han ido cubriendo áreas como la correspondencia transfronteriza de identidades (CIR 2025/846), las violaciones de seguridad (CIR 2025/847), el registro de partes usuarias (CIR 2025/848), la lista de carteras certificadas (CIR 2025/849), las declaraciones electrónicas cualificadas de atributos (CIR 2025/1569), la gestión de dispositivos de firma remota (CIR 2025/1567), los certificados cualificados (CIR 2025/1943), la preservación de firmas y sellos (CIR 2025/1946) y los sellos de tiempo cualificados (CIR 2025/1929), entre otros.
La tercera semana de febrero de 2026 se han presentado nuevos borradores en consulta pública, entre ellos una modificación del CIR 2025/848 sobre registro de partes usuarias y una iniciativa que actualiza referencias técnicas en los CIR 2024/2977, 2979, 2980 y 2982. El plazo para enviar comentarios sobre algunos de estos borradores finaliza el 5 de marzo de 2026.
Pregunta 2. ¿En qué punto real de aplicación nos encontramos y qué margen de adaptación queda?
Nos encontramos en una fase avanzada de construcción normativa, pero todavía lejos de la plena operatividad. El documento de referencia técnica, el Architecture and Reference Framework (ARF), va ya por la versión 2.8, con una cadencia de cambios muy intensa —a veces dos actualizaciones en el mismo mes— lo que ilustra la velocidad a la que aún evoluciona la especificación.
El marco de certificación de carteras impulsado por ENISA (Agencia de la Unión Europea para la Ciberseguridad) se espera que esté disponible al terminar el primer semestre de 2026. Los Estados miembros tienen hasta el 31 de diciembre de 2026 para poner a disposición al menos una Cartera IDUE; para poder cumplir ese plazo, las entidades auditoras necesitarán disponer del esquema de certificación con margen suficiente. Algunos países, principalmente del norte de Europa, llevan ventaja y están probando versiones casi definitivas, pero esas carteras también tendrán que superar el proceso de certificación.
Durante los tres años previos, cuatro grandes proyectos piloto financiados por la Comisión Europea —DC4EU, EWC, NOBID y Potential— han experimentado con casos de uso reales. La empresa Scytales ha publicado en GitHub, por encargo de la Comisión, el código fuente de una implementación de referencia de Cartera con varias de las funcionalidades requeridas, lo que facilita la entrada de nuevos desarrolladores al ecosistema.
En cuanto al margen de adaptación: las entidades privadas incluidas en el artículo 5 septies del Reglamento tienen hasta el 31 de diciembre de 2027, plazo que puede parecer amplio, pero que para las grandes organizaciones resulta escaso si se tiene en cuenta el tiempo necesario para aprobar proyectos internamente, hacer pruebas de integración y formar a los equipos.
BLOQUE 2 — LA CARTERA IDUE: ARQUITECTURA Y CAMBIO DE MODELO
Pregunta 3. ¿Qué es exactamente la Cartera IDUE y en qué se diferencia del modelo de identidad digital que conocemos hasta ahora?
La Cartera IDUE es una aplicación —habitualmente móvil, aunque también puede ser un servicio en la nube— que permite a ciudadanos y empresas almacenar, gestionar y presentar de forma segura sus credenciales digitales: documentos de identidad, títulos académicos, permisos de conducción, credenciales profesionales, registros de salud y cualquier otro atributo que un organismo emisor haya vinculado a su identidad.
El cambio de modelo respecto a la identidad digital clásica es significativo en tres dimensiones. La primera es el control del usuario: en el modelo tradicional, la identidad se gestiona en sistemas centralizados, siendo el usuario un sujeto pasivo; con la Cartera, el titular decide qué atributos comparte, con quién y en qué momento, con posibilidad de divulgación selectiva —por ejemplo, demostrar que se es mayor de edad sin revelar la fecha de nacimiento exacta. El Reglamento exige además que la Cartera mantenga un registro de transacciones accesible al usuario, con hora, fecha, contraparte y datos compartidos.
La segunda dimensión es el modelo de declaraciones de atributos, que en eIDAS2 adopta su propia terminología: aunque comparte inspiración con los estándares de credenciales verificables del W3C, el Reglamento las denomina declaraciones electrónicas de atributos (DEA), con tres variantes según quién las emite: declaraciones cualificadas (emitidas por un Prestador Cualificado de Declaraciones Electrónicas de Atributos), declaraciones no cualificadas y declaraciones emitidas por un organismo público. En el flujo de información, las fuentes auténticas —los registros que contienen el dato original, como el Registro Civil o los colegios profesionales— proporcionan información a través de un Prestador de Declaraciones, que la formaliza y entrega a la Cartera; la Cartera, a su vez, la presenta a las partes usuarias que la solicitan al contratar un servicio o iniciar una transacción.
La tercera dimensión es la interoperabilidad paneuropea: la Cartera debe funcionar y ser reconocida en cualquier Estado miembro, lo que requiere protocolos y estándares comunes, definidos precisamente a través de los actos de ejecución.
Respecto a sistemas como Cl@ve, lo más probable es que se amplíe para incorporar la Cartera IDUE como mecanismo adicional de identificación, y que los servicios de la Cartera Ciudadana puedan generar declaraciones de atributos. Los certificados electrónicos cualificados no desaparecen: la Cartera integrará la capacidad de generar firma electrónica cualificada (QES, Qualified Electronic Signature/Seal), previsiblemente mediante variantes de firma o sello remoto con dispositivos de creación centralizados en la nube.
Pregunta 4. ¿Qué dice exactamente el Reglamento sobre quiénes están obligados a aceptar la Cartera y desde cuándo?
El artículo 5 septies del Reglamento establece la obligación para las entidades privadas que ofrezcan servicios con autenticación reforzada en línea en sectores estratégicos. Los ámbitos expresamente citados son el transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación y las telecomunicaciones.
El plazo es el 31 de diciembre de 2027: antes de esa fecha, estas entidades deberán poder ofrecer servicios en los que el mecanismo de identificación y firma electrónica sea la Cartera IDUE. El grado de preparación de las entidades privadas en España todavía es muy bajo, y la información institucional disponible sobre cómo integrarse es escasa.
Las administraciones públicas tienen el plazo anterior —diciembre de 2026— para aceptar la Cartera. No se conocen aún avances concretos en España sobre qué administraciones específicas articularán esa integración ni a través de qué plataformas, aunque la adaptación de la plataforma @firma parece la vía más natural.
BLOQUE 3 — RETOS DE IMPLEMENTACIÓN EN ESPAÑA
Pregunta 5. ¿Cuáles son los principales retos prácticos que afrontará España en el despliegue efectivo de la Cartera?
El reto mayor es construir el ecosistema completo, no solo la Cartera en sí. Una Cartera sin emisores de declaraciones de atributos y sin partes usuarias que la acepten es un recipiente vacío. Desgranar los elementos de ese ecosistema ayuda a visualizar la complejidad:
En primer lugar, deben constituirse Prestadores de Declaraciones Electrónicas de Atributos. Los cualificados están sujetos a auditoría cada dos años, lo que implica que deben existir normas de evaluación y auditores habilitados para realizarla. En España no hay experiencia acumulada en este tipo de servicio específico.
En segundo lugar, es necesario establecer los vínculos operativos entre las fuentes auténticas —Registro Civil, DGT, colegios profesionales, registros sanitarios, etc.— y los Prestadores que emitirán las declaraciones. Esto requiere acuerdos institucionales, adaptaciones técnicas y, en algunos casos, modificaciones normativas sectoriales.
En tercer lugar, las partes usuarias —empresas y administraciones que recibirán y verificarán las declaraciones— deben implementar los protocolos definidos en los actos de ejecución (fundamentalmente en el CIR 2024/2982 sobre protocolos e interfaces) e identificarse ante las Carteras mediante un certificado cualificado específico. Muchas organizaciones aún no saben a quién solicitar ese certificado ni cómo integrarse técnicamente.
Finalmente, hay un reto de coordinación institucional: la definición de qué organismo público emitirá el dato de identificación personal (DIP) como primera credencial de la Cartera —el punto de partida de todo uso— y mediante qué procedimiento el titular podrá obtenerla, todavía no está resuelta en España.
Pregunta 6. Los actos de ejecución publicados han despejado algunas dudas técnicas, pero también han generado sorpresas. ¿Puede poner algún ejemplo relevante?
Un ejemplo que generó expectativas distintas es el servicio de Archivo Electrónico con Orden Cronológico, que muchos esperaban que se implementara obligatoriamente con tecnología de registro distribuido (DLT o blockchain). Sin embargo, los actos de ejecución publicados indican que puede implementarse como un servicio centralizado evolucionado del Archivo Electrónico estándar, sin necesidad de DLT.
Otro ejemplo es el debate sobre los registros de transacciones de la Cartera: en versiones previas del borrador existía riesgo de que el operador de la Cartera pudiera acceder a los registros de comportamiento de todos los usuarios. La versión final del CIR 2024/2979 garantiza que esos registros permanezcan únicamente en el dispositivo del usuario, protegiendo así la privacidad y evitando perfiles de uso centralizados.
Los nuevos certificados cualificados de sitio web (QWAC) presentan también novedades: el CIR 2025/2527, publicado en diciembre de 2025, establece las normas de referencia para los certificados QWAC de primera y segunda generación (1-QWAC y 2-QWAC), respondiendo a una tensión que se había generado con el ecosistema de navegadores en los últimos años.
BLOQUE 4 — NUEVOS SERVICIOS DE CONFIANZA CUALIFICADOS
Pregunta 7. eIDAS2 amplía el catálogo de servicios de confianza cualificados. ¿Cuáles tendrán mayor impacto en el sector legal y corporativo?
eIDAS2 incorpora al catálogo de servicios de confianza cualificados categorías completamente nuevas y refuerza otras ya existentes. Para el sector legal y corporativo, destacaría tres:
El primero es el Archivo Electrónico Cualificado: aunque es conceptualmente similar al servicio ya existente de conservación de firmas y sellos electrónicos, el considerando 66 del Reglamento añade expresamente la posibilidad de preservar de forma electrónica documentos procedentes de la digitalización de originales en papel. Esto es muy relevante para despachos y corporaciones con grandes volúmenes documentales físicos, ya que abre la vía a la destrucción del papel original con plenas garantías de valor probatorio. El CIR 2025/1946 regula la preservación de firmas y sellos cualificados, y el CIR 2025/1942 la validación cualificada de firmas y sellos.
El segundo es el Archivo con Orden Cronológico, que —como se ha dicho— puede implementarse de forma centralizada y que abre la puerta a servicios de registro fehaciente de eventos con sellado temporal reforzado: especialmente útil en procesos de due diligence, gestión de contratos y cumplimiento normativo.
El tercero es la firma remota o sello remoto cualificado, que aunque tiene antecedentes en el mercado, ahora recibe reconocimiento explícito en el Reglamento y en los actos de ejecución (CIR 2025/1567). Permite generar firmas electrónicas cualificadas sin necesidad de que el firmante tenga un dispositivo criptográfico local: la infraestructura se despliega en la nube en nombre del firmante, bajo su control, lo que facilita enormemente la firma desde dispositivos móviles y en flujos completamente digitales.
BLOQUE 5 — EL PAPEL DE LOS QTSP Y DE EADTRUST
Pregunta 8. ¿Cómo cambia el papel de los prestadores cualificados de servicios de confianza en este nuevo ecosistema?
El ecosistema eIDAS2 consolida los servicios ya existentes —certificación, firma, sello, sellado de tiempo, entrega certificada, validación— pero añade nuevas categorías a las que los Prestadores Cualificados de Servicios de Confianza (QTSP, por sus siglas en inglés, o PSC en español) deberán adaptarse. Entre ellas, la más novedosa es la emisión de Declaraciones Electrónicas Cualificadas de Atributos, regulada ahora por el CIR 2025/1569.
El reto para un prestador como EADTrust no es solo implementar técnicamente los nuevos servicios —que también— sino desarrollar una capacidad de acompañamiento profesional a clientes que necesitan entender cómo integrarse en el nuevo marco: entidades públicas que deben emitir el DIP o actuar como fuentes auténticas, empresas obligadas por el artículo 5 septies que necesitan integrar la Cartera en sus flujos de verificación de identidad, y despachos que gestionan documentación con valor legal que debe conservarse a largo plazo.
Aparecerán además negocios nuevos que aprovechen la mayor agilidad que el nuevo modelo ofrece para contratar servicios en línea. Las organizaciones que en estos momentos están aprendiendo e implementando los conceptos de Cartera desde sus primeras etapas tendrán ventaja competitiva cuando el ecosistema alcance plena operatividad.
BLOQUE 6 — QUÉ HACER HOY
Pregunta 9. ¿Qué deberían empezar a hacer hoy los despachos y empresas que quieran estar preparados para eIDAS2?
Mi primera recomendación es no esperar a que todo esté resuelto normativamente para empezar a aprender. El marco evoluciona rápido, pero las bases conceptuales —arquitectura de la Cartera, flujo de declaraciones de atributos, nuevos servicios de confianza— son ya suficientemente estables como para dedicarles tiempo.
Para quienes quieran seguir los desarrollos normativos, sugiero suscribirse al directorio de la web usercentric.id, donde se difunden actualizaciones periódicas sobre cambios en el marco. El blog inza.blog también mantiene en español la lista de actos de ejecución publicados y publica análisis de las novedades.
Para los equipos técnicos, es posible hacer pruebas con el prototipo de referencia cuyo código fuente está publicado en GitHub por encargo de la Comisión Europea. El evento EUDI Wallets Launchpad, celebrado en diciembre de 2025 en Bruselas, fue el primer encuentro de pruebas de interoperabilidad entre implementadores de Carteras, emisores y verificadores, y confirma que el ecosistema empieza a ser funcional de forma práctica.
Para las organizaciones de los sectores del artículo 5 septies, el mensaje urgente es que diciembre de 2027 llega rápido para las grandes instituciones. Un proyecto de integración de esta complejidad —con sus fases de análisis, aprobación interna, desarrollo, pruebas y formación— requiere iniciar el trabajo con al menos dos o tres años de antelación. Quien no haya comenzado a planificar en 2026 tendrá dificultades para cumplir en plazo.
El entrevistado, Julián Inza, es Presidente de EADTrust (Grupo Garrigues), Prestador Cualificado de Servicios de Confianza Electrónica. Publica regularmente en inza.blog sobre identidad digital, firma electrónica, eIDAS2 y la Cartera IDUE. Para consultas: +34 917 160 555.