Ayer, 8 de abril de 2026, se publicó en el Diario Oficial de la Unión Europea el REGLAMENTO DE EJECUCIÓN (UE) 2026/798 DE LA COMISIÓN de 7 de abril de 2026 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia y especificaciones para la incorporación a distancia de usuarios a las carteras europeas de identidad digital por medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia cuando la combinación cumpla los requisitos del nivel de seguridad alto.
Este acto de ejecución se basa en el artículo 5 bis, apartado 24, del Reglamento eIDAS (UE) 910/2014.
Su objetivo es fijar normas técnicas y especificaciones armonizadas para permitir la incorporación remota (onboarding) segura de usuarios a las carteras europeas de identidad digital (EUDI Wallets), utilizando medios de identificación electrónica (eID) de nivel de seguridad sustancial, y procedimientos adicionales para alcanzar el nivel alto. Esto garantiza confianza, seguridad y coherencia en toda la UE.
Los «Considerandos» principales:
- La incorporación remota es esencial para verificar la identidad del usuario y vincularla a la cartera y al dispositivo.
- Se utilizan normas ya consolidadas (basadas en ETSI) adaptadas al contexto de las carteras europeas.
- Cuando el eID ya tiene nivel alto, no es necesario repetir verificaciones.
- Para eID no notificados, se exige evaluación por organismos acreditados.
- Se aplican plenamente las normas de protección de datos (RGPD, Reglamento 2018/1725 y Directiva 2002/58/CE).
Incluye 2 artículos:
- Artículo 1: Establece que las normas de referencia y especificaciones aplicables figuran en el Anexo.
- Artículo 2: Entrada en vigor y aplicabilidad (ver abajo).
El Anexo remite a la norma ETSI TS 119 461 V2.1.1 (febrero 2025) y selecciona/adapta sus cláusulas para dos escenarios:
- Incorporación remota con eID de nivel sustancial (Baseline LoIP).
- Procedimientos adicionales para alcanzar nivel alto (Extended LoIP).
Sección 1 – Cláusulas aplicables (selección de la ETSI TS 119 461):
- Gestión de riesgos operativos, políticas y prácticas, gestión del servicio de verificación de identidad, requisitos del servicio, casos de uso concretos (con documento de identidad atendido/no atendido, por autenticación con eID, y refuerzo de nivel).
Sección 2 – Adaptaciones específicas (modificaciones importantes):
- Evaluación de riesgos y políticas de prácticas.
- Gestión del servicio (notificaciones, conservación de pruebas, gestión de crisis, acuerdos de cese).
- Protección de datos por diseño y por defecto (limitación de datos biométricos).
- Requisitos de verificación de identidad: uso de eID notificados o certificados por organismo acreditado, captura de imagen facial segura (comunicación de campo cercano con chip), tasas de falsa aceptación/rechazo (FAR/FRR).
- Refuerzo de nivel: procedimientos para pasar de Baseline a Extended LoIP (solo cuando no se usó comparación facial automatizada).
Todo el proceso debe cumplir los requisitos de los Reglamentos de Ejecución (UE) 2015/1502 y ETSI EN 319 401.
Disposiciones finales
- Entrada en vigor: a los veinte días de su publicación en el DOUE (es decir, el 28 de abril de 2026).
- Aplicabilidad: obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros.
Con este acto de ejecución se confirma que decae (pierde aplicabilidad efectiva) la Orden ETD/465/2021 en el contexto de la incorporación remota a las carteras europeas de identidad digital (EUDI Wallets) y en las evaluaciones de conformidad de sistemas de verificación de identidad remota.
Por esta razón:
- El Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183) y especialmente el Reglamento de Ejecución (UE) 2026/798 establecen un marco armonizado a nivel europeo.
- Ambos remiten directamente a la norma ETSI TS 119 461 (versión 2.1.1 o posterior) como estándar único para la verificación de identidad remota.
- La Orden ETD/465/2021 era una norma aplicable en España antes de la publicación del EIDAS2 (Reglamento UE 2024/1183) que detallaba cómo realizar la identificación remota y pierde sentido una vez publicada la norma europea armonizada ETSI TS 119 461.
Todavía podría utilizarse la Orden ETD/465/2021 en España para la expedición de certificados cualificados “tradicionales” (no para gestionar la identidad en «wallets»). Pero para esa funcionalidad también es posible optar por aplicar la norma ETSI TS 119 461.
Cambios a la norma ETSI TS 119 461
El Anexo del Reglamento de Ejecución da indicaciones respecto a la forma de usar la norma de referencia:
La conformidad se evalúa con arreglo a las cláusulas de ETSI TS 119 461 V2.1.1 (2025-02) enumeradas en la sección 1, con sujeción a las adaptaciones enumeradas en la sección 2.
Sección 1 — Cláusulas aplicables
| 5 | Operational risk assessment; |
| 6 | Policies and practices; |
| 7 | Identity proofing service management and operation; |
| 8 | Identity proofing service requirements; |
| 9.1 | Introduction, compliance with the present document, general requirements for all use cases; |
| 9.2.2 | Use cases using an identity document for attended remote identity proofing; |
| 9.2.3 | Use cases using an identity document for unattended remote identity proofing; |
| 9.2.4 | Use case for identity proofing by authentication using eID means; |
| 9.5 | Use cases for additional identity proofing to enhance an identity proven by use of an eID from Baseline LoIP to Extended LoIP. |
Sección 2 — Adaptaciones
| 1) | 5 | Operational risk assessment |
| — | OVR-5-01: Se aplicarán los requisitos especificados en la norma ETSI EN 319401 [1], cláusula 5. | |
| — | Nota 1: Cuando la acreditación de la identidad sea realizada por el propio proveedor de datos de identificación de la persona, la evaluación de riesgos del proveedor de datos de identificación de la persona puede abarcar la acreditación de la identidad. | |
| 2) | 6.1 | Identity proofing service practice statement |
| — | OVR-6.1-02: Los prestadores de servicios de acreditación de la identidad (IPSP) identificarán en su declaración de prácticas los casos de uso para los que se declara la conformidad con el presente documento. | |
| — | Nota 1: Cuando la acreditación de la identidad sea realizada por el propio proveedor de datos de identificación de la persona, la declaración de prácticas del servicio de acreditación de la identidad del proveedor de datos de identificación de la persona puede abarcar la información sobre la acreditación de la identidad y no será necesaria ninguna declaración de prácticas específica para la acreditación de la identidad. | |
| 3) | 7.9 | Vulnerabilities and incident management |
| — | OVR-7.9-02: Las obligaciones de notificación con arreglo a la norma ETSI EN 319401 [1], REQ-7.9.2-02X y cláusula 7.9.3, se cumplirán según lo exigido por el contexto de la acreditación de la identidad y las obligaciones del proveedor de datos de identificación de la persona que se base en el servicio del IPSP. | |
| — | EJEMPLO: La notificación a la autoridad de control que supervise a un proveedor de carteras europeas de identidad digital establecido en el Estado miembro que efectúa la designación puede llevarse a cabo en cooperación entre el IPSP y el proveedor de datos de identificación de la persona. | |
| 4) | 7.10 | Collection of evidence |
| — | OVR-7.10-01: Se aplicarán los requisitos especificados en la norma ETSI EN 319401 [1], cláusula 7.10. | |
| — | Nota 1: Los requisitos a largo plazo para la conservación de pruebas pueden ser cumplidos por el proveedor de datos de identificación de la persona que solicita la acreditación de la identidad en lugar de por el IPSP cuando ambos sean entidades diferentes. | |
| — | Nota 2: Se aplican los requisitos del punto 8.5.2 del presente documento. | |
| 5) | 7.11 | Business continuity management |
| — | OVR-7.11-02: Los procesos para la gestión de crisis con arreglo a la norma ETSI EN 319401 [1], REQ-7.11.3-01X, serán los requeridos por el contexto de la acreditación de la identidad y las obligaciones del proveedor de datos de identificación de la persona que se base en el servicio del IPSP. | |
| 6) | 7.12 | Termination and termination plans |
| — | OVR-7.12-01: Se aplicarán los requisitos especificados en la norma ETSI EN 319401 [1], cláusula 7.12, excepto REQ-7.12-11. | |
| — | Nota: Cuando el IPSP y el proveedor de datos de identificación de la persona que solicita la acreditación de la identidad sean entidades diferentes, pueden acordar una asistencia mutua o unilateral a la hora de establecer planes de cese. | |
| 7) | 8.1 | Initiation |
| — | INI-8.1-05: En caso de que el proceso de acreditación de la identidad a distancia se interrumpa o falle, el IPSP garantizará que se proporcionen a las personas explicaciones suficientes y vías de recurso, en particular en el caso de la acreditación de la identidad a distancia no atendida. La información debe garantizar que las personas puedan contribuir eficazmente a la rápida resolución del problema y, en caso necesario, ejercer sus derechos como interesados, como el derecho de rectificación o la posibilidad de impugnar la decisión, contra el responsable del tratamiento pertinente. | |
| 8) | 8.2.1 | General requirements |
| — | COL-8.2.1-08: El IPSP aplicará medidas para garantizar el cumplimiento de los requisitos de protección de datos desde el diseño y por defecto de conformidad con el artículo 25 del Reglamento (UE) 2016/679 durante el proceso de incorporación, especialmente en lo que respecta al tratamiento de datos biométricos. Las medidas pertinentes podrán consistir en controles criptográficos, dispositivos y medidas organizativas adecuados que mejoren la privacidad. Tales medidas deben limitar la recogida de datos a lo estrictamente necesario para el tratamiento de los datos biométricos y cualquier otro dato personal que deba recogerse de las fuentes físicas y digitales de identificación a fin de vincular los datos de identificación personal del usuario a sus carteras y al dispositivo del usuario en el que esté instalada la unidad de cartera. | |
| 9) | 8.2.4 | Use of existing eID means as evidence |
| — | [CONDICIONAL] COL-8.2.4-02X: Si el objetivo es el nivel básico de acreditación de la identidad (Baseline LoIP), los medios de identificación electrónica deberán haber sido notificados al menos como de un nivel de seguridad eIDAS sustancial o su nivel de seguridad deberá haber sido confirmado por un organismo de evaluación de la conformidad acreditado, tal como se define en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008, o por un organismo equivalente, y, si se cumplen todos los requisitos aplicables, la evaluación dará lugar a un certificado de conformidad basado en una auditoría de certificación. Este proceso de certificación formal se basará en un proceso de evaluación de la seguridad que se refiera a los niveles de seguridad definidos para los medios de identificación electrónica notificados o para las carteras europeas de identidad digital certificadas en virtud del Reglamento (UE) n.o 910/2014 [i.25]. | |
| — | COL-8.2.4-02A: sin efecto. | |
| 10) | 8.3.1 | General requirements |
| — | VAL-8.3.1-11X: El proceso de acreditación de la identidad verificará que las pruebas sean válidas en el momento de la acreditación de la identidad. | |
| 11) | 8.3.3 | Validation of physical identity document |
| — | VAL-8.3.3-21: La eficacia de las medidas para cumplir los requisitos VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A y VAL-8.3.3-07X será confirmada por un organismo de evaluación de la conformidad acreditado, tal como se define en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008, o por un organismo equivalente. | |
| — | VAL-8.3.3-22: La imagen facial de referencia del documento físico de identidad se recogerá utilizando la comunicación de campo cercano y el proceso llevará a cabo la autenticación pasiva o activa del chip del documento físico de identidad. | |
| 12) | 9.1 | Introduction, compliance with the present document, general requirements for all use cases |
| — | USE-9.1-01X: Para ser conformes con el presente documento, los procesos de acreditación de la identidad se ajustarán al caso de uso de la cláusula 9.5 del presente documento para el nivel ampliado de acreditación de la identidad (Extended LoIP). | |
| — | USE-9.1-03X: sin efecto. | |
| 13) | 9.2.3.4 | Use case for automated operation |
| — | USE-9.2.3.4-04: El IPSP establecerá valores objetivo para la tasa de falsa aceptación (FAR) y la tasa de falso rechazo (RRF), sobre la base de un análisis de riesgos y su procedimiento de inteligencia sobre amenazas, siguiendo la metodología establecida en el informe de ENISA «Methodology for sectoral cybersecurity assessments» («Metodología para las evaluaciones sectoriales de la ciberseguridad», documento en inglés) [i.28] o una metodología equivalente, en procesos de acreditación de identidad totalmente automatizados. Los valores objetivo utilizados por el IPSP serán iguales o inferiores a los establecidos para los casos de uso de carácter híbrido, cuando existan. El IPSP mantendrá estos valores objetivo para la FAR y la RRF de manera coherente, con el apoyo de un análisis de riesgos y su procedimiento de inteligencia sobre amenazas. | |
| 14) | 9.5.1 | General requirements |
| — | Primer apartado: Cuando el solicitante sea una persona física, también una persona física que represente a una persona jurídica, y se haya acreditado la identidad del solicitante al nivel básico de acreditación de la identidad (Baseline LoIP) mediante autenticación utilizando una identificación electrónica, y se requiera un refuerzo hasta el Extended LoIP, se aplicarán los requisitos siguientes. | |
| — | USE-9.5.1-08: La acreditación de la identidad adicional necesaria para reforzar la fiabilidad de una identidad solo es aplicable a la identificación electrónica que no se haya expedido basándose en una comparación automatizada entre imágenes faciales para el proceso de expedición inicial. | |
| 15) | 9.5.2 | Use case for enhancing identity proofing to Extended LoIP by a full identity proofing using an identity document |
| — | USE-9.5.2-01: La acreditación de la identidad a fin de pasar del Baseline LoIP al Extended LoIP se ajustará a los requisitos del nivel ampliado de acreditación de la identidad de uno de los casos de uso descritos en las cláusulas 9.2.2 o 9.2.3 del presente documento para el Extended LoIP. | |
| 16) | 9.5.3 | Use case for enhancing identity proofing to Extended LoIP by use of a previously captured reference face image |
| — | USE-9.5.3-01: Para captar una imagen facial de referencia y vincular los atributos de identidad necesarios a dicha imagen, se utilizará un proceso de acreditación de la identidad que cumpla los requisitos del Extended LoIP de uno de los casos de uso descritos en las cláusulas 9.2.2 o 9.2.3 del presente documento, o el proceso de acreditación de la identidad ha sido revisado por pares o certificado por un organismo de evaluación de la conformidad acreditado definido en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008 o un organismo equivalente para cumplir el nivel de seguridad alto con arreglo al Reglamento (UE) n.o 910/2014 [i.25]. |
Estos son requisitos que no se incluyen en la norma indicada: ETSI TS 119 461 V2.1.1 (2025-02) por lo que puede ser interesante tener una «norma» modificada como referencia.
Todo es electrónico 