Archivo de la categoría: Conformidad normativa

Veri-factu, SII, factura electrónica y regímenes forales: este es el mapa para no perderse (con mención al sello electrónico)

La proliferación de siglas y normativas en torno a la facturación en España puede resultar abrumadora, incluso para quienes seguimos este ecosistema de cerca.

¿Qué diferencia hay entre Veri-Factu y el SII? ¿A qué obliga ya la Ley Crea y Crece tras el Real Decreto 238/2026? ¿Qué pasa en Navarra o en el País Vasco? ¿Y el sello electrónico remoto cualificado?

En este artículo trato de trazar un mapa claro de todos estos conceptos, sus solapamientos y sus diferencias, y termino explicando por qué el sello electrónico remoto cualificado es una pieza técnica que los une a todos.

1. El terreno de juego: dos grandes familias de obligaciones

Antes de entrar en detalle, conviene distinguir dos líneas normativas que a menudo se confunden porque comparten vocabulario pero tienen objetivos distintos:

Las obligaciones de control fiscal (SII, Veri-factu): nacen de la potestad de la Agencia Tributaria para verificar en tiempo real —o casi— que las facturas emitidas existen y son íntegras. El destinatario de la información es la Administración.
La obligación de facturar electrónicamente entre empresas (Ley 18/202 Crea y Crece / Real Decreto 238/2026)
): nace del derecho del acreedor a recibir su factura en formato estructurado y de la ambición de reducir la morosidad. El destinatario es el cliente B2B.

Son obligaciones que pueden coexistir, complementarse y, en muchos casos, satisfacerse con la misma infraestructura técnica, pero que responden a lógicas diferentes.

2. El SII: el pionero del reporte en tiempo real

El Suministro Inmediato de Información (SII) se introdujo en 2017 (Real Decreto 596/2016) y obliga a determinados contribuyentes —grandes empresas, grupos de IVA, inscritos en el REDEME— a enviar a la AEAT los registros de facturación en un plazo máximo de cuatro días hábiles desde la expedición o recepción de la factura.

¿Qué se envía?

No se envía la factura en sí, sino un registro de facturación en XML con los campos esenciales (fecha, importe, NIF, tipo de IVA…). La factura original puede seguir siendo en papel o en cualquier formato, siempre que el registro llegue a tiempo.

¿Quién está obligado?

Hoy en día están obligados al SII unos 62.000 contribuyentes que representan aproximadamente el 80 % de la recaudación de IVA en España. Para el resto, sigue siendo voluntario.

La llave técnica: certificado de empresa (sello)

Las comunicaciones al SII se realizan mediante servicios web de la AEAT, autenticados con el certificado de representante de persona jurídica o el certificado de sello de persona jurídica emitido por una autoridad de certificación cualificada. Esto ya anticipa la distinción que abordaremos más adelante sobre firma vs. sello.

3. Veri-factu: integridad de secuencia en el registro en origen

Veri-factu (oficialmente, el sistema de emisión de facturas verificables regulado por el Real Decreto 1007/2023 (modificado por RD 254/2025 y RD-ley 15/2025) y desarrollado por la Orden HAC/1177/2024) tiene una naturaleza diferente al SII: no es un sistema de envío a la Administración en tiempo real (aunque puede serlo), sino un sistema de integridad en origen.

La idea central

Todo software de facturación que no esté acogido al SII deberá, a partir de su entrada en vigor, generar facturas que:

Incluyan un código QR que permita al receptor verificar la factura en la sede electrónica de la AEAT.
Incorporen un mecanismo de hashes encadenados en el sistema de control de llevanza de facturas consecutivas, de modo que cualquier alteración posterior sea detectable (adición o eliminación de registros).
Puedan enviarse a la AEAT de forma voluntaria (modalidad VERI*FACTU) o simplemente conservarse en el sistema del emisor (modalidad de registro seguro) a disposición de que lo solicite la AEAT.

¿Quién está obligado?

Todos los empresarios y profesionales no obligados al SII que utilicen sistemas informáticos de facturación, con las excepciones habituales (contribuyentes que ya están en el SII quedan fuera del ámbito de Veri-factu, precisamente porque ya reportan la información al instante).

Fecha de entrada en vigor

Tras el Real Decreto-ley 15/2025, de 2 de diciembre

Personas jurídicas (Entidades del Impuesto sobre Sociedades): 1 de enero de 2027
Personas físicas (autónomos): 1 de julio de 2027

En resumen: el SII manda el registro a Hacienda; Veri-factu garantiza que el origen de la factura no ha sido manipulado y facilita la verificación posterior. Son excluyentes

4. La factura electrónica B2B: la Ley Crea y Crece

La Ley 18/2022, de creación y crecimiento de empresas (conocida como Ley Crea y Crece), establece en su artículo 12 la obligación de facturar electrónicamente entre empresarios y profesionales en sus relaciones B2B. Esta obligación se concreta en el Real Decreto 238/2026, de 25 de marzo que señala la futura publicación de la Orden Ministerial para dar cobertura a la solución pública gestionada por la AEAT

Plazos de aplicación efectiva (contados desde la publicación de la Orden Ministerial de desarrollo de la solución pública de facturación electrónica):

12 meses → empresas con volumen de operaciones > 8 millones €.
24 meses → resto de empresarios y profesionales.

Durante los primeros 12 meses las grandes empresas podrán acompañar la factura electrónica con un PDF legible (salvo que el cliente acepte expresamente el formato estructurado).

¿Qué exige?

Que la factura se emita en un formato estructurado (UBL, CII, EDIFACT y Facturae) y se transmita por plataformas de intercambio interoperables.
Que las plataformas —tanto la pública (FACeB2B) como las privadas acreditadas— garanticen la autenticidad e integridad de las facturas.
Que el receptor no pueda rechazar la recepción de facturas electrónicas. La eliminación del requisito de aceptación del destinatario en el artículo 232 de la Directiva del IVA es el cambio del paquete “IVA en la era digital” (ViDA) con la Directiva 2025/516, el Reglamento 2025/517 y el Reglamento de Ejecución 2025/518 que permite a los Estados miembros hacer obligatoria la factura electrónica también para el receptor.

¿Qué no es la factura electrónica?

Un PDF enviado por correo electrónico no es una factura electrónica a efectos de la Ley Crea y Crece, aunque la normativa de IVA lo tolere cuando hay acuerdo entre partes. La factura electrónica en sentido estricto requiere un formato estructurado y un canal de transmisión que garantice la autenticidad.

La firma y el sello en la factura electrónica

El reglamento Facturae y el estándar FacturaE ya exigen desde hace años la firma electrónica de la factura. Para una persona jurídica (empresa), lo que técnicamente corresponde es un sello electrónico —no una firma—, tal como veremos en el apartado dedicado a esta distinción.

5. Los regímenes forales: Navarra y el País Vasco

España no tiene un sistema tributario unitario. El régimen foral de Navarra y de los tres Territorios Históricos vascos (Álava, Gipuzkoa y Bizkaia) les otorga competencia normativa propia en materia de IRPF, Impuesto de Sociedades e IVA (en el caso vasco, a través del Concierto Económico; en el caso navarro, mediante el Convenio Económico) del art. 45.3 LORAFN (Ley Orgánica 13/1982). El nuevo RD 238/2026 incluye una disposición adicional específica para garantizar la interoperabilidad.

¿Los regímenes forales tienen su propio SII y Veri-factu?

Sí, y este es un punto que sorprende a muchos:

Régimen	SII	Veri-Factu equivalente	Factura electrónica B2B (RD 238/2026)
Territorio Común (AEAT)	Real Decreto 596/2016	RD 1007/2023 (plazos 2027)	Obligatoria (plazos según volumen)
País Vasco	Propio (a través de Concierto Económico)	TicketBAI	Adaptada vía acuerdos con Haciendas Forales
Navarra	Propio (Convenio Económico)	Sistema equivalente (NaTicket u homólogo)	Adaptada vía acuerdos con Hacienda Foral

TicketBAI y BATUZ: el adelanto vasco

TicketBAI es el sistema de facturación verificable del País Vasco, conceptualmente muy similar a Veri-factu pero anterior en el tiempo: encadena facturas con hash, genera un código QR verificable y exige que el software de facturación esté certificado por las Haciendas Forales. BATUZ es el proyecto más amplio que incluye TicketBAI y el sistema de libros de registro (LROE – Libro de Registro de Operaciones Económicas), que sustituye a los modelos 130, 303 y 347 para los contribuyentes vascos.

El País Vasco, en definitiva, ha sido el laboratorio de lo que luego se ha exportado al territorio común como Veri-factu.

Implicaciones prácticas para empresas que operan en ambos territorios

Una empresa con sede en Madrid que venda a clientes en el País Vasco no está obligada a TicketBAI (esa obligación recae sobre los contribuyentes del foro vasco). Sin embargo, si tiene un establecimiento permanente en Bizkaia o es contribuyente foral, sí aplica. Las empresas que operan en ambos territorios deben implementar sistemas que puedan adaptarse a ambas normativas, o invertir en soluciones que soporten múltiples regímenes.

6. Firma electrónica y sello electrónico: la distinción que la normativa tributaria no siempre aclara

Llegamos al punto que, en mi opinión, genera más confusión técnica y jurídica en todo este ecosistema.

Lo que dice la normativa tributaria

El artículo 10 del Real Decreto 1619/2012 (Reglamento de facturación) exige que las facturas electrónicas garanticen la autenticidad del origen y la integridad del contenido mediante firma electrónica avanzada basada en certificado reconocido o cualificado. Muchos textos normativos recientes hablan genéricamente de «firma electrónica» sin mayor precisión.

Lo que dice el Reglamento eIDAS (910/2014/UE)

El Reglamento (UE) 910/2014 (eIDAS), que es de aplicación directa en toda la UE, establece una distinción fundamental:

La firma electrónica (electronic signature) es un mecanismo exclusivo de personas físicas. Solo una persona física puede «firmar» en sentido eIDAS.
El sello electrónico (electronic seal) es el mecanismo equivalente para personas jurídicas: acredita el origen y la integridad de un documento emitido por una organización, sin que deba intervenir ninguna persona física concreta.

Esta distinción no es un tecnicismo menor: una empresa que «firma» una factura con el certificado personal de su director financiero está creando un vínculo jurídico innecesario con esa persona física, exponiéndola a responsabilidades que en realidad son de la empresa. Además, cuando esa persona cambia de cargo o abandona la empresa, el sistema deja de funcionar o genera facturas con certificados caducados.

¿Por qué la normativa tributaria no lo deja claro?

La normativa tributaria española se redactó —y en muchos casos sigue redactándose— con anterioridad o sin plena integración del enfoque eIDAS. Cuando el Reglamento de facturación habla de «firma electrónica reconocida», hay que leerlo como un requisito de nivel de garantía equivalente al de un sello electrónico cualificado cuando quien emite la factura es una persona jurídica. La Directiva sobre facturación electrónica (2014/55/UE) y los estándares EN 16931 ya apuntan en esta dirección.

La lectura correcta, por tanto, es:

Si emite la factura una persona física (autónomo): usa firma electrónica cualificada.
Si emite la factura una persona jurídica (empresa, sociedad): usa sello electrónico cualificado.

El sello electrónico cualificado es el mecanismo técnico que garantiza la autenticidad e integridad tanto en Veri-Factu, en el SII como en la nueva factura electrónica B2B. Es la misma tecnología que ya se podía usar para el SII y que ahora se extiende al resto de obligaciones.”

7. El sello electrónico cualificado remoto: la pieza que lo une todo

Tanto el SII como Veri-factu, TicketBAI/BATUZ y la factura electrónica B2B requieren que las facturas o los mensajes transmitidos a las Administraciones vayan autenticados con un certificado válido de la persona jurídica emisora. El sello electrónico cualificado es el instrumento técnico-jurídico adecuado para ello.

La evolución más relevante de los últimos años es la consolidación del sello electrónico remoto: el material criptográfico (la clave privada) reside en un HSM (dispositivo cualificado de creación de firma en la nube), operado por un prestador de servicios de confianza cualificado (QTSP). El software de facturación invoca el sello a través de una API sin necesidad de gestionar localmente ningún certificado ni hardware.

Ventajas del sello remoto cualificado para la facturación

Escenario	Beneficio del sello remoto
SII (envíos masivos a AEAT)	El servidor de facturación sella miles de registros por segundo sin gestión local de tokens
Veri-factu (hash + QR)	Cada factura queda sellada en origen de forma automática e integrada en el flujo de negocio
TicketBAI / BATUZ	Los sistemas de facturación para el País Vasco ya prevén integración con APIs de sello remoto
Factura electrónica B2B	Las plataformas de intercambio pueden sellar en nombre de la empresa emisora sin depender de certificados locales que caducan o se pierden
Factura electrónica en Navarra	El sello remoto permite centralizar la emisión aunque la empresa opere bajo el Convenio Económico

8. Cuadro comparativo final

Concepto	Quién obliga	A quién aplica	Qué garantiza	Instrumento de autenticación
SII	AEAT (territorio común)	Grandes empresas y grupos de IVA	Reporte de registros en tiempo real	Certificado de sello / representante de PJ
Veri-factu	AEAT (territorio común)	Resto de empresarios no en SII	Integridad en origen + verificación QR	Hash encadenado + sello en envío voluntario
TicketBAI / BATUZ	Haciendas Forales vascas	Contribuyentes forales vascos	Integridad en origen + reporte LROE	Certificado reconocido / sello
SII foral navarro	Hacienda Foral Navarra	Contribuyentes de Navarra	Reporte de registros	Certificado emitido bajo normativa foral
Factura electrónica B2B	Ley Crea y Crece + reglamento pendiente	Todos los empresarios y profesionales	Formato estructurado + autenticidad e integridad	Sello electrónico cualificado de la PJ emisora

9. Contacte con EADTrus si necesita un sello electrónico remoto cualificado

Si tu empresa necesita adaptarse a alguno —o a varios— de los marcos normativos descritos en este artículo, la pieza transversal que simplifica todos los escenarios es el sello electrónico remoto cualificado.

EADTrust es un prestador de servicios de confianza cualificado (QTSP) inscrito en la Lista de Confianza española (TSL), que ofrece servicios de sello electrónico remoto cualificado en la nube especialmente orientados a entornos de facturación masiva. Sus características clave:

Alta disponibilidad y escalabilidad: apropiado para entornos SII con miles de operaciones diarias.
Integración por API: los sistemas de facturación (ERP, plataformas B2B, software de TicketBAI) se conectan sin cambios de arquitectura.
Cumplimiento eIDAS y normativa tributaria española: el sello es cualificado conforme al Reglamento 910/2014, lo que cubre los requisitos de autenticidad e integridad exigidos por el Reglamento de facturación y la Ley Crea y Crece.
Soporte multi-régimen: el mismo sello sirve para el SII de la AEAT, para Veri-factu, para plataformas de intercambio B2B y para los entornos forales vascos y navarro.
Gestión del ciclo de vida del certificado: renovaciones, revocaciones y auditorías sin impacto en los sistemas del cliente.

Si quieres más información sobre cómo integrar el sello remoto cualificado de EADTrust en tu plataforma de facturación, puedes contactar con su equipo técnico llamando al 917160555 (también 902 365 612) o consultar la documentación disponible en su web.

Conclusión

El ecosistema de la facturación en España es, como hemos visto, un mosaico de obligaciones con distinto origen normativo, distinto ámbito subjetivo y distintos plazos. La buena noticia es que todos estos marcos comparten una misma necesidad técnica: garantizar la autenticidad e integridad de las facturas mediante criptografía. Y la solución idónea para las personas jurídicas —que es la inmensa mayoría de los obligados— es el sello electrónico cualificado, preferiblemente en modalidad remota para facilitar la integración y la escalabilidad.

La distinción entre firma (personas físicas) y sello (personas jurídicas) que establece el Reglamento eIDAS no es un detalle menor: es el fundamento jurídico que da validez duradera a todos los documentos electrónicos que emitimos como empresas. Leer la normativa tributaria con las gafas de eIDAS no es optativo: es necesario para implementar bien.

¿Tienes dudas sobre qué sistema aplica a tu empresa o cómo integrar el sello remoto en tu plataforma? Llámanos al 917160555 o al 902 365 612.

Publicado el nuevo Reglamento de Ejecución (UE) 2026/798 para el desarrollo de la Cartera IDUE

Deja un comentario

Ayer, 8 de abril de 2026, se publicó en el Diario Oficial de la Unión Europea el REGLAMENTO DE EJECUCIÓN (UE) 2026/798 DE LA COMISIÓN de 7 de abril de 2026 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.^o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia y especificaciones para la incorporación a distancia de usuarios a las carteras europeas de identidad digital por medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia cuando la combinación cumpla los requisitos del nivel de seguridad alto.

Este acto de ejecución se basa en el artículo 5 bis, apartado 24, del Reglamento eIDAS (UE) 910/2014.

Su objetivo es fijar normas técnicas y especificaciones armonizadas para permitir la incorporación remota (onboarding) segura de usuarios a las carteras europeas de identidad digital (EUDI Wallets), utilizando medios de identificación electrónica (eID) de nivel de seguridad sustancial, y procedimientos adicionales para alcanzar el nivel alto. Esto garantiza confianza, seguridad y coherencia en toda la UE.

Los «Considerandos» principales:

La incorporación remota es esencial para verificar la identidad del usuario y vincularla a la cartera y al dispositivo.
Se utilizan normas ya consolidadas (basadas en ETSI) adaptadas al contexto de las carteras europeas.
Cuando el eID ya tiene nivel alto, no es necesario repetir verificaciones.
Para eID no notificados, se exige evaluación por organismos acreditados.
Se aplican plenamente las normas de protección de datos (RGPD, Reglamento 2018/1725 y Directiva 2002/58/CE).

Incluye 2 artículos:

Artículo 1: Establece que las normas de referencia y especificaciones aplicables figuran en el Anexo.
Artículo 2: Entrada en vigor y aplicabilidad (ver abajo).

El Anexo remite a la norma ETSI TS 119 461 V2.1.1 (febrero 2025) y selecciona/adapta sus cláusulas para dos escenarios:

Incorporación remota con eID de nivel sustancial (Baseline LoIP).
Procedimientos adicionales para alcanzar nivel alto (Extended LoIP).

Sección 1 – Cláusulas aplicables (selección de la ETSI TS 119 461):

Gestión de riesgos operativos, políticas y prácticas, gestión del servicio de verificación de identidad, requisitos del servicio, casos de uso concretos (con documento de identidad atendido/no atendido, por autenticación con eID, y refuerzo de nivel).

Sección 2 – Adaptaciones específicas (modificaciones importantes):

Evaluación de riesgos y políticas de prácticas.
Gestión del servicio (notificaciones, conservación de pruebas, gestión de crisis, acuerdos de cese).
Protección de datos por diseño y por defecto (limitación de datos biométricos).
Requisitos de verificación de identidad: uso de eID notificados o certificados por organismo acreditado, captura de imagen facial segura (comunicación de campo cercano con chip), tasas de falsa aceptación/rechazo (FAR/FRR).
Refuerzo de nivel: procedimientos para pasar de Baseline a Extended LoIP (solo cuando no se usó comparación facial automatizada).

Todo el proceso debe cumplir los requisitos de los Reglamentos de Ejecución (UE) 2015/1502 y ETSI EN 319 401.

Disposiciones finales

Entrada en vigor: a los veinte días de su publicación en el DOUE (es decir, el 28 de abril de 2026).
Aplicabilidad: obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros.

Con este acto de ejecución se confirma que decae (pierde aplicabilidad efectiva) la Orden ETD/465/2021 en el contexto de la incorporación remota a las carteras europeas de identidad digital (EUDI Wallets) y en las evaluaciones de conformidad de sistemas de verificación de identidad remota.

Por esta razón:

El Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183) y especialmente el Reglamento de Ejecución (UE) 2026/798 establecen un marco armonizado a nivel europeo.
Ambos remiten directamente a la norma ETSI TS 119 461 (versión 2.1.1 o posterior) como estándar único para la verificación de identidad remota.
La Orden ETD/465/2021 era una norma aplicable en España antes de la publicación del EIDAS2 (Reglamento UE 2024/1183) que detallaba cómo realizar la identificación remota y pierde sentido una vez publicada la norma europea armonizada ETSI TS 119 461.

Todavía podría utilizarse la Orden ETD/465/2021 en España para la expedición de certificados cualificados “tradicionales” (no para gestionar la identidad en «wallets»). Pero para esa funcionalidad también es posible optar por aplicar la norma ETSI TS 119 461.

ENISA anticipa el borrador de la norma de evaluación de las Carteras de Identidad Digital de la UE

Deja un comentario

La Agencia europea ENISA acaba de lanzar una consulta pública sobre el borrador del esquema candidato de certificación para la Cartera de Identidad Digital Europea (EUDI Wallet), tras su desarrollo por el Grupo de Trabajo Ad Hoc (Ad Hoc Working Group) auspiciado por ENISA y del que me honro en formar parte.

Tras la adopción del Reglamento que establece el Marco Europeo de Identidad Digital (EIDAS2), la Comisión Europea solicitó a ENISA que apoyara la certificación de las Carteras de Identidad Digital Europea, incluyendo el desarrollo de un esquema europeo de certificación de ciberseguridad conforme al Cybersecurity Act.

Ahora, la Agencia europea ENISA publica el borrador de la norma y lo somete a una consulta pública.

La consulta pública tiene como objetivo validar los principios y la organización general del esquema propuesto, así como recopilar comentarios sobre los elementos del borrador y sus anexos. El plazo para enviar respuestas finaliza el 30 de abril de 2026.

Próximo seminario web

ENISA organizará un webinar para presentar el borrador del esquema candidato de la EUDI Wallet y responder preguntas: el Miércoles 8 de abril, de 15:00 a 16:30 CEST.

Esquemas nacionales de certificación de la EUDI Wallet

En febrero de 2026, ENISA firmó un Acuerdo de Contribución por 1,6 millones de euros con la Comisión Europea, con una duración de dos años, para apoyar el desarrollo, despliegue e implementación de esquemas nacionales de certificación de la Cartera de Identidad Digital Europea.

Financiado por el Programa Europa Digital (DEP) 2025–2027, el acuerdo establece los siguientes ámbitos de actividad:

Desarrollo de esquemas nacionales de certificación por parte de los Estados miembros
Aumento del conocimiento, capacidades y confianza mutua entre los Estados miembros y el ecosistema de certificación
Incremento de la capacidad y eficacia operativa para los Estados miembros y el ecosistema
Inicio de la alineación y transición efectiva desde los esquemas nacionales hacia un esquema europeo de certificación de ciberseguridad

Los Estados miembros deberán proporcionar al menos una Cartera de Identidad Digital Europea certificada antes de finales de 2026.

ENISA apoyará a la Comisión Europea y a los Estados miembros en la definición de controles de ciberseguridad en el ámbito de la identificación digital, facilitando su adopción oportuna en toda la UE.

¿Qué es la EUDI Wallet?

El uso de carteras digitales (EUDI Wallet, European Union Digital Identity Wallet) es un paso clave hacia una identificación fluida y segura tanto en el mundo físico como en el digital. Garantiza la seguridad y la protección de la privacidad de los usuarios y de sus datos personales.

El esquema de certificación verificará que cada cartera cumple altos requisitos de seguridad.

Hasta 2026, las implementaciones de carteras digitales rara vez habían pasado por procesos formales de certificación. El desarrollo de esquemas de certificación responde a la necesidad de un marco coherente de ciberseguridad que facilite el cumplimiento para los fabricantes, mejore la transparencia y apoye el uso seguro de productos y servicios digitales.

Las Carteras de Identidad Digital Europea también se debatirán en la Conferencia Europea de Certificación de Ciberseguridad 2026, titulada “Construir confianza mediante la certificación: las afirmaciones de seguridad deben demostrarse, no prometerse”, el 15 de abril de 2026 en Chipre.

Esquema de Certificación propuesto (EUDIW v0.4.614) para Revisión Pública

Esta publicación es una versión preliminar del esquema candidato de certificación de EUDIW (Esquema Europeo de Certificación de Ciberseguridad para las Carteras de Identidad Digital Europeas —EUDI Wallets— y los sistemas de identidad electrónica bajo los cuales se proporcionan).

El documento es el resultado del trabajo conjunto de los expertos del Ad Hoc Working Group (creado según lo previsto en el Artículo 48.2 del Reglamento (UE) 2019/881 «Ley de Ciberseguridad») y se presenta como base para una revisión pública, cuyo objetivo es:

Validar los principios y la organización general del esquema propuesto.
Recoger comentarios y observaciones sobre los elementos del borrador y sus anexos.

El esquema aborda la certificación de la ciberseguridad de los servicios en la nube relacionados con:

Las Carteras de Identidad Digital Europea (EUDI Wallets).
Los sistemas de identidad electrónica que las sustentan.

El borrador se acompaña de una versión preliminar del documento:

Requisitos de Seguridad para Proveedores de Servicios Relacionados con la Cartera (Wallet-Related Service Provider Security Requirements), v0.5.614

Este documento se incluye solo como referencia y para obtener una opinión temprana sobre el enfoque seguido.

Está abierta una revisión pública mediante el siguiente formulario (EUDIW Public Review) con Fecha límite: jueves 30 de abril de 2026 (incluido)

Archivos disponibles

2 abril 2026 — Draft Candidate EUDIW Scheme v0.4.614 (PDF, 1.19 MB)
2 abril 2026 — Draft EUDIW Security Requirements v0.5.614 (PDF, 1.11 MB)

Referencias en inglés:

XII Congreso Internacional de derecho Digital de ENATIC.

Deja un comentario

Mañana, 25 de marzo de 2026, se celebra el XII Congreso Internacional de derecho Digital de ENATIC., en el que tengo el honor de participar.

Tendrá lugar en el Salón de actos de la Secretaría de Estado de Digitalización e Inteligencia Artificial
Calle del Poeta Joan Maragall, 41
28046 Madrid

Los Congresos Internacionales de Derecho Digital de ENATIC nacen tras el impulso del I Encuentro Nacional de Abogados TIC en el X Congreso de la Abogacía Española (Cádiz, 2011), germen de la asociación y de su vocación por articular una comunidad profesional especializada en Derecho y tecnología.

Desde entonces, ENATIC ha consolidado un espacio anual de referencia donde se encuentran juristas, reguladores, académicos y expertos tecnológicos para debatir los retos jurídicos de la transformación digital.

A lo largo de sus diversas ediciones, los Congresos ENATIC han servido para:

Definir y consolidar la figura del abogado digital, impulsando su profesionalización y visibilidad.
Actualizar a la comunidad jurídica sobre los grandes vectores tecnológicos: IA, blockchain, robótica, cloud, big data, fintech, legaltech, ciberseguridad y derechos digitales.
Crear comunidad, fomentando el intercambio de conocimiento y el networking entre perfiles diversos del ecosistema jurídico-tecnológico.
Posicionar a ENATIC como interlocutor relevante en los procesos de transformación digital del país.

Programa

9:15-9:30 Inaguración institucional

Participan: SEDIA, CGAE, Red.es, AESIA y ENATIC

Participan:
Belén Arribas Sánchez · Presidenta de ENATIC
David de Francisco Marcos · Subdirector General de Fomento y Regulación de la Inteligencia Artificial
Juan Miguel Márquez · Subdirector Adjunto de Estrategia del ONTSI, Red.es

9:30-10:15 Carta de Derechos Digitales, 5°Aniversario: Logros, Retos y Soluciones

Modera:
Rodolfo Tesone Mendizábal – Presidente emérito y vocal de ENATIC

Participan:
Carlos Alberto Sáiz Peña · Vicepresidente, ISMS Forum Spain
Paula Ortiz López · Directora general, DENAE
Miguel Recio Gayo · Presidente, APEP·IA
Antonio Serrano Acitores · Vocal de ENATIC
Borja Adsuara Varela · Abogado y consultor en derecho digital

10:15-11:00 Inteligencia artificial: derechos y responsabilidad ante un nuevo paradigma

Modera: José Manuel Muñoz Vela · Vocal de ENATIC

Participan:
Moisés Barrio Andrés · Letrado del Consejo de Estado
Ibán García Blanco · Director internacional, Lasker
Carmen Muñoz García · Catedrática (acr.) de Derecho civil, UCM
Alfredo Muñoz García · Prof. de Derecho mercantil, UCM; Legal Counsel, Tritemius; Of-Counsel, Ceca Magán

11:00-11:30 Pausa café

11:30-12:10 RGPD: ¿se puede simplificar sin perder garantías?

Modera: Eduardo López-Román · Vicepresidente de ENATIC

Participan:
Francisco Pérez Bes · Adjunto de la Agencia Española de Protección de Datos
Marcos Mª Judel Meléndrez · Abogado, socio de Audens
Noemí Brito Izquierdo · Abogada, socia de KPMG Abogados

12:10-12:40 Lorenzo Cotino Hueso · Presidente de la Agencia Española de Protección de Datos

Presenta: José Leandro Núñez García · Secretario General de ENATIC

12:40-13:30 Identidad digital y ciberseguridad: entre la regulación europea y su aplicación real

Modera: Pilar Garrido García · Vocal de ENATIC

Participan:
Maite Arcos Sánchez · Directora general, Fundación ESYS
Lucas Carmona Ampuero · Director de Identidad Digital Descentralizada, Teknei
Julián Inza Aldaz · Presidente, EADTrust

13:30-14:00 Ciberseguridad y el entorno geopolítico
Ramsés Gallego Iglesias · Presidente del capítulo de Barcelona de ISACA

Presenta: Esther García Encinas · Vocal de ENATIC

14:00-15:15 Comida

15:15-15:45 Menores y entorno digital: protección jurídica y retos actuales.

Modera: Laura Fra Rodríguez · Vocal de ENATIC

Participan:
Estefanía de Anta García · Directora de formación y operaciones de iCmedia
Celima Gallego Alonso · Magistrada, Plaza nº 29 de la Sección Civil del Tribunal de Instancia de Madrid
Nacho Guadix García · Responsable de Educación y Derechos Digitales de la Infancia de UNICEF España

15:45-16:30 ¿Justicia Artificial? El impacto de la IA en la Administración de Justicia.

Modera: Belén Arribas Sánchez · Presidenta de ENATIC

Participan:
Juan Antonio García Amado · Catedrático de Filosofía del Derecho, Universidad de León
Miguel Hermosa Espeso · Presidente de la Subcomisión de Justicia digital del CGAE
Javier Hernández Díez · Subdirector General de Impulso e Innovación de los Servicios Digitales de Justicia
Javier Sempere Samaniego · Delegado de Protección de Datos y Letrado del CGPJ

16:30-17:30 Legaltech en acción: herramientas y soluciones para la práctica jurídica

Modera: Blanca Bardin Rodríguez-Losada · Leader, Global LegalTech Hub Advisory Board

Participan:
Guadalupe Segura Campos · Gerente de la Delegación Sur, Lefebvre
Joaquín Castiella Sánchez-Ostiz · CEO, LexaGO
Alejandro Castellano Sans · CEO, Maite
Emilio Latorre Guerra · Product Manager Vincent, vLex

17:30-18:15 Derecho digital: tendencias y desafíos

Modera: Pablo Sáez Hurtado · Presidente de la Comisión Joven de ENATIC

Participan:
Ana Belén Barbero Castejón · Vocal de la Comisión Joven de ENATIC
Laura Gallego Herráez · Vocal de la Comisión Joven de ENATIC
Rodolfo Guerrero Martínez · Vocal de la Comisión Joven de ENATIC
Patricia Frade Ortea · Vocal de la Comisión Joven de ENATIC
Karol Andrea Valencia Jaén · Vocal de la Comisión Joven de ENATIC

18:15-18:45 Ceremonia de Entrega de los VII Premios ENATIC

Presenta: José Leandro Núñez García · Secretario General de ENATIC

para reconocen la excelencia y contribución al desarrollo del Derecho Digital:

Mejor jurista digital: Borja Adsuara Varela
Mejor institución: ISMS Forum Spain
Comunicación: Esther Paniagua
Innovación: Agencia Española de Supervisión de Inteligencia Artificial (AESIA)
Investigación: Lorenzo Cotino Hueso
Responsabilidad social: OdiseIA

18:45-19:00 Clausura

Participan: CGAE, SEDIA, Red.es, Consorcio, ENATIC

Adaptación de las Entidades Financieras a la Cartera de Identidad Digital de la UE (Cartera IDUE o EUDI Wallet)

Deja un comentario

En un mundo cada vez más digitalizado, la Unión Europea ha dado pasos decisivos hacia la estandarización de la identificación electrónica con la introducción de la Cartera de Identidad Digital Europea (EUDI Wallet).

Esta herramienta, regulada por el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183), que modifica el Reglamento UE 910/2014, permite a los ciudadanos y empresas almacenar y gestionar de forma segura sus identidades digitales, incluyendo atributos como permisos de conducción, diplomas o declaraciones de atributos relativas a cuentas bancarias. También permite realizar firmas electrónicas cualificadas y sellos electrónicos cualificados. El objetivo es otorgar a los usuarios un control total sobre sus datos, facilitando el acceso a servicios en línea con una cesión mínima de información, solo la imprescindible para la gestión a realizar.

Para las entidades financieras, esta innovación no es opcional: representa una obligación legal que transforma los procesos de identificación y verificación de clientes.

La Obligatoriedad de Aceptar la EUDI Wallet

El Reglamento eIDAS 2.0 establece (artículo 5 septies) que los proveedores de servicios que estén legalmente obligados a identificar inequívocamente a sus clientes deben aceptar la EUDI Wallet como método de autenticación.

En el sector financiero, esto afecta directamente a bancos, instituciones de crédito y otras entidades reguladas, especialmente en procesos como el Know Your Customer (KYC) y procesos de Debida Diligencia para la prevención del blanqueo de capitales.

El citado artículo 5 septies del Reglamento obliga a estas entidades a integrar la cartera como una opción válida para la identificación electrónica, lo que reduce barreras transfronterizas y mejora la eficiencia en transacciones digitales.

Esta obligación se extiende a sectores como la banca, los servicios financieros y cualquier entidad sujeta a requisitos de identificación estrictos. No se trata solo de cumplimiento normativo, sino de una oportunidad para optimizar operaciones, ya que la EUDI Wallet proporciona datos verificados e inalterables directamente de fuentes auténticas, minimizando riesgos de fraude y agilizando el «onboarding» de clientes.

La adaptación requiere una integración técnica y operativa en los sistemas existentes, por un lado para el proceso de apertura de cuenta (en el que el uso de sistemas cualificados simplifica la documentación que tiene que recabar la entidad financiera) y después para añadir una opción en la pantalla web en la que se ofrece a los clientes acceder a la información y servicios asociados a su cuenta, ya que al clickar en esa opción se desencadena la funcionalidad de identificación y autenticación de la cartera.

Las entidades financieras deben:

Actualizar sus plataformas de identificación para el acceso a la banca electrónica: Incorporar APIs y SDK compatibles con la EUDI Wallet para permitir la autenticación segura. Esto implica adoptar los protocolos estandarizados que se recogen en el ARF y en los actos de ejecución para asegurar la interoperabilidad con las diferentes carteras emitidas por los Estados miembros.
Revisar sus procesos de KYC y onboarding: La cartera permite solicitar al cliente que aporte atributos (como los que figuran en la credencial inicial DIP, «Datos de Información Personal») y otros atributos exigibles según los principios de debida diligencia (quizá la presentación de una nómina o una declaración electrónica de atributos semejante, como ingresos anuales o cualificaciones profesionales), lo que simplifica la «due diligence». Las interfaces bancarias con la cartera se configuran para solicitar declaraciones de atributos y para solicitar la firma electrónica de documentos (la cartera permite realizar «QES» «qualified electronic signature» y «qualified electronic seal»). Se deberán conservar las evidencias electrónicas de la contratación (posiblemente preservadas mediante sellos de tiempo cualificados). Será preciso registrar a la entidad en el registro de «Relying Parties» o «Partes Usuarias» («Partes informadas», en mi traducción del ARF) y obtener el certificado que establece el tipo de información que puede solicitar a la cartera
Las entidades deben revisar sus contratos y «términos y condiciones» para acoger las nuevas circunstancias de apertura de cuentas y acceso a la banca electrónica y dar formación a su personal para que entiendan las nuevas circunstancias de contratación y autenticación y puedan dar soporte a los clientes.
Garantizar la seguridad y privacidad: Cumplir con el RGPD (y la LOPD/GDD) y las directrices de eIDAS 2.0, asegurando que los usuarios tengan control sobre sus datos (en ciertas condiciones, mediante divulgación selectiva y «pruebas de conocimiento cero»).
Colaborar con proveedores de confianza: Asociarse con prestadores cualificados de servicios electrónicos para implementar soluciones compatibles, como firmas electrónicas cualificadas o sellos de tiempo, que complementen la integración de la cartera.

Esta adaptación no solo permite cumplir con las exigencias regulatorias, sino que posiciona a las entidades que se anticipen, como líderes en innovación digital, mejorando la experiencia del usuario y reduciendo costes operativos.

Plazos para la Implementación

Los Estados miembros de la UE, incluyendo España, tienen la obligación de proporcionar al menos una versión de la EUDI Wallet a sus ciudadanos antes de finales de 2026 (24 meses tras la entrada en vigor del primer lote de actos de ejecución). Antes de fin de 2027 (36 meses tras la entrada en vigor de los citados actos de ejecución), la aceptación de la cartera será obligatoria para las organizaciones del sector privado reguladas, como las entidades financieras, y otras que se citan en el artículo 5 septies.

Si no se demora la decisión de acometer los cambios, queda margen para pruebas piloto y ajustes, pero empieza a ser urgente que las entidades inicien su preparación cuanto antes para evitar sanciones y aprovechar las ventajas competitivas.

Conexión con PSD3 y el Reglamento de Servicios de Pago (PSR)

La adaptación a la EUDI Wallet no puede analizarse de forma aislada en el sector financiero, sino en el contexto más amplio de la revisión del marco europeo de servicios de pago. La Comisión Europea ha propuesto sustituir la actual PSD2 por una nueva Directiva de Servicios de Pago (PSD3) y, paralelamente, aprobar un Reglamento de Servicios de Pago (PSR) de aplicación directa en todos los Estados miembros. Ambos instrumentos refuerzan los requisitos de autenticación reforzada del cliente (SCA) y abren la puerta a que la identidad digital verificada —precisamente la que proporciona la EUDI Wallet— pueda usarse como mecanismo de autenticación en el acceso a cuentas de pago y en la iniciación de operaciones.

En la práctica, esto significa que las entidades financieras que integren la cartera para sus procesos de KYC y onboarding estarán también construyendo una infraestructura compatible con las exigencias de autenticación que se avecinan con PSD3/PSR, evitando duplicidades tecnológicas. La EUDI Wallet puede actuar como un vector común de identidad verificada tanto para el cumplimiento AML como para la autenticación en el acceso a servicios de pago, lo que convierte su integración en una inversión con retorno regulatorio múltiple y no en un mero coste de cumplimiento puntual.

Consideraciones sobre la Ley 10/2010 y el Reglamento (UE) 2024/1624

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, impone a las entidades financieras obligaciones estrictas de identificación y verificación de clientes (artículos 3 a 10). Los servicios cualificados a los que se refiere esta ley en su artículo 12, inspirados en el Reglamento eIDAS, incluyen mecanismos electrónicos de confianza como firmas cualificadas, sellos electrónicos y sistemas de identificación remota. Es preceptivo conservar las evidencias electrónicas que acreditan el cumplimiento de lo señalado en este artículo.

La adaptación a la EUDI Wallet, aunque establecida en un Reglamento Europeo, tiene encaje con lo dispuesto en estos requisitos, ya que la cartera actúa como un medio de identificación electrónica cualificado, reconocido en toda la UE.

El Reglamento (UE) 2024/1624 es una de las piezas centrales del nuevo paquete legislativo europeo contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT). Se aprobó el 31 de mayo de 2024 y se publicó en el DOUE el 19 de junio de 2024. Su objetivo es sustituir la fragmentación normativa existente y establecer normas directamente aplicables en todos los Estados miembros para reforzar la integridad del sistema financiero europeo.

El Reglamento (UE) 2024/1620 crea la Autoridad de Lucha contra el Blanqueo de Capitales (en inglés Anti-Money Laundering Authority – AMLA) y la Financiación del Terrorismo y se modifican los Reglamentos (UE) n.º 1093/2010, 1094/2010 y 1095/2010. Recientemente AMLA ha abierto una consulta pública (9 febrero – 8 mayo 2026) sobre los Regulatory Technical Standards (RTS) previstos en el artículo 28(1) del Reglamento (UE) 2024/1624, que desarrollan en detalle cómo deben aplicar los sujetos obligados la diligencia debida con el cliente.

Estos RTS son esenciales porque convierten los principios del Reglamento AML en instrucciones operativas concretas y uniformes en toda Europa, qué información recoger, cómo verificarla, qué hacer en casos de riesgo. El «draft» señala (pág. 29) que el cumplimiento de la sección 9 se logra con el cumplimiento del Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, que establece las normas técnicas y procedimentales para la aplicación del Reglamento eIDAS 2 en lo relativo a:

Datos de identificación de la persona (PID)
Declaraciones electrónicas de atributos (EAA / QEAA)
Su expedición a las Carteras de Identidad Digital de la Unión Europea (EUDI Wallets)

La complejidad regulatoria da otra vuelta de tuerca porque, como comenté recientemente hay nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet y uno de ellos, precisamente, modifica el Reglamento de Ejecución (UE) 2024/2977.

El papel de la EBA y sus Directrices sobre onboarding remoto

La Autoridad Bancaria Europea (EBA) publicó el 22 de noviembre de 2022 sus Directrices sobre el uso de soluciones de incorporación remota de clientes (EBA/GL/2022/15), aplicables desde el 2 de octubre de 2023 a todas las entidades de crédito e instituciones financieras en el ámbito de la Directiva AML. Estas directrices establecen estándares comunes europeos para los procesos de diligencia debida inicial en el contexto del onboarding digital, y resultan directamente relevantes para la integración de la EUDI Wallet: la EBA reconoce expresamente en su texto que las entidades que utilicen soluciones basadas en esquemas de identificación electrónica notificados bajo eIDAS, o en servicios de confianza cualificados, pueden asumir que tales soluciones cumplen los requisitos de verificación de identidad establecidos en la Directiva, sin necesidad de duplicar las evaluaciones de gobernanza ya realizadas en el marco del propio Reglamento eIDAS. En la práctica, esto significa que una entidad financiera que integre correctamente la EUDI Wallet como mecanismo de identificación del cliente estará, de forma simultánea, cumpliendo con las exigencias de las Directrices EBA/GL/2022/15.

Las directrices deben leerse en conjunción con otras guías de la EBA, en particular las Directrices sobre Factores de Riesgo ML/TF (EBA/GL/2021/02) y las relativas a la gestión de riesgos TIC y de seguridad (EBA/GL/2019/04), lo que refuerza la necesidad de un enfoque integral en la adaptación. Cabe señalar que la propia EBA, al publicar sus directrices de 2022, ya advertía que era consciente de que la reforma del Reglamento eIDAS y la introducción de la Cartera IDUE ayudarían a superar la fragmentación existente en materia de identificación remota, pero que hasta que dicha reforma entrase en vigor, debía basar su análisis en el marco normativo entonces vigente. Ese momento ha llegado: la EUDI Wallet ya es una realidad regulatoria, y las entidades financieras tienen ahora la oportunidad de alinear su cumplimiento AML con el nuevo ecosistema de identidad digital europeo, construyendo una infraestructura de onboarding que satisfaga simultáneamente las EBA/GL/2022/15 y los requisitos del Reglamento eIDAS 2.0.

Implicaciones del Reglamento DORA en la integración de la Cartera IDUE

Las entidades financieras que acometan la integración de la EUDI Wallet no pueden ignorar que dicha integración constituye, desde la perspectiva del Reglamento (UE) 2022/2554 (DORA), plenamente aplicable desde el 17 de enero de 2025, la incorporación de una nueva función crítica soportada por TIC, con todo lo que ello implica. DORA exige que cualquier nuevo sistema o proveedor externo que dé soporte a funciones esenciales quede incorporado al marco de gestión del riesgo TIC de la entidad: los proveedores de servicios de identificación y los prestadores cualificados de servicios de confianza que participen en el ecosistema de la cartera deberán ser objeto de la diligencia debida contractual prevista en los artículos 28 y siguientes del Reglamento, incluyendo cláusulas de auditoría, acceso, localización de datos y continuidad del servicio. La clasificación de la funcionalidad de autenticación con cartera como «función importante» —lo que es previsible dado su papel central en el acceso a la banca electrónica— activaría además la obligación de realizar pruebas de resiliencia operativa periódicas sobre esos sistemas.

Desde una perspectiva de planificación, esto significa que el proyecto de integración de la EUDI Wallet debe diseñarse desde el inicio con la arquitectura documental y contractual que DORA exige, evitando tener que remediar a posteriori las carencias de un despliegue tecnológico que no tuvo en cuenta el marco de riesgo de terceros. La buena noticia es que las exigencias de DORA y las de eIDAS 2.0 son en gran medida complementarias: ambas apuntan hacia proveedores robustos, auditables y resilientes. Una entidad que seleccione proveedores de servicios de identidad digital que sean Prestadores Cualificados de Servicios de Confianza (QTSP) registrados bajo eIDAS estará, al mismo tiempo, incorporando actores que ya han superado auditorías de conformidad rigurosas, lo que facilita considerablemente la evaluación del riesgo TIC de terceros exigida por DORA.

EADTrust

EADTrust ofrece sus servicios de adecuación a la Cartera IDUE a las entidades financieras para facilitar la integración, sumándose al equipo técnico y legal que acometa la adaptación.

EADTrust puede proporcionar Declaraciones Electrónicas de Atributos de prueba, y las APIs de los protocolos a utilizar. También aporta jefes de proyecto, programadores y juristas para acometer las diferentes facetas de la adaptación. En particular para dar seguimiento al cada vez más complejo marco regulatorio.

Presta servicios cualificados complementarios como los sellos de tiempo, y el archivo electrónico de preservación que ayudan a custodiar las evidencias digitales del proceso. Con los servicios de EAD Factory la entidad financiera cuenta con todos los servicios de un PSC (Prestador de Servicios de Certificación) cualificado como si fuera parte de su propia infraestructura.

Además EADTrust ayuda a integrarse a otras entidades que forman parte de la infraestructura y del ecosistema de la Cartera IDUE: fuentes auténticas, entidades del sector público, entidades privadas que entreguen declaraciones de atributos a sus clientes o a sus empleados,…

Aunque la interoperabilidad con la «EUDI Wallet» se vea ahora como un requisito regulatorio para las entidades señaladas en el Artículo 5 septies del Reglamento UE 910 / 2014 reformado, va a ser esencial para las entidades Fintech, y para todo el sector financiero y un motor de innovación para crear nuevos servicios.

Será la evolución natural de los servicios cualificados, promoviendo una identificación más segura y eficiente en el marco normativo europeo.

EADTrust, como Prestador Cualificado de Servicios de Confianza Electrónica registrado en el Ministerio de Asuntos Económicos y Transformación Digital, es un aliado clave en esta transición. Su equipo de Servicios Profesionales, liderado por expertos en identidad digital y eIDAS, y con experiencia en proyectos en entidades financieras y administraciones públicas ofrece soporte integral para la adaptación a la EUDI Wallet, incluyendo:

Consultoría y auditorías técnicas y legales: Evaluación de sistemas actuales y planes de implementación para garantizar interoperabilidad y cumplimiento normativo. Seguimiento de la normativa aplicable, cada vez más compleja.
Implementación de soluciones EUDI: Desarrollo de integraciones para la cartera, junto con servicios de archivo electrónico cualificado y digitalización de documentos.
Formación y soporte: Capacitación para equipos en el uso de la cartera y alineación con la Ley 10/2010 y los nuevos RTS.

Además, EADTrust ya ofrece una amplia gama de servicios cualificados eIDAS, como:

Certificados electrónicos cualificados para firmas y sellos electrónicos.
Sellado de tiempo electrónico cualificado.
Notificaciones electrónicas certificadas.
Validación y preservación de documentos electrónicos.
Servicios de identidad digital y custodia electrónica.

Con precios muy atractivos y un enfoque en criptoagilidad (para resistir los retos de la computación cuántica hacia las técnicas criptográficas tradicionales), EADTrust transforma el complejo marco de cumplimiento en una ventaja competitiva, ayudando a las entidades financieras a navegar el ecosistema digital con confianza.

Para más información, contacta con el equipo de EADTrust llamando al 917160555 (o al 902 365 612) y prepárate para el futuro digital

Nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet

1 respuesta

La implantación práctica de la Identidad Digital Europea y, en particular, de las Carteras IDUE, depende menos del texto del Reglamento (UE) 2024/1183 y mucho más del contenido de sus actos de ejecución.

En estas semanas coinciden tres nuevos proyectos de reglamento de ejecución aún abiertos a comentarios en el portal “Have your say”, todos ellos estrechamente ligados al marco de confianza y a la interoperabilidad técnica de las carteras EUDI.

Oleadas de actos de ejecución

El primer paquete de actos de ejecución de 2024 se centró en la definición básica de la cartera, sus funcionalidades núcleo, los protocolos e interfaces y el esquema de certificación de las EUDI Wallet.

En abril y junio de 2025 la Comisión amplió el desarrollo reglamentario con nuevos actos de ejecución, orientados sobre todo a servicios de confianza (firma, sello, conservación, entrega electrónica certificada, etc.) y a la supervisión del ecosistema.

La lista completa de los 30 actos de ejecución de EIDAS2 ya publicados en el Diario Oficial la presenté hace unos días.

A pesar de ese despliegue normativo, el marco sigue siendo incompleto: es necesario ajustar referencias a normas técnicas, detallar procedimientos y cubrir ámbitos que el propio Reglamento remite expresamente a actos de ejecución adicionales (listas de estándares, métodos de verificación, actualización de requisitos para servicios de confianza, etc.). Incluso, a veces, se publican actos de ejecución para modificar otros actos de ejecución

Nuevo borrador: Modificación el Acto de Ejecución 2025/848

La Modificación de Reglamento de Ejecución 2025/848 que trata sobre el Registro de las Partes usuarias (informadas) de Carteras,

Draft implementing regulation – Ares(2026)1286341 Descarga

Annex – Ares(2026)1286341 Descarga

Posibilidad de enviar comentarios hasta el 5 de marzo de 2026.

Otro nuevo borrador: Modificación de 4 actos de implementación de 2024: 2979, 2982, 2977 y 2980

Esta iniciativa modifica los Reglamentos de Ejecución (UE) de 2024: 2977, 2979, 2980 y 2982, de la Comisión, actualizando las referencias a las normas y especificaciones técnicas para garantizar que los Estados miembros puedan desarrollar y proporcionar carteras de identidad digital europeas de manera interoperable.

Son Reglamentos de Ejecución del primer lote:

CIR 2024/2977 sobre DIP, datos de identificación de la persona y DEA, declaraciones electrónicas de atributos
CIR 2024/2979 Integridad y funcionalidades básicas,
CIR 2024/2980 Notificaciones del ecosistema,
CIR 2024/2982 Protocolos e interfaces,

Draft implementing regulation – Ares(2026)1286304 Descarga

Annex – Ares(2026)1286304 Descarga

Son cambios importantes que afectan a la estructura del PID de la Cartera y otros elementos.

Teniendo en cuenta la disparidad de números de identificación de los ciudadanos en Europa y el hecho de que varias especificaciones quede 2abiertas» dificultará seguramente la interoperabilidad transfronteriza.

Posibilidad de enviar comentarios hasta el 5 de marzo de 2026.

Tercer nuevo borrador: Modificación del Acto de Ejecución 2025/1569

Esta iniciativa modifica el Reglamento de Ejecución (UE) n.º 2025/1569 de la Comisión mediante la actualización de las normas y especificaciones técnicas necesarias para emitir declaraciones electrónicas cualificadas de atributos y declaraciones electrónicas de atributos proporcionadas por un organismo del sector público responsable de una fuente auténtica o en su nombre.

Draft implementing regulation – Ares(2026)1286389 Descarga

Annex – Ares(2026)1286389 Descarga

Posibilidad de enviar comentarios hasta el 5 de marzo de 2026.

Son normas que llegan un poco tarde dado el estado de desarrollo de las Carteras IDUE y la presión que significa que tienen que estar disponibles en los estados miembros en las navidades del 2026, pero por otro lado, intentan resolver problemas detectados (lo que no es óbice para que puedan crear otros problemas nuevos).

A principios de diciembre de 2025 se publicó otro borrador de-acto de-ejecución relativo al registro del usuario de la Cartera IDUE

Este borrador establece una lista de estándares de referencia para el «onboarding» remoto de usuarios, enfocándose en procedimientos seguros de prueba de identidad remota (remote identity proofing), requisitos para evaluación de riesgos, recolección de evidencias, continuidad operativa, verificación de identidad y adaptaciones a normas como ETSI TS 119 461 V2.1.1, ETSI EN 319 401, entre otras. Incluye evaluaciones por laboratorios acreditados para cumplir con los niveles de aseguramiento requeridos.

Enlace directo a la iniciativa en «Have your say»: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/15572-European-Digital-Identity-Wallets-user-onboarding_en

Servicio de Evaluación de uso de la criptografía y preparación de plan de acción para adoptar la Criptoagilidad con los Expertos en Confianza

Deja un comentario

EADTrust anuncia su servicio de Evaluación de uso de la criptografía y preparación de plan de acción para adoptar la Criptoagilidad, que conlleva la Resistencia a la Computación Cuántica (QRC), para empresas y organismos públicos, ante la prevista llegada de computadores cuánticos que podrán aplicar el algoritmo de Shor (o el de Grover) a los sistemas de cifrado y de firma electrónica.

En un mundo cada vez más digitalizado, en el que los datos son el activo más valioso de las empresas, la llegada de la computación cuántica representa tanto una oportunidad revolucionaria como una amenaza inminente. Como consultor en confianza digital y fundador de EADTrust, he seguido de cerca los avances en este campo, y recientemente hemos lanzado un nuevo servicio de consultoría especializado en el análisis de riesgos cuánticos en criptografía para empresas.

Este servicio no solo evalúa las vulnerabilidades actuales, sino que también proporciona un «roadmap» claro para transitar hacia la adopción de una criptografía post-cuántica (PQC), asegurando la resiliencia de los sistemas en un futuro próximo.

Este tipo de iniciativas de consultoría y evaluación, sin duda será impulsado de forma similar por las grandes consultoras, pero una de las diferencias es que EADTrust puede proporcionar «bloque constructivos» para incorporar a las infraestructuras de las empresas, por su rol de Prestador Cualificado de Servicios de Confianza.

Ya el año 2025 ha sido bautizado como el «año de la cuántica»: la Asamblea General de las Naciones Unidas lo proclamó oficialmente como el Año Internacional de la Ciencia y la Tecnología Cuánticas (IYQ, por sus siglas en inglés). Han sido 100 años desde la publicación del artículo con el que Werner Heisenberg alumbró una nueva mecánica para el mundo atómico. Fue el primero de una serie de trabajos, escritos por él y otros autores —entre los que se encuentran, por ejemplo, Erwin Schrödinger, Max Born, Pascual Jordan, Paul A. Dirac y Wolfgang Pauli— con los que erigieron de forma coral la mecánica cuántica.

Esta «celebración» reconoce que la ciencia cuántica ha ido influyendo en nuestra vida cotidiana de formas invisibles pero esenciales. Dio lugar a los semiconductores y a los láseres, por citar unos pocos de los cambios que han impulsado.

En el terreno de la Computación Cuántica, 2025 significó un marco de anuncios relevantes: Procesadores cuánticos más estables, con miles de qubits coherentes, permitieron simulaciones que superan en algunas tareas a los superordenadores clásicos, corrigiendo errores (ruido cuántico) que antes limitaban su utilidad.

Empresas como IBM, Google y startups especializadas demostraron aplicaciones reales en optimización logística. Eventos globales, conferencias y campañas de divulgación, como las organizadas por la UNESCO, destacaron el potencial de la cuántica para abordar desafíos como la ciberseguridad, convirtiendo 2025 en un catalizador para la «segunda revolución cuántica».

Sin embargo, este entusiasmo no oculta algunas sombras: la posibilidad de descifrar claves utilizadas en la criptografía actual.

Desde ese punto de vista, la computación cuántica no es una amenaza hipotética; es una realidad en evolución que pone en jaque los sistemas criptográficos que protegen datos sensibles en empresas de todo el mundo. Los algoritmos tradicionales, como RSA y ECC (Elliptic Curve Cryptography), se basan en problemas matemáticos difíciles para computadoras clásicas, como factorizar (encontrar los números primos que multiplicados dan la cifra) números grandes. Sin embargo, el algoritmo de Shor, propuesto en 1994, permite a una computadora cuántica resolver estos problemas mucho más rápido, rompiendo el cifrado en dias en lugar de millones de años.

Entre los riesgos más críticos destacan:

«Harvest Now, Decrypt Later» (Recolecta ahora, descifra después): Sistemas de inteligencia militar de otros países o ciberdelincuentes ya están recolectando datos cifrados hoy, esperando el momento en que las computadoras cuánticas escalables estén disponibles para descifrarlos. Según estimaciones de diferentes analistas del mercado, la criptografía asimétrica podría volverse vulnerable hacia 2030 y poco útil para 2035. Esto afecta a datos que requieren disponibilidad a largo plazo, como registros médicos, financieros o secretos industriales.
Vulnerabilidades en Infraestructuras Críticas: Sectores como banca, salud y cloud computing dependen de protocolos como TLS, para el cifrado de las comunicaciones que dejarían de ser útiles si nos se cambia el tipo de criptografía. Estimaciones recientes señalan que a lo sumo el 3% de las organizaciones ha implementado medidas de resistencia cuántica, dejando expuestas a la mayoría. En España, normativas como el Esquema Nacional de Seguridad (ENS) y el RGPD exigen protección de datos, pero muchas empresas subestiman el riesgo, con solo el 4% de líderes viéndolo como inminente en los próximos tres años.
Impacto Económico y Regulatorio: La transición tardía podría suponer ingentes pérdidas económicas por las nuevas brechas de seguridad.

En el lado positivo, ya existen estándares como los definidos por el NIST (National Institute of Standards and Technology) de Estados Unidos (con amplio consenso internacional) que describen en detalle los algoritmos PQC como CRYSTALS-Kyber y CRYSTALS-Dilithium, Sphincs+ y Falcon urgiendo a las empresas a adoptarlos para cumplir con regulaciones futuras.

Recientes avances en computación cuántica, como qubits más estables, aceleraron las expectativas de evolución del hardware haciendo imperativa una acción inmediata.

Metodología de EADTrust

En EADTrust, nuestra consultoría de análisis de riesgo cuántico se diseña para ser práctica y escalable, alineada con normativas europeas y españolas como el ENS, ENI y RGPD.

Se estructura en fases que transforman la criptografía desde un «enigma técnico» a un activo estratégico.

Evaluación Inicial y Descubrimiento Criptográfico: Comenzamos con un diagnóstico exhaustivo del ecosistema digital de la empresa. Usando herramientas avanzadas, identificamos todos los activos criptográficos (claves, certificados, protocolos) en sistemas, clouds y aplicaciones. Esto incluye la creación de un Cryptographic Bill of Materials (CBOM), un inventario detallado que mapea vulnerabilidades cuánticas, priorizando datos sensibles por su valor y duración de protección necesaria.
Análisis de Riesgos y Viabilidad: Evaluamos el impacto potencial mediante escenarios como «harvest now, decrypt later». Realizamos pruebas de viabilidad con algoritmos PQC estandarizados por NIST, cuantificando riesgos basados en activos (e.g., ¿qué pasaría si se rompe el cifrado de una base de datos de clientes?). Incorporamos principios de «cripto-agilidad» para permitir actualizaciones sin interrupciones operativas.
Roadmap de Transformación e Implementación: Desarrollamos un plan personalizado para la transición a PQC. Esto incluye integración con marcos como Zero Trust, donde se aplican verificaciones continuas y mínimo privilegio. Recomendamos soluciones híbridas (clásica + post-cuántica) para una migración gradual, junto con formación para equipos. Finalmente, ofrecemos auditorías de cumplimiento para asegurar alineación con regulaciones.
Monitorización Continus y Adaptación: La consultoría no termina en la implementación; incluimos revisiones periódicas para adaptarse a evoluciones en amenazas cuánticas, garantizando resiliencia a largo plazo.

Esta metodología no solo mitiga riesgos, sino que posiciona a las empresas como líderes en innovación, convirtiendo la amenaza cuántica en una oportunidad.

Nuestra propuesta añade un énfasis en el cumplimiento de la normativa europea y española, facilitando una comprensión accesible del mundo cuántico para decisores no técnicos.

2025 nos recordó que la fisca cuántica no es ciencia ficción, sino una fuerza transformadora también en el campo de la computación que exige preparación inmediata. Si tu empresa maneja datos críticos, contacta con EADTrust para un análisis inicial. La transición a la post-cuántica no es opcional; es esencial para sobrevivir en la era digital que se avecina. Llámanos al +34 91 716 0555 (desde España, también al 902 365 612).

EADTust: Expertos en Confianza

Deja un comentario

EADTrust, conocida formalmente como European Agency of Digital Trust S.L., es un Prestador Cualificado de Servicios de Confianza Electrónica regulado por el Reglamento (UE) Nº 910/2014 (eIDAS). La empresa se posiciona como líder en proporcionar infraestructura legal digital para procesos de innovación y transformación digital, ofreciendo soluciones que garantizan seguridad jurídica, cumplimiento normativo y confianza en transacciones electrónicas. Muy interesante para Startups y Scaleups de entornos Fintech, Regtech, Insurtech y Legatech.

Desde su integración en el Grupo Garrigues —que adquirió una participación mayoritaria del 51% en 2023—, EADTrust ha fortalecido su capacidad innovadora mediante la colaboración estrecha con g-digital, la división de negocios digitales de Garrigues. Esta alianza estratégica combina la «expertise» legal de uno de los despachos de abogados más prestigiosos de Europa con la especialización técnica de EADTrust en servicios de confianza cualificados, impulsando el desarrollo conjunto de soluciones tecnolegales avanzadas.

Con más de 15 años de experiencia, EADTrust combina conocimiento técnico y jurídico para resolver todo tipo de desafíos de digitalización. Como entidad supervisada por el Ministerio de Asuntos Económicos y Transformación Digital de España (y habilitada para la videoidentificación en la expedición de certificados cualificados), está incluida en la lista de confianza de la Unión Europea, actuando en todo el territorio comunitario.

Su integración con Garrigues a través de g-digital permite ofrecer productos innovadores como GoCertius y plataformas reguladas (rPaaS), diseñadas por g-digital y operadas por EADTrust, que aseguran certeza legal preventiva en un entorno regulatorio en evolución.

La empresa preside la Comisión de Blockchain de AMETIC, participa en Global LegalTech Hub (GLTH), y en LNET (entidad procedente de LACNet y LACChain) y colabora con socios estratégicos como CANON y Procesia para desarrollar productos a la vanguardia de la identidad digital europea, de los servicios de confianza digital y de los procesos de transformación digital.

Su lema refleja su esencia: proporcionar certeza legal preventiva en un entorno regulatorio en constante cambio. EADTrust destaca por soluciones fáciles de implementar, precios transparentes y un equipo experto liderado por especialistas reconocidos en servicios de confianza regulados.

Servicios Cualificados bajo eIDAS

EADTrust ofrece un amplio rango de servicios cualificados conforme al Reglamento eIDAS, diseñados para proporcionar el más alto nivel de confianza digital y cobertura regulatoria, con robustez criptográfica superior al restos de prestadores: RSA de 4096 y 8192 bits y ECC de 256 y 384 bits, lo que le lleva a ostentar la primera posición en «criptoagilidad«. Servicios como:

Certificados Digitales Cualificados — Emisión de certificados para personas físicas y jurídicas, incluyendo certificados PSD2 (QWAC y QSeal) para servicios de pago en entornos de banca abierta. Estos permiten identificación segura y firmas y sellos electrónicos cualificados
Sellos de Tiempo Cualificados — Garantizan la fecha y hora exacta de documentos electrónicos.
Notificaciones Electrónicas Certificadas — Servicios de entrega registrada electrónica con valor probatorio, con nombre propio Noticeman.
Implementación de Soluciones para la Cartera de Identidad Digital Europea (EUDI Wallet) y servicios de archivo electrónico cualificado con digitalización de documentos en papel bajo eIDAS 2.

Además, integra estos servicios en plataformas como EAD Factory, que actúa como un Prestador de Servicios de Confianza Cualificado (QTSP) «como servicio» integrable en organizaciones, permitiendo un «QTSP in-house» con integración segura y escalable.

Cabe destacar productos como EAD Enterprise Suite, GoCertius o Innovoto (solución de voto electrónico y participación a distancia de accionistas de sociedades de capital, socios de asociaciones, sindicatos, sociedades deportivas y Colegios Profesionales), que facilitan el cumplimiento y la seguridad en procesos empresariales.

El hecho de ser el único prestador cualificado con jerarquías de certificación EIDAS de cifrado ECC-256 durante la pandemia del COVID-19 lo posicionó como el proveedor de elección de certificados de los organismos sanitarios españoles para la expedición de pasaportes COVID.

Servicios Profesionales de Consultoría y Verificación de cumplimiento (auditoría técnica)

Más allá de los servicios cualificados directos, EADTrust ofrece servicios profesionales especializados para ayudar a empresas a alinearse con normativas y estándares internacionales:

Asesoría en Confianza Digital → Ayuda a prestadores de servicios electrónicos a cumplir con eIDAS y estándares como los de ETSI o WebTrust (CABForum), optimizando sistemas de gestión para obtener reconocimiento como Prestador Cualificado. También ayuda a empresas de sectores regulados, como la banca a cumplir la normativa EIDAS2, entre otras. Con la adopción de certificados de web de corta duración, asesora en la implantación del protocolo ACME.
Cumplimiento Regulatorio → Diagnóstico, asesoría y consultoría para alineación con el Esquema Nacional de Seguridad (ENS), Esquema Nacional de Interoperabilidad (ENI) y Esquema Judicial de Interoperabilidad y Seguridad (EJIS) en España.
Verificación de Firmas Electrónicas → Auditoría de soluciones de firma electrónica avanzada, firma manuscrita digitalizada avanzada (FMDA) y firma biométrica por voz, asegurando calidad, seguridad y validez legal.
Digitalización Certificada → Verificación de software de digitalización de documentos y facturas, garantizando cumplimiento normativo y confianza para usuarios, en cuatro contextos normativos: AEAT, ENI/NTI, EJIS/CTEAJE y EIDAS2 (Digitalización Cualificada).
Cumplimiento Técnico y legal en normativas conexas de Ciberseguridad como RGPD (GDPR en inglés) → Consultoría especializada en protección de datos personales, aprovechando la experiencia como prestador de servicios de confianza. También se incluye NIS2 (Network and Information Systems 2), DORA (Digital Operational Resilience Act), CRA (Cyber Resilience Act), CER (Critical Entities Resilience) y ENS (Esquema Nacional de Seguridad). Y otras de ámbito europeo como EU’s AI Act, DMA (Digital Markets Act), o DSA (Digital Services Act). Una de las primeras entidades en ofrecer servicios de responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica que requerirá la futura Ley de Coordinación y Gobernanza de la Ciberseguridad.
Votación Electrónica y Servicios Corporativos (servicios electrónicos societarios)→ Plataformas para votación electrónica en juntas de accionistas, foros electrónicos de accionistas y supervisión autenticada de publicaciones web (verificación de publicación sin interrupción, o «publicación fehaciente»), con emisión de actas certificadas que incluyen listas de asistentes, quórum y resultados. También se auditan plataformas de participación a distancia, se graban testimonios electrónicos del video de la junta con certificación del momento en que tuvo lugar y se prestan servicios complementarios para reforzar la seguridad jurídica incluso en Juntas celebras exclusivamente de forma telemática.

Estos servicios se adaptan a las necesidades del cliente, con metodologías versátiles que evidencian la calidad ante terceros y refuerzan la confianza regulatoria.

Compromiso con la Excelencia

Los servicios de EADTrust no solo cumplen con requisitos legales, sino que van más allá al proporcionar certeza y seguridad jurídica preventiva. Al elegir EADTrust, las organizaciones obtienen:

Reducción de incertidumbre en el uso de tecnologías digitales.
Mayor autonomía en gestión de procesos electrónicos.
Responsabilidad asumida por EADTrust en aspectos críticos, como actas certificadas en votaciones, o publicaciones de documentos en página web durante el tiempo prescrito por la ley.
Integración fluida en sistemas existentes mediante herramientas como Notice Manager para notificaciones y el uso de «Hashes encadenados» para garantizar la integridad de colecciones de datos..

La empresa cuenta con certificaciones ISO 9001, ISO 20000-1, ISO 27001, ENS alto y EIDAS demostrando su compromiso con la calidad, la seguridad de la información y la gestión de servicios TI.

Como parte de un ecosistema innovador, EADTrust colabora en el desarrollo de soluciones blockchain (LNET) y participa activamente en foros sobre eIDAS 2, posicionándose a la vanguardia de la identidad digital europea.

EADTrust se consolida como la entidad de expertos en confianza digital, ofreciendo una combinación única de servicios cualificados eIDAS y consultoría profesional que impulsa la transformación digital segura y con certeza de cumplimiento. Ya sea emitiendo certificados cualificados, verificando soluciones de firma o asesorando en cumplimiento normativo, EADTrust proporciona las herramientas necesarias para operar con plena confianza en un mundo digital.

Para más información sobre cómo EADTrust puede apoyar sus procesos de innovación, visite www.eadtrust.eu o contacte con su equipo de expertos en el 91 716 0555.

EUDI Wallets Launchpad 2025 y Cartera de España

Deja un comentario

La plataforma de lanzamiento para la adopción a gran escala de las carteras Carteras IDUE

EUDI Wallets Launchpad 2025 es el primer evento de pruebas de varios días organizado por la Comisión Europea y está teniendo lugar los días 10, 11 y 12 de diciembre de 2025 en Bruselas, Bélgica.

Se trata de un evento específico diseñado para establecer la Comunidad de Implementadores de Carteras IDUE y acelerar la adopción de las carteras y sus casos de uso en todos los Estados miembros de la UE.

Alinear los equipos técnicos, los objetivos políticos y la experiencia de los usuarios en toda Europa requerirá coordinación y confianza. El «Launchpad «es donde se comienza a construir esa confianza, probando, aprendiendo y fijando juntos los próximos pasos.

Qué es y objetivos

El Launchpad 2025 es un encuentro presencial que está teniendo lugar los días 10‑12 de diciembre de 2025 en el espacio SPARKS (Bruselas), dirigido a implementadores de wallets, Estados miembros, proveedores de servicios, expertos UX y comunicación. Su objetivo central es consolidar la comunidad de implementadores EUDI y verificar en la práctica la interoperabilidad, la conformidad con las especificaciones y la preparación para el uso transfronterizo de los monederos digitales europeos.

Formato y actividades principales

El programa combina pruebas técnicas rotatorias entre wallets, emisores y verificadores, con dos modos de test diseñados para validar corrección e interoperabilidad de las implementaciones. En paralelo se desarrollan charlas técnicas sobre estándares núcleo, pseudónimos, pruebas de conocimiento cero, APIs de credenciales digitales y librerías de referencia, junto con demos en vivo de casos de uso y wallets nacionales.

Participantes y ecosistema

Participan equipos nacionales de implementación (product owners, arquitectos, desarrolladores y testers), proveedores de PID, QEAA y Pub‑EAA, así como administraciones públicas, grandes pilotos y proveedores tecnológicos del ecosistema EUDI. El evento reúne a representantes de numerosos Estados miembros (por ejemplo Alemania, Italia, Bélgica, Francia, España, Grecia, Polonia o Portugal) que presentan sus aproximaciones nacionales mediante demostraciones públicas.

Resultados esperados e importancia

Durante los tres días se realizan centenares de pruebas entre decenas de testers de múltiples países, acompañadas de talleres específicos de experiencia de usuario y de comunicación para preparar el despliegue masivo en 2026. El Launchpad se concibe como punto de partida para una comunidad EUDI más cohesionada, en la que la confianza se construye probando conjuntamente, compartiendo lecciones aprendidas y alineando equipos técnicos, objetivos políticos y diseño centrado en el usuario.

España

La intervención de Angel Martín Bautista, de la Agencia Estatal de Administración Digital tuvo lugar el jueves 11 de diciembre de 2025. Estuvo acompañado por Sancho Canela, de NTT-Data.

Ángel Martín Bautista es Subdirector Adjunto en la Agencia Estatal de Administración Digital. En relación con la tecnología blockchain, ha representado a España en el European Blockchain Partnership (EBP) para crear la red EBSI desde 2019, y en la actualidad representa a España en el consorcio EUROPEUM. Representante español en el grupo de cooperación de identidad digital europea. Se encarga de la parte estratégica, contexto normativo y visión general.

Sancho Canela es Jefe del equipo de desarrollo (head of the developers team). Lidera la demo técnica y explica los aspectos prácticos de implementación.

Actualización. Se publicó el video de su intervencón el 16 de febrero de 2026.

Estructura de la ponencia

Introducción y contexto (inicio ≈ 0:00–7:00)
Ángel Martín presenta España como un país descentralizado (17 comunidades autónomas + entidades locales), con 49 millones de habitantes. Explica la estrategia España Digital y cómo la Cartera Digital se alinea con eIDAS2 (Reglamento (UE) 2024/1183).
Destaca infraestructuras existentes que facilitan la adopción:
- DNI electrónico (tarjeta física + app, con alto nivel de aseguramiento — high assurance — notificado en eIDAS).
- Cl@ve (puerta de acceso unificada: >24 millones de usuarios, >13.000 entidades, >1.100 millones de autenticaciones al año).
- Carpeta Ciudadana (espacio personal para documentos oficiales).
  Estos elementos dan cobertura universal, certeza legal y seguridad, y sirven de base para proporcinar declaraciones de atributos a la wallet de identidad.
Implementación de la Cartera Digital Española (≈4:00–7:00)
- Construida desde cero siguiendo el ARF (Architectural Reference Framework) y los Implementing Acts de eIDAS2.
- Reutiliza el DNI como fuente principal de identidad de alto nivel.
- Enfoque inicial: Verificación de edad preservando privacidad (para proteger menores, revelando solo lo necesario: sí/no >18).
- Interoperable con la solución europea de verificación de edad de la Comisión.
- Emisión de credenciales: remota (NFC + PIN del DNI) o presencial (>1.000 oficinas en España).
Demostración técnica en vivo (≈7:00–21:00) — a cargo de Sancho Canela
Muestra una versión operativa pero no productiva (con VPN para pruebas internas):
- App desarrollada en Flutter (multiplataforma) con componentes nativos y bibliotecas de referencia europea.
- Activación: Aceptar términos (en español; planean multilingüe), biometría, verificación de autenticidad de la app (attestation de Apple/Google), email único (revocable), reutilizar teléfono.
- Obtención del PID (Person Identification Data): Vía NFC/PIN del DNI o presencial. Verifica firma, emisor (Fábrica Nacional de Moneda y Timbre — FNMT, QTSP relevante en España).
- Declaración de atributos de mayoría de edad: Basada en fecha de nacimiento del PID. Emite batch de 30 credenciales de un solo (claves diferentes) para evitar trazabilidad.
- Presentación: Protocolo OpenID for Verifiable Presentations (OVP) v1.0. Escanea QR, consentimiento explícito, verifica en sitio de prueba de la Comisión (confirma emisor, validez y edad >18).
- Seguridad: Trust lists, firmas, consentimiento siempre requerido. UX intuitiva con filtros, historia y opciones de idioma.
Conclusiones y próximos pasos (≈21:00–fin)
- España apuesta por un ecosistema seguro, simple y centrado en el usuario, reutilizando lo existente para una transición eficiente y sostenible.
- Alineación total con eIDAS2 para interoperabilidad transfronteriza.
- Lanzamiento previsto: Durante 2026
- Obligación para el sector privado (relying parties) a finales de 2027.
- Casos de uso previstos: Títulos universitarios, licencias de conducir, tarjeta sanitaria europea, prueba de residencia, ausencia de delitos sexuales, etc.
- El entorno Cl@ve se integrará progresivamente con la wallet.

Cómo redactar correctamente el apartado de voto y delegación a distancia de una convocatoria de Junta de Accionistas

Deja un comentario

En muchas convocatorias de juntas de accionistas se incluyen párrafos en la convocatoria o en un documento adjunto posiblemente titulado «Normas de funcionamiento para la representación y votación a través de medios de comunicación a distancia previos a la junta» parecidos a este:

(…) A tal efecto, los accionistas deberán acreditar su identidad, en la aplicación
informática de participación en la Junta, mediante:

(i) el Documento Nacional de Identidad Electrónico,

(ii) un certificado electrónico de usuario reconocido, válido y vigente, de conformidad con lo previsto en la Ley XXX y emitido por la Autoridad Pública de Certificación Española (CERES), dependiente de la Fábrica Nacional de Moneda y Timbre (FNMT), (…)

El ejemplo se incluye para detectar los términos «reconocido» (los certificados, en la actualidad se denominan cualificados tras la publicación del Reglamento UE 910/2014) y la mención expresa a la FNMT es excesivamente restrictiva (en la actualidad son válidos todos los certificados emitidos por PSC -Prestadores de Servicios de Confianza- cualificados) mencionados en la TSL española y en la TSL europea. TSL significa Trusted Service List.

Si está preparando una junta de accionistas, contacte con EADTrust en el 902 365 612 o 917160555 para asegurarse (sin coste) de que redacta de forma adecuada la Convocatoria y los documentos complementarios. Y le podemos explicar los servicios societarios que ofrecemos.

Y no olvide que EADTrust pertenece al reconocido despacho Garrigues

1. El terreno de juego: dos grandes familias de obligaciones

2. El SII: el pionero del reporte en tiempo real

¿Qué se envía?

¿Quién está obligado?

La llave técnica: certificado de empresa (sello)

3. Veri-factu: integridad de secuencia en el registro en origen

La idea central

¿Quién está obligado?

Fecha de entrada en vigor

4. La factura electrónica B2B: la Ley Crea y Crece

¿Qué exige?

¿Qué no es la factura electrónica?

La firma y el sello en la factura electrónica

5. Los regímenes forales: Navarra y el País Vasco

¿Los regímenes forales tienen su propio SII y Veri-factu?

TicketBAI y BATUZ: el adelanto vasco

Implicaciones prácticas para empresas que operan en ambos territorios

6. Firma electrónica y sello electrónico: la distinción que la normativa tributaria no siempre aclara

Lo que dice la normativa tributaria

Lo que dice el Reglamento eIDAS (910/2014/UE)

¿Por qué la normativa tributaria no lo deja claro?

7. El sello electrónico cualificado remoto: la pieza que lo une todo

Ventajas del sello remoto cualificado para la facturación

8. Cuadro comparativo final

9. Contacte con EADTrus si necesita un sello electrónico remoto cualificado

Conclusión

Próximo seminario web

Esquemas nacionales de certificación de la EUDI Wallet

¿Qué es la EUDI Wallet?

Esquema de Certificación propuesto (EUDIW v0.4.614) para Revisión Pública

Archivos disponibles

Programa

9:15-9:30 Inaguración institucional

9:30-10:15 Carta de Derechos Digitales, 5°Aniversario: Logros, Retos y Soluciones

10:15-11:00 Inteligencia artificial: derechos y responsabilidad ante un nuevo paradigma

11:00-11:30 Pausa café

11:30-12:10 RGPD: ¿se puede simplificar sin perder garantías?

12:10-12:40 Lorenzo Cotino Hueso · Presidente de la Agencia Española de Protección de Datos

12:40-13:30 Identidad digital y ciberseguridad: entre la regulación europea y su aplicación real

13:30-14:00 Ciberseguridad y el entorno geopolíticoRamsés Gallego Iglesias · Presidente del capítulo de Barcelona de ISACA

14:00-15:15 Comida

15:15-15:45 Menores y entorno digital: protección jurídica y retos actuales.

15:45-16:30 ¿Justicia Artificial? El impacto de la IA en la Administración de Justicia.

16:30-17:30 Legaltech en acción: herramientas y soluciones para la práctica jurídica

17:30-18:15 Derecho digital: tendencias y desafíos

18:15-18:45 Ceremonia de Entrega de los VII Premios ENATIC

18:45-19:00 Clausura

Oleadas de actos de ejecución

Nuevo borrador: Modificación el Acto de Ejecución 2025/848

Otro nuevo borrador: Modificación de 4 actos de implementación de 2024: 2979, 2982, 2977 y 2980

Tercer nuevo borrador: Modificación del Acto de Ejecución 2025/1569

La plataforma de lanzamiento para la adopción a gran escala de las carteras Carteras IDUE

Qué es y objetivos

Formato y actividades principales

Participantes y ecosistema

Resultados esperados e importancia

​España

13:30-14:00 Ciberseguridad y el entorno geopolítico
Ramsés Gallego Iglesias · Presidente del capítulo de Barcelona de ISACA

España