Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Cumplimiento14 min de lectura

eIDAS 2.0: la Cartera de Identidad Digital de la UE

eIDAS 2.0 obliga a una Cartera de Identidad Digital de la UE para finales de 2026. Cómo la Cartera EUDI transforma el KYC, la verificación documental y los flujos de identidad.

Carlos Ruiz, Consultor de cumplimiento normativo
Carlos Ruiz, Consultor de cumplimiento normativo·
Illustration for eIDAS 2.0: la Cartera de Identidad Digital de la UE — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Una responsable de cumplimiento en un banco mediano español abre su bandeja de entrada un lunes por la mañana. Tres nuevos clientes corporativos necesitan onboarding esta semana. Cada uno requiere copias certificadas de pasaportes, justificantes de domicilio, escrituras de constitución, registros de accionistas y declaraciones de titularidad real --escaneados, enviados por email, comprobados manualmente contra bases de datos y archivados en una carpeta que permanecerá intacta hasta la próxima auditoría. El proceso consume a su equipo una media de cuatro horas por cliente. Para el jueves, descubre que un pasaporte estaba caducado, un justificante de domicilio tenía más de tres meses y un registro de accionistas listaba un titular real que había sido añadido a la lista de sanciones de la UE dos días después de la presentación. La semana está perdida. El riesgo es real.

Este escenario --repetido miles de veces diariamente en entidades financieras, despachos de abogados, agencias inmobiliarias y aseguradoras de toda Europa-- es precisamente lo que la Unión Europea pretende eliminar con eIDAS 2.0 y la Cartera de Identidad Digital Europea (Cartera EUDI). El reglamento no se limita a digitalizar procesos existentes. Sustituye todo el paradigma de la verificación de identidad basada en documentos por el intercambio de credenciales verificables, firmadas criptográficamente y controladas por el usuario, en tiempo real.

¿Qué es eIDAS 2.0?

eIDAS 2.0 se refiere al Reglamento (UE) 2024/1183, firmado el 11 de abril de 2024 y publicado en el Diario Oficial de la Unión Europea el 30 de abril de 2024. Modifica el Reglamento eIDAS original (UE) n.o 910/2014, que estableció el primer marco paneuropeo para la identificación electrónica y los servicios de confianza.

El Reglamento eIDAS original logró resultados significativos --reconocimiento mutuo de eIDs nacionales, validez jurídica de las firmas electrónicas-- pero la adopción permaneció fragmentada. Solo el 14% de los servicios públicos de los Estados miembros aceptaban eIDs transfronterizos en 2023, y la adopción en el sector privado era negligible. eIDAS 2.0 aborda estas carencias introduciendo un elemento transformador: la Cartera EUDI.

Cambios legislativos clave

Aspecto eIDAS 1.0 (2014) eIDAS 2.0 (2024)
Alcance Sector público Sector público y privado
Requisito de cartera Ninguno Obligatorio: cada Estado miembro debe ofrecer al menos una
Tipos de credenciales eIDs nacionales Credenciales verificables (diplomas, licencias, datos de salud, documentos corporativos)
Control del usuario Limitado Consentimiento total del usuario por atributo compartido
Uso transfronterizo Teórico Reconocimiento mutuo obligatorio
Aceptación sector privado Voluntaria Obligatoria para sectores especificados para finales de 2027
Certificación de seguridad Esquemas nacionales Certificación de Ciberseguridad de la UE (ENISA)

El reglamento entró en vigor el 20 de mayo de 2024. El primer conjunto de reglamentos de ejecución se publicó el 4 de diciembre de 2024 y entró en vigor 20 días después. Esto inicia una cuenta atrás de 24 meses: cada Estado miembro debe proporcionar al menos una Cartera EUDI a sus ciudadanos, empresas y residentes para finales de 2026.

La Cartera EUDI: cómo funciona

La Cartera EUDI es una aplicación móvil --emitida o respaldada por un Estado miembro-- que almacena credenciales verificables en el dispositivo del usuario. No es una base de datos centralizada. La cartera contiene pruebas criptográficas de atributos de identidad (nombre, fecha de nacimiento, nacionalidad, dirección) así como atestaciones electrónicas cualificadas de atributos (permisos de conducir, cualificaciones profesionales, datos de registro de empresas, certificados de salud).

El flujo de verificación

Una interacción típica con la Cartera EUDI sigue cuatro pasos:

  1. Escaneo de código QR. Una parte que confía (banco, empleador, arrendador, servicio online) presenta un código QR o deep link especificando qué credenciales necesita.
  2. Autenticación. El usuario de la cartera se autentica localmente --biometría, PIN o desbloqueo del dispositivo-- para demostrar la posesión de la cartera.
  3. Selección de datos. El usuario revisa exactamente qué atributos se compartirán y otorga consentimiento explícito. La cartera admite divulgación selectiva: si un servicio solo necesita confirmar que el usuario es mayor de 18 años, solo se comparte ese atributo booleano --no la fecha de nacimiento completa, ni el nombre, ni la dirección.
  4. Intercambio instantáneo. La credencial firmada se transmite directamente a la parte que confía. Esta puede verificar criptográficamente su autenticidad e integridad en tiempo real --sin llamadas telefónicas a las autoridades emisoras, sin esperar a consultas de bases de datos.

Este flujo reemplaza el modelo tradicional de fotocopiar documentos, enviar escaneos por email y verificar manualmente la autenticidad --un proceso que es lento, propenso a errores y fundamentalmente inseguro.

¿Qué credenciales puede contener la cartera?

El reglamento y sus actos de ejecución definen varias categorías de atestaciones:

  • Datos de Identificación Personal (PID): nombre, fecha de nacimiento, nacionalidad, identificador único
  • Atestaciones Electrónicas Cualificadas de Atributos (QEAAs): permisos de conducir, diplomas educativos, cualificaciones profesionales, tarjetas sanitarias
  • Atestaciones Electrónicas de Atributos (EAAs): tarjetas de fidelización, credenciales de membresía, atestaciones de empleador
  • Credenciales corporativas: datos de inscripción mercantil, poderes de representación, estructura de titularidad real

Para las empresas que realizan diligencia debida KYC, esto significa que una sola interacción con la cartera puede sustituir una pila entera de documentos certificados.

Calendario de implementación

El despliegue sigue un enfoque por fases:

Hito Fecha objetivo Estado
El reglamento entra en vigor 20 mayo 2024 Completado
Publicación de los primeros actos de ejecución 4 diciembre 2024 Completado
Conclusión de los programas piloto a gran escala (LSPs) Mediados de 2025 Completado
Los Estados miembros deben ofrecer al menos una cartera Finales de 2026 En curso
Aceptación obligatoria por partes privadas especificadas Finales de 2027 Pendiente
Objetivo Década Digital de la UE: 80% de adopción ciudadana 2030 Objetivo

La página de estrategia digital de la Comisión Europea monitoriza el progreso en los Estados miembros. A principios de 2026, la madurez de implementación varía significativamente. Países como España, Francia, Alemania y Estonia están avanzados en sus programas piloto, mientras que otros han señalado que cumplir el plazo de finales de 2026 será un reto.

En España, el sistema Cl@ve y la evolución del DNI electrónico (DNIe) constituyen la base sobre la que se construirá la Cartera EUDI española. El Ministerio de Asuntos Económicos y Transformación Digital coordina la implementación nacional.

Impacto en el KYC y la verificación documental

La Cartera EUDI cambia fundamentalmente cómo las entidades reguladas realizan la verificación de identidad. El cambio de KYC basado en documentos a KYC basado en credenciales tiene implicaciones en toda la cadena de cumplimiento.

De fotocopias a pruebas criptográficas

Bajo el modelo actual, un cliente que presenta un documento de identidad proporciona una copia --una fotografía o escaneo de un documento físico. La entidad regulada debe determinar si la copia es auténtica, si el documento en sí es válido y si la persona que lo presenta es el titular legítimo. Este proceso es inherentemente vulnerable a la falsificación, la caducidad y el error humano.

Con la Cartera EUDI, la credencial está firmada criptográficamente por la autoridad emisora. La parte que confía recibe una prueba verificable --no una copia de un documento, sino una aserción firmada del gobierno de que el nombre de la persona es X, su fecha de nacimiento es Y y su nacionalidad es Z. La falsificación se vuelve computacionalmente inviable --una ventaja decisiva a medida que los deepfakes y documentos de identidad sintéticos generados por IA hacen que la falsificación documental tradicional sea más fácil que nunca. La caducidad está incrustada en los metadatos de la credencial y se comprueba automáticamente. El control de la persona sobre la cartera se verifica mediante autenticación biométrica local.

Para las empresas que ya navegan el alcance creciente del cumplimiento de la AMLD6, la Cartera EUDI ofrece un camino para cumplir los requisitos de diligencia debida reforzada con significativamente menos fricción y mayor seguridad.

Verificación en tiempo real vs. procesamiento por lotes

La verificación documental tradicional opera en modo por lotes: los documentos se recopilan, se encolan, los revisa un equipo de cumplimiento y los resultados se comunican horas o días después. La Cartera EUDI permite verificación en tiempo real. Un cliente que escanea un código QR en una sucursal bancaria o en un sitio web recibe confirmación --o rechazo-- instantánea en segundos.

Este cambio tiene consecuencias directas sobre las tasas de conversión de onboarding, la experiencia del cliente y los costes operativos. Las entidades financieras que actualmente dedican 4-6 horas por expediente KYC corporativo pueden esperar reducir el tiempo de verificación un 70-80% para el componente de identidad.

Riesgos de seguridad: cuando la cartera se convierte en objetivo

La concentración de atributos de identidad en una sola aplicación móvil crea un objetivo de alto valor para los ciberdelincuentes. Una Cartera EUDI comprometida no expone un solo documento --potencialmente concede acceso a toda la identidad digital de una persona: nombre, dirección, credenciales financieras, datos de salud, cualificaciones profesionales.

Vectores de amenaza

Los riesgos principales incluyen:

  • Compromiso del dispositivo. Malware o robo físico del dispositivo que aloja la cartera.
  • Ingeniería social. Ataques de phishing que engañan a los usuarios para autenticarse ante partes maliciosas, compartiendo credenciales que no tenían intención de compartir.
  • Sobreexposición mediante patrones oscuros. Partes que confían que diseñan flujos de consentimiento que inducen a los usuarios a compartir más datos de los necesarios --una preocupación planteada por investigadores de privacidad en la Conferencia Europea de Identidad.
  • Ataques a la cadena de suministro. Implementaciones de cartera o proveedores de servicios de confianza comprometidos.

El reglamento exige que las soluciones de cartera sean certificadas bajo el marco del Acta de Ciberseguridad de la UE, con ENISA definiendo los requisitos de certificación. Sin embargo, la definición de "control total del usuario" sigue siendo ambigua entre los Estados miembros, creando posibles disparidades en los niveles de seguridad.

Requisitos de mitigación

Las entidades reguladas que aceptan credenciales de la Cartera EUDI deben implementar sus propios controles: verificar el estado de certificación de la cartera, consultar las listas de revocación de credenciales y registrar todos los eventos de verificación para fines de auditoría. El Reglamento DORA impone obligaciones adicionales de gestión de riesgos TIC a las entidades financieras, incluyendo para sistemas que procesan credenciales de identidad digital.

Alineación con el RGPD: minimización de datos por diseño

La arquitectura de la Cartera EUDI está explícitamente diseñada para alinearse con los principios del RGPD. Varias funcionalidades implementan directamente requisitos clave de protección de datos:

Divulgación selectiva. La cartera permite a los usuarios compartir solo los atributos específicos requeridos para una transacción. Una empresa de alquiler de coches necesita confirmar un permiso de conducir válido y la edad mínima --no la dirección del cliente ni la fecha de nacimiento. La cartera puede compartir un booleano ("¿mayor de 25? sí") sin revelar los datos subyacentes.

Sin base de datos central. Las credenciales se almacenan en el dispositivo del usuario, no en un repositorio central operado por el gobierno. Esto elimina el riesgo de punto único de fallo inherente en bases de datos de identidad centralizadas.

Derecho de supresión. Los usuarios pueden eliminar credenciales de su cartera en cualquier momento. El reglamento también exige que las partes que confían no retengan más datos de los necesarios y respeten los principios de minimización de datos.

Consentimiento por transacción. Cada intercambio de datos requiere consentimiento explícito del usuario, con una presentación clara de qué atributos se transmitirán a qué parte y con qué finalidad.

No vinculabilidad. La arquitectura pretende impedir que las partes que confían correlacionen las transacciones de un usuario entre diferentes servicios --aunque la implementación práctica de este principio sigue siendo objeto de debate técnico activo.

Para las organizaciones que procesan documentos de identidad bajo el RGPD/LOPDGDD, el modelo de cartera reduce significativamente la carga de cumplimiento. En lugar de almacenar copias de DNIs y justificantes de domicilio --con todas las obligaciones asociadas de protección de datos: almacenamiento seguro, control de acceso, períodos de retención y notificación de brechas-- la organización almacena solo el resultado de la verificación y una prueba criptográfica de la transacción.

Cómo CheckFile integra la verificación de la Cartera EUDI

La transición de la verificación basada en documentos a la basada en credenciales no ocurrirá de la noche a la mañana. En el futuro previsible, las empresas operarán en un entorno híbrido: algunos clientes presentando credenciales de la Cartera EUDI, otros enviando documentos tradicionales (DNIs escaneados, justificantes de domicilio, documentación corporativa).

CheckFile está diseñado exactamente para esta realidad híbrida. La plataforma ya automatiza la validación de documentos tradicionales --verificando autenticidad, extrayendo datos, cruzando con bases de datos y señalando anomalías. A medida que la adopción de la Cartera EUDI se extienda por los Estados miembros, CheckFile ampliará sus flujos de verificación para aceptar y validar credenciales emitidas por la cartera junto con las presentaciones de documentos tradicionales.

Esto significa un único punto de integración para los equipos de cumplimiento: ya sea que un cliente comparta una credencial firmada criptográficamente desde su Cartera EUDI o cargue una copia escaneada de su DNI, CheckFile procesa ambos a través del mismo flujo de trabajo, aplica las mismas reglas de cumplimiento y produce una pista de auditoría unificada.

El resultado es continuidad. Las organizaciones no necesitan construir y mantener dos sistemas de verificación separados durante el período de transición. No necesitan reformar sus equipos de cumplimiento en herramientas completamente nuevas. Obtienen una única plataforma que evoluciona con el panorama regulatorio.

FAQ

¿Cuándo estará disponible la Cartera EUDI en España?

Cada Estado miembro de la UE debe proporcionar al menos una Cartera EUDI para finales de 2026, siguiendo el período de implementación de 24 meses activado por los actos de ejecución de diciembre de 2024. España cuenta con una base sólida gracias al DNIe y al sistema Cl@ve. El Ministerio de Asuntos Económicos y Transformación Digital coordina la implementación. Consulte los canales oficiales del ministerio para calendarios específicos.

¿La Cartera EUDI sustituirá los documentos de identidad físicos?

No inmediatamente. La Cartera EUDI está diseñada para complementar los documentos físicos, no para reemplazarlos. En el futuro previsible, los ciudadanos portarán ambos. Sin embargo, a medida que la aceptación por el sector privado se vuelva obligatoria (prevista para finales de 2027 para sectores especificados), la cartera se convertirá cada vez más en el método preferido --y en algunos casos obligatorio-- de verificación de identidad para transacciones online y presenciales.

¿Cómo afecta la Cartera EUDI a mis procesos KYC existentes?

La cartera introduce un nuevo canal de verificación junto a la presentación tradicional de documentos. Las entidades reguladas necesitarán actualizar sus flujos de onboarding para aceptar credenciales emitidas por la cartera, verificar sus firmas criptográficas y registrar los eventos de verificación. Los procesos existentes de verificación documental siguen siendo necesarios para clientes que aún no tengan cartera. Plataformas como CheckFile permiten ambos canales a través de una única integración.

¿Es la Cartera EUDI segura contra el fraude?

La cartera proporciona garantías antifraude significativamente más fuertes que la verificación documental tradicional. Las credenciales están firmadas criptográficamente por las autoridades emisoras y no pueden falsificarse sin romper los algoritmos criptográficos subyacentes. Sin embargo, persisten riesgos a nivel de usuario (robo de dispositivo, ingeniería social) y a nivel de implementación (variaciones en la certificación de seguridad entre Estados miembros). Las organizaciones deberían implementar estrategias de defensa en profundidad que combinen la verificación de cartera con medidas adicionales de detección de fraude.

El panorama regulatorio para la verificación de identidad en Europa está cambiando de documentos a credenciales, de procesamiento por lotes a verificación en tiempo real, y de bases de datos centralizadas a carteras controladas por el usuario. Ya sea que su organización se esté preparando para el cumplimiento de eIDAS 2.0 u optimizando los flujos de trabajo KYC existentes, CheckFile proporciona la infraestructura de validación documental para gestionar tanto la verificación tradicional como la basada en credenciales en una sola plataforma. Explore nuestros planes de precios para encontrar el que se ajuste a sus necesidades de cumplimiento.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Artículos relacionados

Cumplimiento10 min

Gestión de riesgos de terceros (TPRM): guía completa 2026

Guía completa de gestión de riesgos de terceros (TPRM): marco DORA, CNMV, evaluación de proveedores, monitoreo continuo y cumplimiento normativo en España 2026.

Leer
Cumplimiento15 min

Evaluación de riesgos de cumplimiento normativo: guía práctica 2026

Cómo identificar, evaluar y mitigar riesgos regulatorios con el marco CNMV y SEPBLAC. Guía completa de compliance risk management para empresas españolas.

Leer
Cumplimiento10 min

GRC: gobernanza, gestión de riesgos y cumplimiento — guía 2026

Qué es el GRC (governance risk management compliance), sus tres pilares, requisitos regulatorios en España bajo CNMV y Sepblac, y cómo implementar un marco eficaz.

Leer