Todo sobre eIDAS 2: Fechas, impacto, novedades, EUDI y la nueva wallet

eidad 2 y  wallet eudi

Índice

    icon newsletter
    El mejor contenido en tu bandeja de entrada

    El Reglamento eIDAS 2 es una realidad. Tras años debatiendo sobre su alcance y tras arduas negociaciones por parte de los estados miembros de la UE y los grupos parlamentarios del Parlamento Europeo, eIDAS 2.0 ha sido aprobada con una amplia mayoría de los apoyos de la cámara. ¿En qué te afecta?

    A continuación, repasaremos la actualidad de la nueva norma, veremos los últimos cambios sucedidos alrededor de su aprobación y analizaremos cómo pueden tanto ciudadanos como empresas hacer uso de todas las ventajas que les ofrece eIDAS2.

    Últimas novedades sobre eIDAS 2

    En noviembre de 2023 finalizaron las negociaciones para la propuesta y borrador de la actualización del Reglamento eIDAS (electronic IDentification, Authentication and trust Services). Tras eso, se elaboró un texto final, que contó con el beneplácito de todos los estados miembro durante la presidencia española del Consejo de la Unión Europea. 

    eIDAS 2 es el marco legal al que debemos acudir para entender los servicios electrónicos y la identificación de ciudadanos en la Unión Europea. A partir de ahora, los países europeos cuentan con un plazo para aplicar una serie de cambios que van a transformar la forma en la que ciudadanos, empresas e instituciones interactúan entre sí. Nuevas formas más ágiles, sencillas y, sobre todo, seguras.

    Con 335 votos a favor, eIDAS 2 ha visto finalmente la luz el día 29 de febrero de 2024. En nuestro anterior artículo ya repasamos todas las diferencias y cambios sustanciales entre eIDAS y eIDAS 2, pero vamos a hacer un resumen:

    Qué es eIDAS 2

    eIDAS 2 es una revisión del Reglamento (UE) Nº 910/2014 sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interno europeo. Ahora, se quiere ir muchísimo más allá con la intención de dotar a las empresas, organizaciones y ciudadanos europeos de herramientas digitales con las que identificarse, compartir información y realizar operaciones sensibles con total seguridad de los datos.

    • Se refuerza la seguridad de la identificación electrónica y los servicios de confianza, dando nuevos métodos de identificación (nuevo documento de identificación digital dentro de la EUDI Wallet) y autenticación además de ampliar el número de servicios de confianza para atajar casos de uso que quedaban ambiguamente resueltos por la anterior norma.
    • Se introducen nuevos tipos de credenciales, como las credenciales verificables. Estas permiten a los usuarios demostrar y compartir sus atributos elegidos (edad, titulación, permisos, score crediticio, etc.) sin revelar información personal innecesaria.
    • Promoción de la identidad autosoberana digital, donde los usuarios tienen un mayor control sobre sus datos personales, basados en una identificación digital oficial de la UE y cada estado.
    • Facilita la interoperabilidad transfronteriza de los servicios de confianza.
    • Amplía el ámbito de aplicación de eIDAS a nuevos sectores, como la salud, la movilidad y la educación. También se amplían las obligaciones de las FinTech y otras BFSI a la hora de identificar a sus clientes.
    • Se han definido nuevos niveles de seguridad: Se introduce un cuarto nivel de seguridad "muy alto" para las transacciones de alto riesgo.

    De esta forma, al modificar la anterior norma, nos encontramos con un nuevo marco para una Identidad Digital Europea (COM(2021)0281 – C9-0200/2021 – 2021/0136(COD)) o Reglamento eIDAS 2. Su publicación en el DOUE (Diario Oficial de la Unión Europea) es inminente. Es importante destacar que eIDAS2 convivirá y deberá relacionarse con otras normas importantes como PSD3, AML6, Reglamento DORA, NIS2, el RGPD y las regulaciones asociadas en cada estado miembro así como los mandatos de reguladores sectoriales (como el SEPBLAC y el ENS en mercados como España).

    eIDAS2 - la nueva identidad europea

    Identidad digital en el Reglamento eIDAS 2

    A partir de ahora, todos los ciudadanos de la Unión Europea, así como los residentes, tendrán la capacidad de gestionar fácilmente sus datos de identidad y ofrecerlos si así lo desean y de forma segmentada a las empresas, administraciones y a otros ciudadanos. Esto implica acciones de solicitar, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos relacionados con su identidad de manera segura (en línea con el RGPD)

    El objetivo principal de eIDAS 2 es proporcionar a los usuarios una cartera de identidad digital europea que sea completamente portátil, segura y fácil de usar para los fines que hemos descrito anteriormente. Como medida transitoria, hasta que se implementen soluciones certificadas inalterables, como medidas de protección dentro de los dispositivos de los usuarios, las carteras digitales de identidad europeas pueden utilizar medidas de protección externas certificadas para proteger los datos criptográficos y otros datos sensibles. Este Reglamento también reconoce las condiciones nacionales relacionadas con la expedición y el uso de medidas de protección externas certificadas.

    Se espera que la nueva forma de entender la identidad digital en eIDAS 2.0 promueva la creación de valor económico al facilitar el acceso a bienes y servicios, así como reducir los costes asociados para los negocios con los procedimientos de identificación y autenticación electrónicos gracias a soluciones RegTech aún más ágiles y potentes. Esto incluye la reducción de los costes de onboarding, KYC, Due Diligence y otros procesos.

    La mitigación de riesgos de ciberdelitos se espera ampliar gracias al renovado reglamento eIDAS, como la usurpación de identidad, el robo de datos y el fraude en línea. Además, se busca impulsar la eficiencia y la transformación digital segura de las pequeñas y medianas empresas (PYMES) en la UE.

    En la Propuesta Oficial COM/2021/281 final de la UE (específicamente en el punto uno del memorándum) podemos ver los objetivos clave de eIDAS 2, que se centran en facilitar el uso transfronterizo de soluciones de identidad electrónica de alta seguridad y confianza

    Además, se pretende que tanto personas físicas como jurídicas puedan utilizar estas soluciones de identidad digital de manera efectiva. Estas soluciones deben estar equipadas para compartir datos de identidad específicos según las necesidades de cada servicio. También se busca asegurar la aceptación equitativa de los servicios de confianza cualificados en la Unión Europea. Para lograr estos objetivos, eIDAS 2 propone un sistema de "cartera y billetera electrónica EUDI" que permita la identificación electrónica de las personas mientras se mantiene el control total sobre sus datos personales.

    eidas 2 identidad digital

    EUDI y eIDAS 2: Nueva wallet para todos

    EUDI (European Union Digital Identity) es el sistema propuesto por eIDAS 2 para construir un modelo de documentación digital de identificación de los ciudadanos, residentes y empresas de Europa. El nuevo reglamento introduce la "Cartera Europea de Identidad Digital" (EUDI) como un medio seguro para que los ciudadanos de la UE almacenen y gestionen sus datos de identificación, atributos y credenciales. Esta herramienta permitirá a los usuarios:

    • Identificarse y autenticarse en línea.
    • Firmar documentos electrónicos de forma segura con firma electrónica cualificada directamente desde la EUDI Wallet.
    • Generar seudónimos para proteger su privacidad al acceder a servicios online (aunque demostrando que es una persona real, pero sin revelar su identidad).
    • Acceder a servicios públicos y privados de forma segura.

    Su uso será voluntario, sin discriminación para aquellos que opten por no usarlas. Los estados miembros de la UE están obligados por eIDAS 2.0 a proporcionar al menos una cartera en los próximos veinticuatro meses. Es un producto y servicio público para   identificar a ciudadanos de la UE tanto de forma presencial como online. Estas carteras incorporarán tecnologías de protección de privacidad, como la prueba de conocimiento cero, para garantizar la privacidad del usuario. El código fuente de las aplicaciones debe ser transparente y de código abierto.

    Las carteras se ofrecerán directamente por iniciativa de entidades de los estados miembros, bajo mandato de estos, o de manera independiente con reconocimiento estatal (organizaciones privadas o proveedores de servicios de confianza QTSP que desarrollen su propia wallet digital).

    Las carteras europeas de identidad digital se proporcionarán de forma gratuita.Se podrán usar para acceder a servicios públicos y privados en toda la Unión Europea y deberán conectar con las organizaciones que requieran datos de los usuarios para poder interaccionar con ellos (hacerles cliente, partner, proveedor, contrataciones de nuevos empleados, socios, etc).

    ¿Cómo funcionará la wallet de identidad europea?

    Fechas clave, eIDAS 2.0 y la Wallet EUDI en cada estado

    Los países miembros de la Unión Europea tendrán 24 meses para proporcionar al menos una EUDI a sus ciudadanos (como así lo obliga eIDAS 2 en su artículo 5a(1)). La Comisión Europea irá proporcionando directrices y herramientas para facilitar la implementación a lo largo de todo el periodo de adaptación.

    Con las nuevas actualizaciones y las últimas novedades, actualmente la hoja de ruta de eIDAS 2 queda de la siguiente manera:

    1. Junio de 2021: La Comisión Europea presenta una propuesta de Reglamento para actualizar eIDAS que lleva como base los proyectos piloto EUDI Wallet de los distintos consorcios (analizado en nuestro artículo sobre EUDI).
    2. Febrero de 2022: Primer esquema y marco de referencia para el desarrollo de la arquitectura de la identidad digital EUDI de Europa.
    3. Octubre 2022: Publicación oficial de los nuevos servicios de confianza y la arquitectura técnica de la nueva identidad digital ciudadana.
    4. Junio de 2023: La Comisión Europea publica una guía para la implementación de eIDAS2.
    5. Noviembre 2023: Elaboración del texto final y culminación de detalles.
    6. Febrero de 2024: Votación y aprobación de la norma.
    7. H1 2024: Implementación de los actos con especificaciones técnicas y procesos para EUDI Wallet según los resultados de los proyectos piloto.
    8. Septiembre de 2024: Fecha límite para que los Estados miembros transpongan eIDAS 2 a sus legislaciones nacionales.
    9. Q4 2024 y H1 2025: Trabajo del QTSP que implementará la EUDI Wallet en el estado miembro, con procesos y desarrollo técnico.
    10. Septiembre de 2026: Fecha límite para que los proveedores de servicios de confianza se adapten a los nuevos requisitos de eIDAS2 y los estados miembros de la Unión Europea entreguen su EUDI Wallet.
    11. 2025-2026: Primeros años de desarrollo, mejoras y seguimiento por parte de la Comisión Europea. Periodo de adaptación de ciudadanos, empresas e instituciones. Verificación de atributos de los sistemas de autenticación en 24 meses desde la aprobación (Artículo 45e de eIDAS 2).
    12. 2025-2027: Especificación y desarrollo de los requerimientos para la SCA (Strong Customer Authentication) en la identificación online (Artículo 5f(2)) con las EUDI Wallet. Definición de los requisitos para grandes plataformas online (Artículo 5f(3)) y aceptación de todas las administraciones públicas de la EUDI Wallet como medio de autenticación (Artículo 5f(1)).
    13. 2030: Objetivo del 80% de ciudadanos y empresas de la UE utilizando activamente EUDI Wallet bajo las normas eIDAS 2.0 adaptadas por organizaciones, empresas e instituciones.

    Mientras tanto, se permitirá el uso de medidas de protección externas certificadas de manera transitoria (actuales servicios de confianza cualificados según eIDAS 1). Este enfoque se implementará sin interferir con las regulaciones nacionales sobre expedición y uso de medidas de protección externas certificadas relativas a la nueva eIDAS2. Otros métodos de identificación pueden convivir con EUDI y eIDAS 2 (siendo opcionales, secundarios y no-preferibles) para que los usuarios que voluntariamente no decidan usar la Wallet EUDI puedan identificarse y compartir datos con empresas y otras organizaciones (sujetas al RGPD igualmente).

    eidas 2.0

    ¿Cómo adaptarse a la nueva norma eIDAS2? 

    Este nuevo panorama para la gestión de la identidad digital enfrenta a las compañías al desafío de adaptarse a sus requisitos para seguir operando de forma segura y eficiente. Las empresas tecnológicas RegTech juegan un papel fundamental en este proceso al ofrecer soluciones innovadoras que permiten a las empresas cumplir con los requisitos de eIDAS 2 de manera eficiente y efectiva. Estas soluciones pueden incluir plataformas de identificación digital, sistemas de gestión de identidades, servicios de autenticación electrónica y herramientas de firma digital, entre otros.

    Además de proporcionar herramientas y tecnologías específicas, se ofrece consultoría y asesoramiento para ayudar a las empresas a comprender y cumplir con los requisitos regulatorios de eIDAS 2. Esto puede incluir la realización de evaluaciones de riesgos, la implementación de políticas y procedimientos de cumplimiento, y la formación del personal en cuanto al uso adecuado de las nuevas tecnologías y procesos.

    1. Familiarizarse con la normativa: Es fundamental comprender los requisitos técnicos, legales y operativos de eIDAS 2. La Comisión Europea y los QTSP de cada país ofrecen información y recursos para facilitar este proceso.
    2. Evaluar el impacto en la empresa: Se debe analizar qué procesos y sistemas se encuentran afectados por eIDAS 2 y qué medidas son necesarias para adaptarlos.
    3. Seleccionar una solución tecnológica adecuada: Elegir una empresa RegTech que ofrezca soluciones confiables y adaptadas a las necesidades específicas de cada empresa.
    4. Implementar la solución tecnológica: Integrar la nueva tecnología sin fricción, de forma segura y eficiente en los sistemas existentes de la empresa.
    5. Formar al personal: Capacitar a los empleados en el uso de las nuevas herramientas y procedimientos para la gestión de la identidad digital.
    6. Monitorear y actualizar: Es importante realizar un seguimiento continuo del cumplimiento de la normativa y actualizar las soluciones tecnológicas según sea necesario.

    La adaptación a eIDAS 2 es un proceso necesario y que traerá un gran crecimiento económico y ahorro de costes para las empresas que buscan aprovechar las ventajas de la identidad digital segura en el mercado europeo. Las empresas RegTech se convierten en socios estratégicos para facilitar este proceso y brindar soluciones tecnológicas confiables y eficientes. La EUDI tiene el potencial de:

      • Reducir la carga administrativa para los ciudadanos y las empresas.
      • Fomentar la movilidad y las ventas transfronterizas dentro de la UE.
      • Desarrollar nuevos servicios digitales interoperables.
      • Facilitar el acceso a servicios públicos y privados de forma segura y cómoda.

    La implementación del eIDAS 2 tendrá un impacto sustancial en las operaciones digitales de cualquier empresa, especialmente aquellas involucradas en transacciones electrónicas de un nivel de riesgo moderado como las BFSI, las telco o las utilities. Es esencial evaluar detenidamente cómo estas nuevas regulaciones influirán en los procesos internos de cada organización y especialmente en los relativos al cliente, para poder tomar las medidas pertinentes para garantizar el cumplimiento de los requisitos establecidos por el eIDAS 2.

    Como empresa RegTech QTSP oficializada por la Unión Europea, comprendemos a fondo estos cambios y ayudamos a nuestros clientes a lidiar con la transición a través de la integración fácil de soluciones sencillas y asequibles. Para cumplir con estas regulaciones emergentes debemos asegurar la seguridad y confiabilidad de todas nuestras transacciones electrónicas en cualquier operación.

    Comienza hoy a adaptarte a eIDAS 2. Habla con nuestros expertos

    eIDAS 2: Casos de uso para ciudadanos y empresas

    Los casos de uso para la cartera EUDI de eIDAS2 se pueden encontrar en casi todas las áreas de la vida, la economía y en cualquier sector o industria. A continuación mostramos una lista ordenada de casos de uso, la más completa que puedes encontrar en la red hasta la fecha. 

    La denominación EAA pertenece a Atributo de autenticación electrónica y QEAA a Atributo calificado de autenticación electrónica, según se ha establecido en los distintos pilotos de la EUDI Wallet. Las ODI están referidas al uso de una identidad de la organización y las PD a las basadas en protocolos de datos. La frecuencia de uso es una estimación según estudios de los ciudadanos europeos como usuarios en distintas industrias.

    Transporte público y movilidad:

    • Abonos de transporte público (EAA, 1200 veces/año)
    • Billetes sencillos (EAA, 25 veces/año)
    • Tarjetas de estudiante (EAA, 50 veces/año)
    • Renting de vehículos (PID, QEAA, 5 veces/año)
    • Carsharing y motosharing (PID, QEAA, 15 veces/año)
    • Permiso de capitán de navío mercante (QEAA, ODI, 5 veces/año)
    • Documentación de permiso de conducción de todo tipo (QEAA, PD, 40 veces/año)

    Educación:

    • Tarjetas de identificación de alumnos (EAA, 25 veces/año)
    • Tarjetas de identificación becas/prácticas profesionales (EAA,, 25 veces/año)
    • Certificados de aprendizaje online (EAA, 5 veces/año)
    • Carnés de biblioteca (EAA, 10 veces/año)

    Administración pública:

    • Tarjeta municipal ciudadana (QEAA, 120 veces/año)
    • Abonos de servicios municipales (EAA, 20 veces/año)
    • Pases sociales (EAA, 20 veces/año)
    • Pases de ocio (EAA, 120 veces/año)
    • Permiso para músicos callejeros (QEAA, 50 veces/año)
    • Permiso y licencia de pesca (QEAA, 30 veces/año)
    • Permiso de comercio ambulante (QEAA, 50 veces/año)
    • Permiso de manipulador de alimentos (QEAA, 40 veces/año)
    • Permiso de inspecciones de protección contra infecciones (QEAA, 5 veces/año)
    • Permiso de comercio o comercio ambulante (QEAA, 5 veces/año)
    • Tarjeta de voluntario (QEAA, 10 veces/año)
    • Voto electrónico (ODI, QEAA, EAA, PID, 0,5 veces/año)

    Ocio y cultura:

    • Entradas para eventos (EAA, 20 veces/año)
    • Cuota de participación/inicio (EAA, 20 veces/año)
    • Tarjeta de membresía (EAA, 50 veces/año)
    • Gestión de acceso (EAA, 50 veces/año)
    • Permiso para conducir embarcaciones de recreo (QEAA, 5 veces/año)

    Identificación y autenticación:

    • Documento de identidad del empleado (EAA, 200 veces/año)
    • Gestión de acceso (EAA, 400 veces/año)
    • Inicio de sesión sin contraseña (EAA, 1000 veces/año)
    • Restablecimiento de contraseña (EAA, 3 veces/año)
    • Autenticación de centro de llamadas (EAA, 100 veces/año)
    • Casos de uso similares en redes sociales (EAA, 100 veces/año)
    • Firma electrónica cualificada de todo tipo de documentación (QEAA, 25 veces/año)
    • Modificación de datos (QEAA, 5 veces/año)

    Banca, Seguros, Finanzas (BFSI):

    • Pagos (QEAA, 100 veces/año)
    • Autenticación fuerte del cliente SCA (EAA, 100 veces/año)
    • Procesos Know Your Customer (EAA, 10 veces/año)
    • Comprobante de seguro (QEAA, 5 veces/año)
    • Autenticación desde call center (EAA, 15 veces/año)
    • Contratación de nuevos servicios (QEAA, 5 veces/año)
    • Score crediticio, evaluación de riesgos y controles DDC (QEAA, 5 veces/año)

    Sector de las telecomunicaciones:

    • Solicitud de tarjeta SIM (PID, QEAA, 0,3 veces/año)
    • Reemplazo de tarjeta SIM (PID, QEAA, 0,3 veces/año)
    • Contratación de nuevos servicios (QEAA, 1 veces/año)

    Comercio minorista y servicios:

    • Tarjeta de cliente (EAA, 50 veces/año)
    • Cupón de descuento (EAA, 110 veces/año)
    • Pago en caja/pagos (QEAA, 100 veces/año)
    • Registro/alta del cliente (10 veces/año)
    • Verificación de edad (QEAA, 5 veces/año)
    • Garantía del producto (EAA, 10 veces/año)
    • Inicio de sesión sin contraseña (EAA, 300 veces/año)
    • Registro de cliente (PD. QEAA, 10 veces/año)
    • Verificación de edad (QEAA, 5 veces/año)

    Viajes y hostelería:

    • Facturación (PD, QEAA, 5 veces/año)
    • Tarjeta de cura y huésped (QEAA, 15 veces/año)
    • Tarjeta de hotel/habitación (EAA, 114 veces/año)
    • Tarjeta de cliente (EAA, 5 veces/año)
    • Bono de viaje (EAA, 3 veces/año)
    • Autenticación para auto-checkin (EAA, 15 veces/año)

    Empresas:

    • Identidad de la organización (ODI, QEAA, 50 veces/año)
    • Gestión de datos maestros (ODI, QEAA, EAA, 50 veces/año)
    • Alta de proveedores (QEAA, EAA, 50 veces/año)
    • Prueba de CO2 - Supply Chain/Logística (EAA, 20 veces/año)
    • Pase de producto (EAA, 1400 veces/año)
    • Autenticación para accesos a oficinas y herramientas (EAA, 300 veces/año)
    • Fichajes, control de horarios, jornadas, etc (EAA, 300 veces/año)
    • Poderes notariales y asuntos legales compliance internos compañía (ODI, QEAA, 50 veces/año)
    • Firma NDAs (EAA, 10 veces/año)

    Salud y sociosanitario:

    • Recetas electrónicas (QEAA, 10 veces/año)
    • Consentimientos informados (EAA, 5 veces/año)
    • Obtención de datos / historial (EAA, 5 veces/año)
    • Gestión de citas (QEAA, 15 veces/año)

    Estos son solo algunos ejemplos de los casos de uso de la EUDI Wallet. A medida que la tecnología se desarrolle y se adopte de forma más amplia, es probable que surjan nuevos e innovadores casos de uso.

    eBook: Tendencias en Identidad Digital y Firma Electrónica
    Etiquetas
    Newsletter icon

    El mejor contenido en tu bandeja de entrada

    Ft
    aifintech
    regtech
    etica
    techbehemoths
    finnovating
    ecija

    Servicios de confianza, identidad y automatización

    Tecalis crea producto digital disruptivo para hacer crecer y evolucionar a las empresas más innovadoras. Impulsamos procesos de crecimiento y transformación digital para llevar el futuro a las empresas hoy.
    Identidad

    Las soluciones y servicios KYC (Know Your Customer) de Verificación de Identidad por Vídeo, Onboarding Digital y Autenticación (MFA/2FA) permiten a nuestros clientes proporcionar a sus usuarios una experiencia ágil y segura.

    Nuestro software de automatización RPA (Robot Process Automation) permite crear modelos de negocio sostenibles, escalables, productivos y eficientes a través del BPM (Gestión por Procesos de Negocio) para crecer sin límites.

    Digitalización

    La Firma Electrónica Avanzada y Cualificada y los servicios de Comunicación Certificada (Burofax Electrónico) permiten que los procesos de adquisición de clientes, contratación y aceptación que antes tomaban días o semanas sean finalizados y aprobados en minutos o segundos.

    El Customer Onboarding (eKYC), los servicios de Firma Digital (eSignature) y la Prevención del Fraude Automatizada están haciendo posible a las compañías operar online y sin fronteras.

    Confianza

    Como Tercero de Confianza (Trust Services Provider) certificado por la UE y partner RegTech consolidado, ayudamos a las organizaciones a cumplir con los estándares normativos más exigentes de su sector y región, incluyendo las regulaciones AML (Anti-Money Laundering), eIDAS (Electronic IDentification, Authentication and etrust Services), GDPR (Reglamento General de Protección de Datos), SCA (Strong Customer Authentication) o PSD2 (Payment Services Directive) gracias a Controles Anti-Fraude y Verificación de Documentos Tecalis.