¡Nueva edición del Curso de Computación Cuántica y Criptografía Postcuántica de EADTrust! 22 y 23 de abril de 2026 – Madrid (Hotel Zenith Conde Orgaz)

Deja un comentario

La computación cuántica ya no es ciencia ficción. Los avances recientes (como el chip Majorana 1 de Microsoft o los estándares NIST ya publicados) están acelerando el llamado “criptocalipsis”: el momento en que los algoritmos actuales de cifrado (RSA, ECC…) podrán ser rotos por un ordenador cuántico. ¿Está preparada tu organización para proteger sus datos, firmas electrónicas, transacciones y sistemas críticos frente a esta amenaza real?

EADTrust, como Qualified Trust Service Provider (QTSP) líder en España, organiza la nueva edición presencial de su curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica”, los días 22 y 23 de abril de 2026 (de 9:30 a 17:30 h) en el Hotel Zenith Conde Orgaz de Madrid.

¿A quién está especialmente dirigido este curso?

Este curso está pensado para quienes toman decisiones estratégicas en ciberseguridad, tecnología, cumplimiento normativo y protección de activos críticos. No requiere conocimientos previos de física ni criptografía: está diseñado para perfiles directivos y técnicos que necesitan entender el riesgo y planificar la migración.

Empresas e instituciones a las que más interesa:

  • Entidades financieras, bancarias y aseguradoras (bancos, fintech, medios de pago, seguros): para proteger transacciones, identidades digitales y activos financieros.
  • Administraciones públicas y organismos de defensa, seguridad e infraestructuras críticas: para cumplir con EIDAS 2.0, recomendaciones del CCN, ENISA y ETSI.
  • Empresas tecnológicas, telecomunicaciones y proveedores de servicios estratégicos: que gestionan PKI, firmas electrónicas o datos sensibles.
  • Sectores regulados como salud, energía, industria 4.0 y legaltech: donde la confidencialidad y la integridad a largo plazo son esenciales.
  • Responsables de ciberseguridad, CIOs, CTOs, DPOs y equipos de cumplimiento: que deben diseñar hojas de ruta de criptoagilidad y migración a PQC.

Si tu organización maneja información sensible, certificados digitales, firmas electrónicas o sistemas que deben seguir siendo seguros durante décadas, este curso es para ti.

¿Qué vas a aprender en dos días intensivos?

  • Día 1 (nivel introductorio): Historia de la física cuántica, qubits, superposición, entrelazamiento, puertas cuánticas y circuitos. Práctica real con el IBM Quantum Composer.
  • Día 2 (nivel avanzado y aplicado): Algoritmos cuánticos (Shor, Grover…), impacto en la criptografía actual, “criptocalipsis”, estándares NIST (ML-KEM, ML-DSA, etc.), hoja de ruta europea y del CCN, estrategias de migración híbrida y criptoagilidad.

Todo con la metodología ENSAR (Experience, Name, Speak, Apply & Repeat), material didáctico completo (incluido el IQC Kit), ejercicios prácticos, casos reales y ponentes expertos: Jorge Christen, Julián Inza, Ainhoa Inza y Antonio Peris.Incluye: certificado oficial de asistencia, comidas y pausas-café durante las dos jornadas.

Precio y descuentos

  • Precio general: 900 € + IVA
  • Descuento especial (hasta 25 %) para clientes de EADTrust o referenciados → hasta el 18 de abril de 2026.
    Solicita tu oferta personalizada.

¿Cómo inscribirte?

Plazas limitadas.
→ Rellena el formulario oficial aquí:
https://www.eadtrust.eu/formulario-curso-computacion/

O llama al 917 160 555 para más información.

No esperes al último momento. La transición a criptografía postcuántica es un proceso que lleva años y los plazos regulatorios (2026-2030-2035) ya están encima.

¿Quieres que tu organización esté preparada antes que la competencia?
Reserva tu plaza ahora y da el primer paso hacia la criptoagilidad real.

¿Tienes dudas o quieres que tu equipo asista en grupo? Escríbenos a contacto@eadtrust.eu (mailto:contacto@eadtrust.eu) o comenta abajo.

#ComputacionCuantica #CriptografiaPostCuantic #Ciberseguridad #CriptoAgilidad #EADTrust #PQC #QuantumSafe

Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los derechos digitales

Deja un comentario

La Universidad Pontificia Comillas (ICADE) organiza los días 22 y 23 de abril de 2026 el Congreso del Observatorio de Derechos Digitales, bajo el título “Una mirada multidisciplinar a los Derechos Digitales”, en el que me han invitado a participar.

El evento se celebrará de forma presencial en el Auditorio del Espacio de Investigación y Transferencia de la universidad, ubicado en la calle Rey Francisco 4, Madrid.

El congreso, dirigido por los profesores Íñigo A. Navarro Mendizábal (Codirector del Observatorio Legaltech Garrigues-ICADE) y Ricardo Pazos Castro (Director del Centro Internacional de Investigación Jurídica Comillas-ICADE), tiene como objetivo principal analizar desde una perspectiva interdisciplinar los principales desafíos jurídicos y sociales que plantean las tecnologías digitales en la actualidad. Se abordarán cuestiones relacionadas con los derechos fundamentales en el entorno digital, con especial atención a su dimensión multidisciplinar.

Información práctica

  • Fechas y horario: 22 de abril de 2026 (inicio a las 09:00 h) y 23 de abril de 2026 (cierre a las 13:15 h).
  • Lugar: Auditorio del Espacio de Investigación y Transferencia, Universidad Pontificia Comillas, C/ Rey Francisco 4, Madrid.
  • Formato: Exclusivamente presencial.

La inscripción estará abierta desde el 27 de marzo de 2026 a las 08:00 h hasta el 21 de abril de 2026 a las 14:00 h.

Se recomienda formalizar la inscripción a través del formulario disponible en la página oficial del evento, accesible en el siguiente enlace:
https://eventos.comillas.edu/151346/detail/congreso-del-observatorio-de-derechos-digitales-una-mirada-multidisciplinar-a-los-derechos-digitale.html

Este congreso representa una oportunidad para académicos, profesionales del derecho, responsables de políticas públicas y expertos en tecnología interesados en el análisis riguroso de los derechos digitales. La organización corresponde a la Facultad de Derecho de la Universidad Pontificia Comillas en el marco del Observatorio de Derechos Digitales.

Para más detalles sobre el programa definitivo, ponentes y agenda, se recomienda consultar la página web del evento, donde se publicará la información actualizada a medida que se acerque la fecha de celebración.

Si su actividad profesional o académica está relacionada con el derecho digital, la protección de datos, la ciberseguridad o la regulación de las tecnologías emergentes, este congreso constituye un espacio relevante para el intercambio de conocimiento y la reflexión conjunta.

El Programa (sujeto a cambios), es el siguiente:

22 de abril – mañana

09:00-09:15. Recepción de los participantes

09:15-09:30. Bienvenida

Abel Veiga Copo, Decano de la Facultad de Derecho, Universidad Pontificia Comillas (ICADE)
Pendiente de determinar, Red.es
Íñigo A. Navarro Mendizábal, Profesor Propio Ordinario, Universidad Pontificia Comillas. Codirector del Observatorio Legaltech Garrigues-ICADE

Primer bloque. LegalTech: identidad digital, privacidad y ciberseguridad
Modera Íñigo A. Navarro Mendizábal
Codirector del Observatorio Legaltech Garrigues-ICADE

09:30-09:55. Derechos del ciudadano frente a la IA generativa: El Reglamento de Inteligencia Artificial y el Reglamento General de Protección de Datos.
Alejandro Padín, Socio de Garrigues, responsable del área de Economía del Dato, Privacidad y Ciberseguridad

09:55-10:20.   Arquitectura y Servicios de Confianza para una Identidad Digital Europea Centrada en el Usuario.
Julián Inza, Presidente de EADTrust

10:20-10:45.Debate

10:45-11:10.   Pausa café

Segundo bloque
Modera Andrés Chomczyk Penedo
Investigador posdoctoral, Universidad Pontificia Comillas

11:10-11:35.   Título por determinar
Edoardo Celeste, Associate Professor, Dublin City University

11:35-12:00. La responsabilidad civil por daños causados por productos defectuosos. En especial, la inteligencia artificial.
Ana I. Berrocal Lanzarot, Profesora Contratada Doctora (acred. a Profesora Titular) de Derecho Civil, Universidad Complutense de Madrid

12:00-12:25.Debate

12:25-12:30.   Pausa

Tercer bloque. La disrupción tecnológica en el ámbito laboral.
Modera Ana Belén Muñoz Ruiz.
Profesora Titular (acred. a Catedrática) de Derecho del Trabajo y de la Seguridad Social, Universidad Carlos III de Madrid

12:30-12:55.   ¿Neuroderechos laborales o Derechos Fundamentales aumentados?
Jesús Mercader Uguina, Catedrático de Derecho del Trabajo y la Seguridad Social, Universidad Carlos III de Madrid

12:55-13:20.   La irrupción de la IA en el ámbito retributivo.
Ana Matorras Díaz-Caneja, Profesora Propia Ordinaria, Universidad Pontificia Comillas

13:20-13:45.Debate

13:45.              Comida

22 de abril – tarde

Primer bloque. Autoprotección, y protección de los vulnerables.
Modera Myriam Cabrera Martín
Directora de la Cátedra de Derechos del Niño

16:00-16:25.   Nuevos hábitos y cultura en la época de la IA
Jaime García Chaparro, Senior AI Engineer, Devoteam

16:25-16:50.   Derechos de la infancia en el entorno digital
Laura Barroso Gonzalo, Investigadora predoctoral, Universidad Pontificia Comillas

17:15-17:40.Debate

17:40-17:45.   Pausa

Segundo bloque. Protección penal de la identidad y la intimidad en el entorno digital
Modera María Quintas Pérez
Profesora Ayudante Doctora, Universidad Pontificia Comillas

17:45-18:10.   La suplantación de identidad digital.
M.ª Eugenia Sanmartín, Magistrada del Tribunal de Instancia de Navalcarnero

18:10-18:35.   Delitos contra la intimidad en el entorno laboral ligados a la vigilancia del uso de dispositivos digitales facilitados por el empleador.
Javier Gómez Lanz, Profesor Propio Ordinario, Universidad Pontificia Comillas

18:35-19:00.Debate

19:00.             Fin de la primera jornada

23 de abril – mañana

Primer bloque: Transformación digital y fiscalidad
Modera Francisco Javier Alonso Madrigal
Codirector de la Cátedra Deloitte Legal de Tributación Empresarial

09:30-09:55.   La digitalización y el papel de la inteligencia artificial en la AEAT
Javier Hurtado, Inspector de Hacienda en AEAT
Carlos Serrano, Socio de Deloitte Legal

09:55-10:20.   Desafíos futuros. La inteligencia artificial y el principio de buena administración “digital”
Elena Martínez Pastor, Counsel Deloitte Legal

10:20-10:45.Debate

10:45-11:15.   Pausa café

Segundo bloque. Investigación digital y cooperación judicial en el ciberespacio: una perspectiva procesal
Modera Marta Gisbert Pomata
Profesora Propia Ordinaria, Universidad Pontificia Comillas

11:15-11:40.   El ciberpatrullaje en el ciberespacio y la externalización del law enforcement
Juan Carlos Ortiz Pradillo, Profesor Titular, Universidad Complutense de Madrid

11:40-12:05.   Cooperación judicial y acceso transfronterizo a prueba electrónica
Elisabet Cueto Santa Eugenia, Profesora Colaboradora Asistente, Universidad Pontificia Comillas

12:05-12:30.Debate

Tercer bloque. Una mirada prospectiva desde la filosofía
Presenta M.ª Ángeles Bengoechea Gil
Profesora Propia Adjunta, Universidad Pontificia Comillas

12:30-12:55.   La persona en el Estado digital. ¿Sujeto de derechos sin circunstancias?
Vanesa Morente Parra, Profesora Colaboradora Asistente, Universidad Pontificia Comillas

12:55-13:15.Debate

13:15.             Clausura del congreso

Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los Derechos Digitales

CSC Trust without Borders Summit 2026: la cumbre de la confianza digital sin fronteras en Bogotá

Deja un comentario

En mayo de 2026, Bogotá acogerá una de las citas más relevantes del año en el ámbito de la identidad digital y los servicios de confianza interoperables: el CSC Trust without Borders Summit 2026, organizado por el Cloud Signature Consortium (CSC).

El lema “Trust without Borders” capta muy bien el espíritu del evento: tender puentes entre marcos regulatorios, infraestructuras y servicios de confianza en Europa y América, con foco especial en la interoperabilidad de la firma electrónica, la identidad digital y las wallets de identidad.

Datos prácticos del evento

  • Nombre: CSC Trust without Borders Summit 2026.
  • Fechas: 13 y 14 de mayo de 2026.
  • Lugar: Bogotá, Colombia. El 13 de mayo en el Hilton Bogotá Corferias y el 14 de mayo en la Universidad de los Andes, Edificio Mario Laserna
  • Organización: Cloud Signature Consortium (CSC).
  • Inscripción:
    • Página oficial en español: https://cscsummit.com/es (desde ahí se accede al registro de asistentes, condiciones para expositores y, si procede, a la convocatoria de ponentes).

Tema central: confianza digital sin fronteras

La cumbre se plantea como un punto de encuentro entre reguladores, autoridades de identidad, proveedores de servicios de confianza, fabricantes de infraestructuras de seguridad, academia y estándares, con el objetivo común de avanzar hacia un ecosistema de confianza globalmente interoperable.

Entre los temas clave que se abordarán:

  • Interoperabilidad de la firma electrónica y servicios de confianza en el contexto de eIDAS 2.0 europeo y marcos latinoamericanos.
  • Identidad digital, wallets y cómo alinear infraestructuras europeas (EUDI Wallet, eID de base eIDAS) con ecosistemas de identidad en Colombia y en la región.
  • Criptografía Post‑cuántica, infraestructuras de confianza resilientes y estándares abiertos (CSC, ETSI, W3C, FIDO, etc.).
  • Regulación, reciprocidad jurídica y comercio internacional seguro, con especial atención a la interoperabilidad entre la UE y las Américas.

Algunos ponentes de referencia

El programa reúne un panel muy sólido de expertos internacionales, con figuras conocidas en el ámbito de la identidad digital, eIDAS, servicios de confianza y estándares de firma. A continuación una selección orientativa (la lista completa está disponible en la web oficial de ponentes: https://cscsummit.com/speakers).

  • Viky Manaila – Presidenta del Cloud Signature Consortium y experta en eIDAS/eIDAS 2.0, mercados digitales seguros y servicios de confianza.
  • Borja Carreras – Presidente de GSE y fundador de bemyself ID, con décadas de experiencia en identidad digital, autosoberanía y ciberseguridad en Europa y Latinoamérica.
  • Kim Nguyen – Senior VP de Innovación en Bundesdruckerei, trabajando en identidad digital, IA de confianza, post‑cuántica y soberanía digital.
  • Jean Everson Martina – Profesor asociado de Ciencia de la Computación (UFSC, Brasil), especializado en identidad digital, documentos electrónicos y proyectos de interoperabilidad en América Latina.
  • Sebastian Elfors – CTO/CSO en IDnow, experto en eIDAS 2.0, QTSP, wallets de identidad y estándares internacionales (ETSI, CEN, W3C, FIDO, CSC).
  • Sven Prinsloo – Presidente del Comité Técnico del CSC y CTO de Ascertia, con fuerte experiencia en estándares de firma y API CSC para interoperabilidad.
  • Guillaume Forget – EVP de innovación en Cryptomathic, trabajando en firmas digitales, identidades, gestión de claves, pagos y seguridad móvil.
  • Arno Fiedler – Vicepresidente de ETSI Working Group ESI, con amplia experiencia en infraestructuras de confianza, eIDAS, PSD2, GDPR y CA/B Forum.
  • Daniel Rendon – EVP de Strategic Partnerships & Business Development en SSL.com, contribuyendo al ecosistema de certificados y servicios de identidad.
  • Igor Marcolongo – Head of Business Evolution en Tinexta InfoCert, miembro de la Junta del CSC y experto en eIDAS y servicios de confianza europeos.

Es especialmente interesante el enfoque de muchas sesiones en arquitecturas de identidad, interoperabilidad entre frameworks y adopción práctica de estándares como CSC.

Temas de las sesiones y talleres (enfoque técnico‑regulatorio)

En el Summit se combinarán mesas de alto nivel, sesiones técnicas y talleres prácticos, con un enfoque híbrido entre regulación, estándares y despliegue en el mundo real. Entre los bloques que más podrían interesar a tu audiencia:

  • Regulación e interoperabilidad
    • Armonización de la firma electrónica y la identidad digital en el marco de eIDAS 2.0 y de iniciativas latinoamericanas.
    • Reciprocidad jurídica y reconocimiento de servicios de confianza para el comercio transfronterizo en la UE y América.
  • Tecnología, estándares y arquitecturas
    • Infraestructuras de identidad y PKI alineadas con eIDAS 2.0, API CSC y estándares de interoperabilidad.
    • Criptografía Post‑cuántica, wallets de identidad europea y latinoamericana, y modelos de autosoberanía compatible con marcos regulatorios existentes.
  • Casos de uso y adopción en Latinoamérica
    • Proyectos de gobierno digital, e‑administración y servicios financieros electrónicos en Colombia y otros países de la región.
    • Lecciones aprendidas de despliegues de identidad digital y firmas interoperables en distintos contextos regulatorios.
  • Negocio y ecosistema de servicios de confianza
    • Cómo los frameworks de CSC y la estandarización abierta fortalecen el “business case” de proveedores, autoridades de identidad y fintech.
    • Nuevas iniciativas de CSC LATAM y alianzas público‑privadas para impulsar la confianza digital en la región.

Por qué asistir a CSC Trust without Borders Summit 2026

Para los expertos en identidad digital, servicios de confianza, eIDAS y gobierno digital, el Summit de Bogotá es una oportunidad privilegiada para:

  • Conectar con los actores clave que están definiendo la interoperabilidad de la firma electrónica y la identidad digital en el Atlántico.
  • Contrastar la evolución de marcos europeos (eIDAS 2.0, EUDI Wallet) con la realidad de la adopción en Latinoamérica, y entender cómo se pueden articular ambos mundos.
  • Participar en debates muy concretos sobre estándares CSC, API de firma, adaptación a la criptografía post‑cuántica y arquitecturas de identidad que ya están en pruebas de campo.

Cómo registrarse

Si te interesa seguir de cerca la evolución de los servicios de confianza interoperables entre la UE y América Latina, el CSC Trust without Borders Summit 2026 en Bogotá es una cita imprescindible.

Más información y registro en español:
https://cscsummit.com/es

EUCC y FITCEM, sistemas de certificación de seguridad, similitudes y diferencias

Deja un comentario

EUCC y FITCEM son dos enfoques europeos para evaluar y certificar la ciberseguridad de productos TIC: EUCC es el gran “esquema europeo” basado en Common Criteria, mientras que FITCEM es una norma EN de evaluación MÁS “ligera” y de tiempo fijo que aspira a armonizar esquemas nacionales más ágiles, como LINCE, en España.

Qué es EUCC

  • EUCC es el primer esquema europeo de certificación de ciberseguridad adoptado bajo el Cybersecurity Act (Reglamento (UE) 2019/881).
  • Está pensado como esquema horizontal para productos TIC (hardware, software y componentes) reutilizable en múltiples sectores.
  • Se basa en Common Criteria y en la Common Evaluation Methodology (ISO/IEC 15408 e ISO/IEC 18045), sustituyendo paulatinamente a los esquemas nacionales CC y al acuerdo SOG-IS.
  • Aplica los niveles de garantía del Cybersecurity Act (básico, sustancial, alto), con requisitos estrictos para organismos de evaluación (CB acreditados según ISO/IEC 17065 e ITSEF según ISO/IEC 17025).
  • Es voluntario en origen, pero puede convertirse en requisito a través de NIS2 u otra normativa sectorial para determinados operadores.certification.enisa.

Ejemplo: un módulo criptográfico hardware certificado bajo Common Criteria en un esquema nacional pasará, con el periodo transitorio, a buscar el sello EUCC para tener reconocimiento uniforme en toda la UE.

Qué es FITCEM (EN 17640)

  • FITCEM es la denominación habitual de la norma europea EN 17640, que define una metodología de evaluación de ciberseguridad “fixed-time” (tiempo fijo) para productos TIC.
  • Se concibe también como marco modular, adaptable a diferentes necesidades de aseguramiento e integrable en distintos dominios y esquemas.
  • Está alineado con los niveles de aseguramiento del Cybersecurity Act (básico, sustancial y alto), aunque su foco es permitir certificaciones más ágiles que las basadas en Common Criteria.
  • Aspira a sustituir o armonizar esquemas nacionales “ligeros” como LINCE (España), BSZ (Alemania), BSPA, CSPN (Francia) u otros equivalentes, proporcionando un lenguaje común europeo para evaluaciones limitadas en tiempo y esfuerzo.
  • Puede actuar como base técnica para esquemas europeos de ciberseguridad “ligeros” orientados a productos con ciclos de vida rápidos (IoT, componentes, etc.).

Ejemplo: un dispositivo IoT de consumo que necesita una certificación rápida y económica podría evaluarse con una metodología basada en FITCEM, con un tiempo máximo predefinido de análisis y pruebas.

Similitudes clave

AspectoEUCCFITCEM (EN 17640)
Ámbito jurídicoEsquema oficial UE bajo Cybersecurity Act. certification.Norma EN apoyando esquemas y normas UE.
Tipo de esquemaEsquema horizontal de certificación CC. Marco modular de evaluación fixed‑time.
Niveles (basic/substantial/high)Aplica niveles y requisitos detallados. Metodología alineada con dichos niveles.
Sector/aplicaciónProductos TIC de alta criticidad, uso general. Productos TIC, incluido IoT y esquemas ligeros.
Rol frente a esquemas nacionalesSustituye esquemas CC y acuerdo SOG‑IS. Destinado a reemplazar/armonizar LINCE, BSZ, CSPN, etc.

Diferencias fundamentales

  • Base técnica y profundidad
    • EUCC hereda todo el rigor de Common Criteria: perfiles de protección, objetivos de seguridad, familias de requisitos, metodologías de ensayo exhaustivas, etc.certification.
    • FITCEM define una evaluación con tiempo y alcance acotado, priorizando practicidad y coste frente a exhaustividad máxima.
  • Posición en el ecosistema
    • EUCC es, en la práctica, el “pilar CC” del sistema europeo de certificación junto a otros esquemas como EUCS (cloud) o futuros esquemas 5G.itif+3
    • FITCEM actúa como estándar horizontal de referencia para esquemas “ligeros” en distintos países y sectores, facilitando convergencia y compatibilidad.
  • Casos de uso típicos
    • EUCC encaja mejor en productos con alto impacto en seguridad y ciclos de desarrollo más largos (equipamiento de red, módulos criptográficos, dispositivos industriales).
    • FITCEM se orienta a productos de rotación rápida y a necesidades de certificación ágiles, donde el mercado no soporta ni tiempo ni coste de una evaluación CC completa.

Estimación de costes

  • Para CC/EUCC de niveles medios (equivalentes a EAL2–EAL4), fuentes especializadas sitúan los costes de laboratorio típicos en un rango aproximado de 80 000–300 000 USD/EUR, pudiendo subir a 300 000–750 000 USD/EUR en EAL4 alto o productos muy complejos.
  • En FITCEM se estiman costes de laboratorio del orden de 10 000–50 000 EUR para este tipo de evaluaciones “light”, dependiendo del alcance, tipo de producto y posicionamiento del laboratorio

Los costes internos y de consultoría son del mismo orden de magnitud que los del laboratorio.

Tipos de productos certificados

EUCC puede aplicarse a cualquier producto TIC con un conjunto significativo de funciones de seguridad, pero en la práctica se concentra en familias muy concretas.

  • Circuitos integrados y tarjetas inteligentes: chips de seguridad, smart cards, tarjetas de pago, SIM/UICC, módulos seguros embebidos, etc.
  • Módulos y dispositivos criptográficos: HSM, módulos criptográficos hardware, TPM, QSCD y otros dispositivos de firma/digital ID de alta garantía.
  • Equipos de red y comunicaciones: routers, switches, firewalls, VPN gateways, puntos de acceso y otros componentes de infraestructura crítica.
  • Sistemas y plataformas especializadas: servidores seguros, appliances de seguridad, componentes de infraestructuras industriales o públicas donde se requiere alto nivel de aseguramiento.

En general, son productos B2B con alto impacto en seguridad, ciclos de vida largos y para los que un proceso de certificación de meses y costes de seis cifras puede amortizarse comercialmente.

FITCEM, como metodología de tiempo fijo, está pensada para apoyar esquemas como CSPN, LINCE, BSZ, BSPA, etc., que históricamente se han orientado a productos con necesidad de evaluación ágil.

  • Productos IoT y dispositivos conectados: sensores, actuadores, gateways IoT, cámaras IP, pequeños appliances, donde el time‑to‑market es crítico.
  • Software y appliances de seguridad de complejidad media: soluciones de red, productos de seguridad endpoint o de infraestructura donde se busca una “foto” de robustez razonable, pero sin el coste de CC/EUCC.
  • Productos TIC de fabricantes que dan sus primeros pasos en certificación: se usan esquemas tipo FITCEM como vía de entrada o como complemento a otros esquemas regulatorios.
  • Verticales específicos con esquemas acelerados: por ejemplo, infraestructuras industriales o sectoriales que adoptan metodologías fixed‑time para certificar ciertos componentes o gateways a niveles basic/substantial.

IA Gestora. Por no llamarla IA Agéntica. Herramientas a su disposición

Deja un comentario


En los últimos meses de 2025 y principios de 2026, la inteligencia artificial ha dado un salto que ya no es solo de “generar contenido”, sino de actuar. Ya no basta con que la IA te responda: ahora puede gestionar tareas completas por ti.

A este nuevo paradigma se le llama IA agéntica. Pero ya que este es mi blog, voy a proponer otro término más cercano y español: IA gestora. Porque eso es exactamente lo que hace: gestiona objetivos de principio a fin, de forma autónoma, como un asistente ejecutivo que no necesita que le des instrucciones paso a paso.

¿Quieres saber por qué esta IA gestora está cambiando todo y cómo herramientas open-source como OpenClaw, NemoClaw, el Model Context Protocol (MCP) y LangGraph la están democratizando y haciendo más fiable? ¿Y cómo los prestadores de servicios de confianza estamos creando las interfaces seguras que las empresas necesitan? Sigue leyendo.

¿Qué es una IA gestora (o IA agéntica)?

La IA generativa responde. La IA gestora recibe un objetivo y lo ejecuta sola: planifica, usa herramientas externas, toma decisiones intermedias, ejecuta acciones y avisa solo cuando es necesario.

Ejemplo: “cierra la venta con el cliente X antes del viernes”. La IA gestora investiga, prepara propuestas, envía emails, agenda llamadas y cierra el proceso.

Este salto se basa en el concepto de agencia: la capacidad de actuar con intención y autonomía.
OpenClaw: el asistente open-source que corre en tu máquina

OpenClaw (openclaw.ai) es un framework 100 % open-source que se instala localmente y funciona como asistente persistente 24/7. se le puede «hablar» por WhatsApp, Telegram, Slack o directamente por CLI (línea de comandos). Ejecuta comandos de terminal, controla el navegador, gestiona archivos, email y calendario, y mantiene memoria a largo plazo.

NemoClaw: con un escudo de seguridad y desarrollado por NVIDIA

En marzo de 2026, NVIDIA lanzó NemoClaw, una capa que se instala sobre OpenClaw con un solo comando. Añade sandbox aislado, router de privacidad, modelos Nemotron optimizados y controles de política empresarial. Juntos, OpenClaw + NemoClaw convierten la IA gestora en algo orientado haacia entornos reales y regulados.


Interfaces de actuación: de la CLI tradicional al Model Context Protocol (MCP)

Tradicionalmente, las IA gestoras han usado dos interfaces principales:

  • CLI (Command Line Interface): máxima potencia y control. El agente ejecuta comandos directamente en la terminal. Es ligero, debuggeable y consume pocos tokens de contexto. Perfecto para entornos locales y cuando se requiere máxima eficiencia. Sin embargo, necesita que el agente “sepa” interpretar salida de texto crudo y no tiene un estándar universal de descubrimiento de herramientas.
  • Apps de mensajería y APIs: más accesibles, pero menos estructuradas.

Aquí se presenta el Model Context Protocol (MCP), un estándar abierto lanzado por Anthropic en noviembre de 2024 y que se ha convertido en el “USB-C de la IA”.


¿Cómo funciona MCP?

MCP es un protocolo estandarizado (basado en JSON-RPC) que permite a cualquier aplicación exponer herramientas, recursos y plantillas de «prompts» de forma segura y detectable.
Un MCP Server publica qué puede hacer y un MCP Client (el agente) descubre automáticamente esas capacidades, las llama de forma estructurada y recibe respuestas estandarizadas.

Comparación MCP vs CLI:

Aspecto CLI tradicional
(Command Line Interface)		 Model Context Protocol (MCP)
Descubrimiento de herramientas Manual o mediante descripción en el prompt Automático y dinámico: el agente descubre todas las herramientas al instante
Estructura de las respuestas Texto libre y salida cruda (puede ser desordenada) Estructurada y estandarizada (JSON con schemas claros)
Consumo de tokens / contexto Muy bajo (ideal para eficiencia) Más alto, pero ofrece mucha más precisión
Seguridad y guardrails Depende completamente del sandbox externo Guardrails y sesiones seguras integrados por diseño
Facilidad de integración Alta para desarrolladores, baja para no técnicos Muy alta: estandariza todo el ecosistema (el “USB-C de la IA”)
Escalabilidad Buena para tareas locales simples Excelente para integraciones enterprise y multi-agente
Uso ideal Ejecución local potente, debugging rápido Conexiones seguras a sistemas externos (calendarios, APIs empresariales, bases de datos…)


MCP no reemplaza la CLI, sino que la complementa ofreciendo un lenguaje común para conectar el agente a decenas de sistemas externos de forma segura.


LangGraph: la orquestación inteligente de flujos complejos

Mientras MCP estandariza la forma en la que el agente habla con las herramientas, LangGraph (de LangChain) se encarga del modo en el que el agente razona y fluye a lo largo de una tarea.

LangGraph permite construir workflows como grafos: nodos (LLM, herramientas, verificaciones humanas) y aristas (condiciones de flujo). Es ideal para agentes stateful, flujos multi-agente, control humano-en-el-bucle y ejecución durable.

Muchos proyectos combinan LangGraph para la lógica y MCP para las conexiones externas, logrando una IA gestora más robusta y escalable.

Nuevos interfaces que ofrecemos los prestadores de servicios de confianza

Cuando la IA gestora empieza a firmar o sellar electrónicamente contratos, enviar facturas o manejar datos sensibles, ni la CLI ni MCP por sí solos son suficientes. Los prestadores de servicios de confianza (eIDAS) aportamos interfaces certificadas:

  • CLI segura certificada: comandos que requieren firma electrónica cualificada del agente. Todo queda auditado y sellado temporalmente.
  • API de agencia con identidad verificada: el agente actúa con certificado digital propio, haciendo sus acciones legalmente vinculantes.
  • Canal de mensajería de confianza: mensajes con sello electrónico visible.
  • Portal de supervisión humana-en-el-bucle: dashboard para aprobar/rechazar acciones en tiempo real, todo registrado de forma inalterable.


Estas interfaces convierten herramientas open-source como OpenClaw + MCP + LangGraph en soluciones empresariales confiables, auditables y conformes con la normativa.

OpenClaw y NemoClaw han demostrado que la IA gestora ya es viable técnicamente. MCP estandariza la conexión con el mundo exterior, LangGraph aporta inteligencia en la orquestación, y los prestadores de servicios de confianza cerramos la brecha de la confianza legal.

Si deseas saber qué servicios de confianza (firma electrónica cualificada, sellos de tiempo, certificados de agente, declaraciones de atributos, etc.) se pueden invocar directamente desde este tipo de IAs, contacta con EADTrust:

  • Teléfono: 902 365 612
  • Email: info@eadtrust.com


Estaremos encantados de asesorarte y ayudarte a integrar interfaces seguras y conformes con eIDAS en tus flujos de IA gestora.

XII Congreso Internacional de derecho Digital de ENATIC.

Deja un comentario

Mañana, 25 de marzo de 2026, se celebra el XII Congreso Internacional de derecho Digital de ENATIC., en el que tengo el honor de participar.

Tendrá lugar en el Salón de actos de la Secretaría de Estado de Digitalización e Inteligencia Artificial
Calle del Poeta Joan Maragall, 41
28046 Madrid

Los Congresos Internacionales de Derecho Digital de ENATIC nacen tras el impulso del I Encuentro Nacional de Abogados TIC en el X Congreso de la Abogacía Española (Cádiz, 2011), germen de la asociación y de su vocación por articular una comunidad profesional especializada en Derecho y tecnología.

Desde entonces, ENATIC ha consolidado un espacio anual de referencia donde se encuentran juristas, reguladores, académicos y expertos tecnológicos para debatir los retos jurídicos de la transformación digital.

A lo largo de sus diversas ediciones, los Congresos ENATIC han servido para:

  • Definir y consolidar la figura del abogado digital, impulsando su profesionalización y visibilidad.
  • Actualizar a la comunidad jurídica sobre los grandes vectores tecnológicos: IA, blockchain, robótica, cloud, big data, fintech, legaltech, ciberseguridad y derechos digitales.
  • Crear comunidad, fomentando el intercambio de conocimiento y el networking entre perfiles diversos del ecosistema jurídico-tecnológico.
  • Posicionar a ENATIC como interlocutor relevante en los procesos de transformación digital del país.

Programa

9:15-9:30 Inaguración institucional

Participan: SEDIA, CGAE, Red.es, AESIA y ENATIC

9:30-10:15 Carta de Derechos Digitales, 5°Aniversario: Logros, Retos y Soluciones

Modera:
Rodolfo Tesone Mendizábal – Presidente emérito y vocal de ENATIC

Participan:
Carlos Alberto Sáiz Peña · Vicepresidente, ISMS Forum Spain
Paula Ortiz López · Directora general, DENAE
Miguel Recio Gayo · Presidente, APEP·IA
Antonio Serrano Acitores · Vocal de ENATIC
Borja Adsuara Varela · Abogado y consultor en derecho digital

10:15-11:00 Inteligencia artificial: derechos y responsabilidad ante un nuevo paradigma

Modera: José Manuel Muñoz Vela · Vocal de ENATIC

Participan:
Moisés Barrio Andrés · Letrado del Consejo de Estado
Ibán García Blanco · Director internacional, Lasker
Carmen Muñoz García · Catedrática (acr.) de Derecho civil, UCM
Alfredo Muñoz García · Prof. de Derecho mercantil, UCM; Legal Counsel, Tritemius; Of-Counsel, Ceca Magán

11:00-11:30 Pausa café
11:30-12:10 RGPD: ¿se puede simplificar sin perder garantías?

Modera: Eduardo López-Román · Vicepresidente de ENATIC

Participan:
Francisco Pérez Bes · Adjunto de la Agencia Española de Protección de Datos
Marcos Mª Judel Meléndrez · Abogado, socio de Audens
Noemí Brito Izquierdo · Abogada, socia de KPMG Abogados

12:10-12:40 Lorenzo Cotino Hueso · Presidente de la Agencia Española de Protección de Datos

Presenta: José Leandro Núñez García · Secretario General de ENATIC

12:40-13:30 Identidad digital y ciberseguridad: entre la regulación europea y su aplicación real

Modera: Pilar Garrido García · Vocal de ENATIC

Participan:
Maite Arcos Sánchez · Directora general, Fundación ESYS
Lucas Carmona Ampuero · Director de Identidad Digital Descentralizada, Teknei
Julián Inza Aldaz · Presidente, EADTrust

13:30-14:00 Ciberseguridad y el entorno geopolítico
Ramsés Gallego Iglesias · Presidente del capítulo de Barcelona de ISACA

Presenta: Esther García Encinas · Vocal de ENATIC

14:00-15:15 Comida
15:15-15:45 Menores y entorno digital: protección jurídica y retos actuales.

Modera: Laura Fra Rodríguez · Vocal de ENATIC

Participan:
Celima Gallego Alonso · Magistrada, Plaza nº 29 de la Sección Civil del Tribunal de Instancia de Madrid
Nacho Guadix García · Responsable de Educación y Derechos Digitales de la Infancia de UNICEF España

15:45-16:30 ¿Justicia Artificial? El impacto de la IA en la Administración de Justicia.

Modera: Belén Arribas Sánchez · Presidenta de ENATIC

Participan:
Juan Antonio García Amado · Catedrático de Filosofía del Derecho, Universidad de León
Miguel Hermosa Espeso · Presidente de la Subcomisión de Justicia digital del CGAE
Javier Hernández Díez · Subdirector General de Impulso e Innovación de los Servicios Digitales de Justicia
Javier Sempere Samaniego · Delegado de Protección de Datos y Letrado del CGPJ

16:30-17:30 Legaltech en acción: herramientas y soluciones para la práctica jurídica

Modera: Blanca Bardin Rodríguez-Losada · Leader, Global LegalTech Hub Advisory Board

Participan:
Guadalupe Segura Campos · Gerente de la Delegación Sur, Lefebvre
Joaquín Castiella Sánchez-Ostiz · CEO, LexaGO
Alejandro Castellano Sans · CEO, Maite
Emilio Latorre Guerra · Product Manager Vincent, vLex

17:30-18:15 Derecho digital: tendencias y desafíos

Modera: Pablo Sáez Hurtado · Presidente de la Comisión Joven de ENATIC

Participan:
Ana Belén Barbero Castejón · Vocal de la Comisión Joven de ENATIC
Laura Gallego Herráez · Vocal de la Comisión Joven de ENATIC
Rodolfo Guerrero Martínez · Vocal de la Comisión Joven de ENATIC
Patricia Frade Ortea · Vocal de la Comisión Joven de ENATIC
Karol Andrea Valencia Jaén · Vocal de la Comisión Joven de ENATIC

18:15-18:45 Ceremonia de Entrega de los VII Premios ENATIC

Presenta: José Leandro Núñez García · Secretario General de ENATIC

para reconocen la excelencia y contribución al desarrollo del Derecho Digital:

  • Mejor jurista digital: Borja Adsuara Varela
  • Mejor institución: ISMS Forum Spain
  • Comunicación: Esther Paniagua
  • Innovación: Agencia Española de Supervisión de Inteligencia Artificial (AESIA)
  • Investigación: Lorenzo Cotino Hueso
  • Responsabilidad social: OdiseIA
18:45-19:00 Clausura

Participan: CGAE, SEDIA, Red.es, Consorcio, ENATIC

Adaptación de las Entidades Financieras a la Cartera de Identidad Digital de la UE (Cartera IDUE o EUDI Wallet)

Deja un comentario

En un mundo cada vez más digitalizado, la Unión Europea ha dado pasos decisivos hacia la estandarización de la identificación electrónica con la introducción de la Cartera de Identidad Digital Europea (EUDI Wallet).

Esta herramienta, regulada por el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183), que modifica el Reglamento UE 910/2014, permite a los ciudadanos y empresas almacenar y gestionar de forma segura sus identidades digitales, incluyendo atributos como permisos de conducción, diplomas o declaraciones de atributos relativas a cuentas bancarias. También permite realizar firmas electrónicas cualificadas y sellos electrónicos cualificados. El objetivo es otorgar a los usuarios un control total sobre sus datos, facilitando el acceso a servicios en línea con una cesión mínima de información, solo la imprescindible para la gestión a realizar.

Para las entidades financieras, esta innovación no es opcional: representa una obligación legal que transforma los procesos de identificación y verificación de clientes.

La Obligatoriedad de Aceptar la EUDI Wallet

El Reglamento eIDAS 2.0 establece (artículo 5 septies) que los proveedores de servicios que estén legalmente obligados a identificar inequívocamente a sus clientes deben aceptar la EUDI Wallet como método de autenticación.

En el sector financiero, esto afecta directamente a bancos, instituciones de crédito y otras entidades reguladas, especialmente en procesos como el Know Your Customer (KYC) y procesos de Debida Diligencia para la prevención del blanqueo de capitales.

El citado artículo 5 septies del Reglamento obliga a estas entidades a integrar la cartera como una opción válida para la identificación electrónica, lo que reduce barreras transfronterizas y mejora la eficiencia en transacciones digitales.

Esta obligación se extiende a sectores como la banca, los servicios financieros y cualquier entidad sujeta a requisitos de identificación estrictos. No se trata solo de cumplimiento normativo, sino de una oportunidad para optimizar operaciones, ya que la EUDI Wallet proporciona datos verificados e inalterables directamente de fuentes auténticas, minimizando riesgos de fraude y agilizando el «onboarding» de clientes.

La adaptación requiere una integración técnica y operativa en los sistemas existentes, por un lado para el proceso de apertura de cuenta (en el que el uso de sistemas cualificados simplifica la documentación que tiene que recabar la entidad financiera) y después para añadir una opción en la pantalla web en la que se ofrece a los clientes acceder a la información y servicios asociados a su cuenta, ya que al clickar en esa opción se desencadena la funcionalidad de identificación y autenticación de la cartera.

Las entidades financieras deben:

  1. Actualizar sus plataformas de identificación para el acceso a la banca electrónica: Incorporar APIs y SDK compatibles con la EUDI Wallet para permitir la autenticación segura. Esto implica adoptar los protocolos estandarizados que se recogen en el ARF y en los actos de ejecución para asegurar la interoperabilidad con las diferentes carteras emitidas por los Estados miembros.
  2. Revisar sus procesos de KYC y onboarding: La cartera permite solicitar al cliente que aporte atributos (como los que figuran en la credencial inicial DIP, «Datos de Información Personal») y otros atributos exigibles según los principios de debida diligencia (quizá la presentación de una nómina o una declaración electrónica de atributos semejante, como ingresos anuales o cualificaciones profesionales), lo que simplifica la «due diligence». Las interfaces bancarias con la cartera se configuran para solicitar declaraciones de atributos y para solicitar la firma electrónica de documentos (la cartera permite realizar «QES» «qualified electronic signature» y «qualified electronic seal»). Se deberán conservar las evidencias electrónicas de la contratación (posiblemente preservadas mediante sellos de tiempo cualificados). Será preciso registrar a la entidad en el registro de «Relying Parties» o «Partes Usuarias» («Partes informadas», en mi traducción del ARF) y obtener el certificado que establece el tipo de información que puede solicitar a la cartera
  3. Las entidades deben revisar sus contratos y «términos y condiciones» para acoger las nuevas circunstancias de apertura de cuentas y acceso a la banca electrónica y dar formación a su personal para que entiendan las nuevas circunstancias de contratación y autenticación y puedan dar soporte a los clientes.
  4. Garantizar la seguridad y privacidad: Cumplir con el RGPD (y la LOPD/GDD) y las directrices de eIDAS 2.0, asegurando que los usuarios tengan control sobre sus datos (en ciertas condiciones, mediante divulgación selectiva y «pruebas de conocimiento cero»).
  5. Colaborar con proveedores de confianza: Asociarse con prestadores cualificados de servicios electrónicos para implementar soluciones compatibles, como firmas electrónicas cualificadas o sellos de tiempo, que complementen la integración de la cartera.

Esta adaptación no solo permite cumplir con las exigencias regulatorias, sino que posiciona a las entidades que se anticipen, como líderes en innovación digital, mejorando la experiencia del usuario y reduciendo costes operativos.

Plazos para la Implementación

Los Estados miembros de la UE, incluyendo España, tienen la obligación de proporcionar al menos una versión de la EUDI Wallet a sus ciudadanos antes de finales de 2026 (24 meses tras la entrada en vigor del primer lote de actos de ejecución). Antes de fin de 2027 (36 meses tras la entrada en vigor de los citados actos de ejecución), la aceptación de la cartera será obligatoria para las organizaciones del sector privado reguladas, como las entidades financieras, y otras que se citan en el artículo 5 septies.

Si no se demora la decisión de acometer los cambios, queda margen para pruebas piloto y ajustes, pero empieza a ser urgente que las entidades inicien su preparación cuanto antes para evitar sanciones y aprovechar las ventajas competitivas.

Conexión con PSD3 y el Reglamento de Servicios de Pago (PSR)

La adaptación a la EUDI Wallet no puede analizarse de forma aislada en el sector financiero, sino en el contexto más amplio de la revisión del marco europeo de servicios de pago. La Comisión Europea ha propuesto sustituir la actual PSD2 por una nueva Directiva de Servicios de Pago (PSD3) y, paralelamente, aprobar un Reglamento de Servicios de Pago (PSR) de aplicación directa en todos los Estados miembros. Ambos instrumentos refuerzan los requisitos de autenticación reforzada del cliente (SCA) y abren la puerta a que la identidad digital verificada —precisamente la que proporciona la EUDI Wallet— pueda usarse como mecanismo de autenticación en el acceso a cuentas de pago y en la iniciación de operaciones.

En la práctica, esto significa que las entidades financieras que integren la cartera para sus procesos de KYC y onboarding estarán también construyendo una infraestructura compatible con las exigencias de autenticación que se avecinan con PSD3/PSR, evitando duplicidades tecnológicas. La EUDI Wallet puede actuar como un vector común de identidad verificada tanto para el cumplimiento AML como para la autenticación en el acceso a servicios de pago, lo que convierte su integración en una inversión con retorno regulatorio múltiple y no en un mero coste de cumplimiento puntual.

Consideraciones sobre la Ley 10/2010 y el Reglamento (UE) 2024/1624

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, impone a las entidades financieras obligaciones estrictas de identificación y verificación de clientes (artículos 3 a 10). Los servicios cualificados a los que se refiere esta ley en su artículo 12, inspirados en el Reglamento eIDAS, incluyen mecanismos electrónicos de confianza como firmas cualificadas, sellos electrónicos y sistemas de identificación remota. Es preceptivo conservar las evidencias electrónicas que acreditan el cumplimiento de lo señalado en este artículo.

La adaptación a la EUDI Wallet, aunque establecida en un Reglamento Europeo, tiene encaje con lo dispuesto en estos requisitos, ya que la cartera actúa como un medio de identificación electrónica cualificado, reconocido en toda la UE.

El Reglamento (UE) 2024/1624 es una de las piezas centrales del nuevo paquete legislativo europeo contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT). Se aprobó el 31 de mayo de 2024 y se publicó en el DOUE el 19 de junio de 2024. Su objetivo es sustituir la fragmentación normativa existente y establecer normas directamente aplicables en todos los Estados miembros para reforzar la integridad del sistema financiero europeo.

El Reglamento (UE) 2024/1620 crea la Autoridad de Lucha contra el Blanqueo de Capitales (en inglés Anti-Money Laundering Authority – AMLA) y la Financiación del Terrorismo y se modifican los Reglamentos (UE) n.º 1093/2010, 1094/2010 y 1095/2010. Recientemente AMLA ha abierto una consulta pública (9 febrero – 8 mayo 2026) sobre los Regulatory Technical Standards (RTS) previstos en el artículo 28(1) del Reglamento (UE) 2024/1624, que desarrollan en detalle cómo deben aplicar los sujetos obligados la diligencia debida con el cliente.

Estos RTS son esenciales porque convierten los principios del Reglamento AML en instrucciones operativas concretas y uniformes en toda Europa, qué información recoger, cómo verificarla, qué hacer en casos de riesgo. El «draft» señala (pág. 29) que el cumplimiento de la sección 9 se logra con el cumplimiento del Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, que establece las normas técnicas y procedimentales para la aplicación del Reglamento eIDAS 2 en lo relativo a:

  • Datos de identificación de la persona (PID)
  • Declaraciones electrónicas de atributos (EAA / QEAA)
  • Su expedición a las Carteras de Identidad Digital de la Unión Europea (EUDI Wallets)

La complejidad regulatoria da otra vuelta de tuerca porque, como comenté recientemente hay nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet y uno de ellos, precisamente, modifica el Reglamento de Ejecución (UE) 2024/2977.

El papel de la EBA y sus Directrices sobre onboarding remoto

La Autoridad Bancaria Europea (EBA) publicó el 22 de noviembre de 2022 sus Directrices sobre el uso de soluciones de incorporación remota de clientes (EBA/GL/2022/15), aplicables desde el 2 de octubre de 2023 a todas las entidades de crédito e instituciones financieras en el ámbito de la Directiva AML. Estas directrices establecen estándares comunes europeos para los procesos de diligencia debida inicial en el contexto del onboarding digital, y resultan directamente relevantes para la integración de la EUDI Wallet: la EBA reconoce expresamente en su texto que las entidades que utilicen soluciones basadas en esquemas de identificación electrónica notificados bajo eIDAS, o en servicios de confianza cualificados, pueden asumir que tales soluciones cumplen los requisitos de verificación de identidad establecidos en la Directiva, sin necesidad de duplicar las evaluaciones de gobernanza ya realizadas en el marco del propio Reglamento eIDAS. En la práctica, esto significa que una entidad financiera que integre correctamente la EUDI Wallet como mecanismo de identificación del cliente estará, de forma simultánea, cumpliendo con las exigencias de las Directrices EBA/GL/2022/15.

Las directrices deben leerse en conjunción con otras guías de la EBA, en particular las Directrices sobre Factores de Riesgo ML/TF (EBA/GL/2021/02) y las relativas a la gestión de riesgos TIC y de seguridad (EBA/GL/2019/04), lo que refuerza la necesidad de un enfoque integral en la adaptación. Cabe señalar que la propia EBA, al publicar sus directrices de 2022, ya advertía que era consciente de que la reforma del Reglamento eIDAS y la introducción de la Cartera IDUE ayudarían a superar la fragmentación existente en materia de identificación remota, pero que hasta que dicha reforma entrase en vigor, debía basar su análisis en el marco normativo entonces vigente. Ese momento ha llegado: la EUDI Wallet ya es una realidad regulatoria, y las entidades financieras tienen ahora la oportunidad de alinear su cumplimiento AML con el nuevo ecosistema de identidad digital europeo, construyendo una infraestructura de onboarding que satisfaga simultáneamente las EBA/GL/2022/15 y los requisitos del Reglamento eIDAS 2.0.

Implicaciones del Reglamento DORA en la integración de la Cartera IDUE

Las entidades financieras que acometan la integración de la EUDI Wallet no pueden ignorar que dicha integración constituye, desde la perspectiva del Reglamento (UE) 2022/2554 (DORA), plenamente aplicable desde el 17 de enero de 2025, la incorporación de una nueva función crítica soportada por TIC, con todo lo que ello implica. DORA exige que cualquier nuevo sistema o proveedor externo que dé soporte a funciones esenciales quede incorporado al marco de gestión del riesgo TIC de la entidad: los proveedores de servicios de identificación y los prestadores cualificados de servicios de confianza que participen en el ecosistema de la cartera deberán ser objeto de la diligencia debida contractual prevista en los artículos 28 y siguientes del Reglamento, incluyendo cláusulas de auditoría, acceso, localización de datos y continuidad del servicio. La clasificación de la funcionalidad de autenticación con cartera como «función importante» —lo que es previsible dado su papel central en el acceso a la banca electrónica— activaría además la obligación de realizar pruebas de resiliencia operativa periódicas sobre esos sistemas.

Desde una perspectiva de planificación, esto significa que el proyecto de integración de la EUDI Wallet debe diseñarse desde el inicio con la arquitectura documental y contractual que DORA exige, evitando tener que remediar a posteriori las carencias de un despliegue tecnológico que no tuvo en cuenta el marco de riesgo de terceros. La buena noticia es que las exigencias de DORA y las de eIDAS 2.0 son en gran medida complementarias: ambas apuntan hacia proveedores robustos, auditables y resilientes. Una entidad que seleccione proveedores de servicios de identidad digital que sean Prestadores Cualificados de Servicios de Confianza (QTSP) registrados bajo eIDAS estará, al mismo tiempo, incorporando actores que ya han superado auditorías de conformidad rigurosas, lo que facilita considerablemente la evaluación del riesgo TIC de terceros exigida por DORA.

EADTrust

EADTrust ofrece sus servicios de adecuación a la Cartera IDUE a las entidades financieras para facilitar la integración, sumándose al equipo técnico y legal que acometa la adaptación.

EADTrust puede proporcionar Declaraciones Electrónicas de Atributos de prueba, y las APIs de los protocolos a utilizar. También aporta jefes de proyecto, programadores y juristas para acometer las diferentes facetas de la adaptación. En particular para dar seguimiento al cada vez más complejo marco regulatorio.

Presta servicios cualificados complementarios como los sellos de tiempo, y el archivo electrónico de preservación que ayudan a custodiar las evidencias digitales del proceso. Con los servicios de EAD Factory la entidad financiera cuenta con todos los servicios de un PSC (Prestador de Servicios de Certificación) cualificado como si fuera parte de su propia infraestructura.

Además EADTrust ayuda a integrarse a otras entidades que forman parte de la infraestructura y del ecosistema de la Cartera IDUE: fuentes auténticas, entidades del sector público, entidades privadas que entreguen declaraciones de atributos a sus clientes o a sus empleados,…

Aunque la interoperabilidad con la «EUDI Wallet» se vea ahora como un requisito regulatorio para las entidades señaladas en el Artículo 5 septies del Reglamento UE 910 / 2014 reformado, va a ser esencial para las entidades Fintech, y para todo el sector financiero y un motor de innovación para crear nuevos servicios.

Será la evolución natural de los servicios cualificados, promoviendo una identificación más segura y eficiente en el marco normativo europeo.

EADTrust, como Prestador Cualificado de Servicios de Confianza Electrónica registrado en el Ministerio de Asuntos Económicos y Transformación Digital, es un aliado clave en esta transición. Su equipo de Servicios Profesionales, liderado por expertos en identidad digital y eIDAS, y con experiencia en proyectos en entidades financieras y administraciones públicas ofrece soporte integral para la adaptación a la EUDI Wallet, incluyendo:

  • Consultoría y auditorías técnicas y legales: Evaluación de sistemas actuales y planes de implementación para garantizar interoperabilidad y cumplimiento normativo. Seguimiento de la normativa aplicable, cada vez más compleja.
  • Implementación de soluciones EUDI: Desarrollo de integraciones para la cartera, junto con servicios de archivo electrónico cualificado y digitalización de documentos.
  • Formación y soporte: Capacitación para equipos en el uso de la cartera y alineación con la Ley 10/2010 y los nuevos RTS.

Además, EADTrust ya ofrece una amplia gama de servicios cualificados eIDAS, como:

  • Certificados electrónicos cualificados para firmas y sellos electrónicos.
  • Sellado de tiempo electrónico cualificado.
  • Notificaciones electrónicas certificadas.
  • Validación y preservación de documentos electrónicos.
  • Servicios de identidad digital y custodia electrónica.

Con precios muy atractivos y un enfoque en criptoagilidad (para resistir los retos de la computación cuántica hacia las técnicas criptográficas tradicionales), EADTrust transforma el complejo marco de cumplimiento en una ventaja competitiva, ayudando a las entidades financieras a navegar el ecosistema digital con confianza.

Para más información, contacta con el equipo de EADTrust llamando al 917160555 (o al 902 365 612) y prepárate para el futuro digital

Nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet

1 respuesta

La implantación práctica de la Identidad Digital Europea y, en particular, de las Carteras IDUE, depende menos del texto del Reglamento (UE) 2024/1183 y mucho más del contenido de sus actos de ejecución.

​En estas semanas coinciden tres nuevos proyectos de reglamento de ejecución aún abiertos a comentarios en el portal “Have your say”, todos ellos estrechamente ligados al marco de confianza y a la interoperabilidad técnica de las carteras EUDI.

Oleadas de actos de ejecución

El primer paquete de actos de ejecución de 2024 se centró en la definición básica de la cartera, sus funcionalidades núcleo, los protocolos e interfaces y el esquema de certificación de las EUDI Wallet.

En abril y junio de 2025 la Comisión amplió el desarrollo reglamentario con nuevos actos de ejecución, orientados sobre todo a servicios de confianza (firma, sello, conservación, entrega electrónica certificada, etc.) y a la supervisión del ecosistema.

La lista completa de los 30 actos de ejecución de EIDAS2 ya publicados en el Diario Oficial la presenté hace unos días.

A pesar de ese despliegue normativo, el marco sigue siendo incompleto: es necesario ajustar referencias a normas técnicas, detallar procedimientos y cubrir ámbitos que el propio Reglamento remite expresamente a actos de ejecución adicionales (listas de estándares, métodos de verificación, actualización de requisitos para servicios de confianza, etc.). Incluso, a veces, se publican actos de ejecución para modificar otros actos de ejecución

Nuevo borrador: Modificación el Acto de Ejecución 2025/848

La Modificación de Reglamento de Ejecución 2025/848 que trata sobre el Registro de las Partes usuarias (informadas) de Carteras,

​Draft implementing regulation – Ares(2026)1286341Descarga

Annex – Ares(2026)1286341Descarga

Posibilidad de enviar comentarios hasta el 5 de marzo de 2026.

Otro nuevo borrador: Modificación de 4 actos de implementación de 2024: 2979, 2982, 2977 y 2980

Esta iniciativa modifica los Reglamentos de Ejecución (UE) de 2024: 2977, 2979, 2980 y 2982, de la Comisión, actualizando las referencias a las normas y especificaciones técnicas para garantizar que los Estados miembros puedan desarrollar y proporcionar carteras de identidad digital europeas de manera interoperable.

Son Reglamentos de Ejecución del primer lote:

Draft implementing regulation – Ares(2026)1286304Descarga

Annex – Ares(2026)1286304Descarga

Son cambios importantes que afectan a la estructura del PID de la Cartera y otros elementos.

Teniendo en cuenta la disparidad de números de identificación de los ciudadanos en Europa y el hecho de que varias especificaciones quede 2abiertas» dificultará seguramente la interoperabilidad transfronteriza.

Posibilidad de enviar comentarios hasta el 5 de marzo de 2026.

Tercer nuevo borrador: Modificación del Acto de Ejecución 2025/1569

Esta iniciativa modifica el Reglamento de Ejecución (UE) n.º 2025/1569 de la Comisión mediante la actualización de las normas y especificaciones técnicas necesarias para emitir declaraciones electrónicas cualificadas de atributos y declaraciones electrónicas de atributos proporcionadas por un organismo del sector público responsable de una fuente auténtica o en su nombre.

Draft implementing regulation – Ares(2026)1286389Descarga

Annex – Ares(2026)1286389Descarga

Posibilidad de enviar comentarios hasta el 5 de marzo de 2026.

Son normas que llegan un poco tarde dado el estado de desarrollo de las Carteras IDUE y la presión que significa que tienen que estar disponibles en los estados miembros en las navidades del 2026, pero por otro lado, intentan resolver problemas detectados (lo que no es óbice para que puedan crear otros problemas nuevos).

A principios de diciembre de 2025 se publicó otro borrador de-acto de-ejecución relativo al registro del usuario de la Cartera IDUE

Este borrador establece una lista de estándares de referencia para el «onboarding» remoto de usuarios, enfocándose en procedimientos seguros de prueba de identidad remota (remote identity proofing), requisitos para evaluación de riesgos, recolección de evidencias, continuidad operativa, verificación de identidad y adaptaciones a normas como ETSI TS 119 461 V2.1.1, ETSI EN 319 401, entre otras. Incluye evaluaciones por laboratorios acreditados para cumplir con los niveles de aseguramiento requeridos.

Enlace directo a la iniciativa en «Have your say»: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/15572-European-Digital-Identity-Wallets-user-onboarding_en

Cartera de de Identidad Digital Europea en la IV Edición de los Legal Innovation Days de Wolters Kluwer

Deja un comentario

El próximo 3 de marzo de 2026 a las 17:00 horas intervendré en la sexta sesión de la IV Edición de los Legal Innovation Days de Wolters Kluwer con la ponencia «La cartera de identidad digital europea y otros servicios de confianza cualificados EIDAS2«. La inscripción es gratuita.

En total están previstas 11 sesiones, o sea que, a estas alturas del año, ya se han impartido la mitad. Este es el detalle:

SESIÓN 1 (Octubre 2025): Liderar el cambio en tiempos de transformación digital y cultural en el sector legal. Ponente: Blanca Rodríguez Lainz, Directora Global de Talento en Ontier.

SESIÓN 2 (Noviembre 2025): Medidas restrictivas en internet: retirada, interrupción y bloqueo. Ponente: Eloy Velasco, Magistrado de la Audiencia Nacional.

SESIÓN 3 (Diciembre 2025): De la gestión del riesgo al impacto: la evolución del abogado in-house. Ponente: Teresa Parada, Abogada en HEINEKEN ESPAÑA.

SESIÓN 4 (Enero 2026): El futuro del pricing legal: innovación, eficiencia y modelos alternativos. Ponente: Laia Moncosí, Socia fundadora y CEO de Lawyers for Projects.

SESIÓN 5 (Febrero 2026): RETOS Y OPORTUNIDADES DE LA IA DESDE LA PERSPECTIVA LEGAL. Ponente: Santiago Mediano, Presidente de Santiago Mediano Abogados.

SESIÓN 6 (Marzo 2026): La cartera de identidad digital europea y otros servicios de confianza cualificados EIDAS2. Ponente: Julián Inza, Presidente de  EADTrust (Grupo Garrigues).

SESIÓN 7 (Abril 2026): Sistema de compensación de socios. Ponente: José Luis Pérez Benítez, Socio de BlackSwan Consultoría.

SESIÓN 8: (Mayo 2026) Radiografía del sector legal: tendencias y desafíos. Ponente: Alicia Feito Pujades, Directora de ventas en Europa del segmento Law Firms en Wolters Kluwer Legal Software y Grégoire Miot, Presidente de ELTA (European Legal Tech Association).

SESIÓN 9 (Junio 2026): Legal kanban: de la estrategia de transformación al cambio organizativo y cultural. Ponente: Lilian Mateu, Directora asociada en BTS.

SESIÓN 10 (Julio 2026): Fórmulas de crecimiento en los despachos de abogados. Ponente: David Muro y Alfonso Everlet, ambos socios en Diferencia Legal.

SESIÓN 11 (Septiembre 2026): Taller de herramientas legaltech para captar y fidelizar clientes. Ponente: José Maria Fernández Comas, Director de Derecho Práctico.

Más información y registro para recibir avisos de siguientes sesiones en esta página de Wolters Kluwer.

Mi sesión es la 6 (3 de Marzo de 2026): La cartera de identidad digital europea y otros servicios de confianza cualificados EIDAS2

En este webinar se abordarán los aspectos clave del Reglamento eIDAS2, la Cartera de Identidad Digital Europea (EUDI Wallet), los servicios de confianza cualificados y su interacción con otras normas europeas. Y los retos y oportunidades que plantea su implementación. Dado que para diciembre de 2026 los Estados miembros deben emitir las carteras y en diciembre de 2027 deben aceptarla, para que sus usuarios puedan contratar y autenticarse, las entidades dedicadas al transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, es conveniente conocer su impacto. Además, se plantearán las implicaciones para ciudadanos, empresas y administraciones públicas.

speaker6

Julián Inza, Presidente de EADTrust. (Grupo Garrigues)​

He creado un sitio web con un formulario en el que se pueden apuntar las personas y entidades que quieran recibir más información sobre cómo adaptarse a la generalización de la Cartera IDUE. Acceder al Directorio.

Esta es la reseña curricular que ha publicado Wolters Kluwer sobre mi (gracias):

Julián Inza es divulgador en aspectos de identidad digital, firma electrónica, blockchain y criptografía postcuántica. Preside EADTrust, prestador cualificado de servicios de confianza digital, y ha liderado otros PSC como AC Camerfirma y FESTE (actualmente ANCERT). Desarrolló nuevos medios de pago virtuales en Banesto EFT y Banesto (integrado posteriormente en B. Santander) desarrollando soluciones innovadoras como Virtual Cash. Impulsó Mobipay, el primer sistema de pago por móvil interoperable. Autor del libro «La Factura Electrónica» (publicado por Red.es), es ponente en eventos internacionales sobre digitalización y seguridad. Participa en el Grupo de Expertos de la Cartera IDUE (EIDAS2) de ENISA (Agencia Europea de Ciberseguridad) y en diferentes foros, abordando criptografía postcuántica, carteras digitales de identidad y State-Supported Identity (SSI). Su experiencia en normativas europeas y tecnologías seguras lo posiciona como líder en confianza digital.

Lista completa de actos de ejecución que acompañan a #EIDAS2 – Complete list of implementing acts accompanying #EIDAS2

1 respuesta

Los actos de ejecución (en inglés, Implementing Acts) del eIDAS2 —es decir, del Reglamento (UE) 2024/1183 que modifica y amplía el Reglamento eIDAS original (UE) 910/2014— son normas técnicas detalladas adoptadas por la Comisión Europea para hacer operativo y uniforme el nuevo marco de identidad digital europea en toda la UE.

Se publican en el Diario Oficial y tienen carácter de Reglamento por lo que son de directa apicación en todos los paises de la Unión.

La lista competa de los publicados hasta el 31 de diciembre de 2025 sigue a continuación. Todavía faltan algunos por publicar.

En inglés:

  • CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
  • CIR 2024/2979 Integrity and core functionalities,
  • CIR 2024/2980 Ecosystem notifications,
  • CIR 2024/2981 Certification of Wallet Solutions,
  • CIR 2024/2982 Protocols and interfaces,
  • CIR 2025/846 Cross border identity matching,
  • CIR 2025/847 Security breaches of European Digital Identity Wallets,
  • CIR 2025/848 Registration of Wallet Relying Parties,
  • CIR 2025/849 List of certified European Digital Identity Wallets.
  • CIR 2025/1566 Reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 Management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 Procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 Qualified electronic attestations of attributes
  • CIR 2025/1570 Notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 Formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 Initiation of qualified trust services
  • CIR 2025/1929 Qualified electronic time stamps
  • CIR 2025/1942 Qualified validation services for qualified electronic signatures and seals
  • CIR 2025/1943 Qualified certificates
  • CIR 2025/1944 Qualified electronic registered delivery services
  • CIR 2025/1945 Validation of qualified electronic signatures and seals
  • CIR 2025/1946 Preservation of qualified electronic signatures and seals
  • CIR 2025/2160 Risk management procedures for non-qualified trust service providers
  • CIR 2025/2162 Accreditation of Conformity Assessment Bodies (CAB)
  • CID 2025/2164 Trusted List (Amendment of IR 2015/1505)
  • CIR 2025/2527 Qualified Website Authentication Certificates
  • CIR 2025/2530 Qualified Trust Service Provider Requirements
  • CIR 2025/2531 Qualified Electronic Ledgers
  • CIR 2025/2532 Electronic Archiving
  • CIR 2026/248 Advanced electronic signatures and seals – formats to be recognised by public sector bodies

En español:

  • CIR 2024/2977 sobre DIP, datos de identificación de la persona y DEA, declaraciones electrónicas de atributos
  • CIR 2024/2979 Integridad y funcionalidades básicas,
  • CIR 2024/2980 Notificaciones del ecosistema,
  • CIR 2024/2981 Certificación de soluciones de cartera,
  • CIR 2024/2982 Protocolos e interfaces,
  • CIR 2025/846 Correspondencia transfronteriza de identidades,
  • CIR 2025/847 Violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 Registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 Lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 Normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 Gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 Revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 Declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 Notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 Formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 Inicio de servicios de confianza cualificados
  • CIR 2025/1929 Sellos cualificados de tiempo electrónicos
  • CIR 2025/1942 Validación de firmas y sellos electrónicos cualificados
  • CIR 2025/1943 Certificados cualificados
  • CIR 2025/1944 Entrega electrónica certificada
  • CIR 2025/1945 Validación de firmas y sellos
  • CIR 2025/1946 Preservación de documentos con firmas o sellos
  • CIR 2025/2160 Procedimientos de gestión de riesgos para prestadores de servicios de confianza no cualificados
  • CIR 2025/2162 Acreditación de Organismos de Evaluación de Conformidad (OEC)
  • CID 2025/2164 Lista de confianza (modificación de IR 2015/1505)
  • CIR 2025/2527 Certificados de autenticación de sitios web cualificados
  • CIR 2025/2530 Requisitos para los prestadores de servicios de confianza cualificados
  • CIR 2025/2531 Libros de contabilidad electrónicos cualificados
  • CIR 2025/2532 Archivo electrónicos
  • CIR 2026/248 Firmas y sellos electrónicos avanzados: formatos que deben reconocer los organismos del sector público.

Nota del 3 de febrero de 2026. Hoy se ha publicado en el Boletín Oficial el Reglamento de Ejecución (UE) 2026/248 de la Comisión, de 2 de febrero de 2026 (en inglés: Commission Implementing Regulation (EU) 2026/248 of 2 February 2026) y lo he incorporado a las listas

Para más información, contacte con EADTrust, en el +34 917160555.