La plataforma de lanzamiento para la adopción a gran escala de las carteras Carteras IDUE
EUDI Wallets Launchpad 2025 es el primer evento de pruebas de varios días organizado por la Comisión Europea y está teniendo lugar los días 10, 11 y 12 de diciembre de 2025 en Bruselas, Bélgica.
Se trata de un evento específico diseñado para establecer la Comunidad de Implementadores de Carteras IDUE y acelerar la adopción de las carteras y sus casos de uso en todos los Estados miembros de la UE.
Alinear los equipos técnicos, los objetivos políticos y la experiencia de los usuarios en toda Europa requerirá coordinación y confianza. El «Launchpad «es donde se comienza a construir esa confianza, probando, aprendiendo y fijando juntos los próximos pasos.
Qué es y objetivos
El Launchpad 2025 es un encuentro presencial que está teniendo lugar los días 10‑12 de diciembre de 2025 en el espacio SPARKS (Bruselas), dirigido a implementadores de wallets, Estados miembros, proveedores de servicios, expertos UX y comunicación. Su objetivo central es consolidar la comunidad de implementadores EUDI y verificar en la práctica la interoperabilidad, la conformidad con las especificaciones y la preparación para el uso transfronterizo de los monederos digitales europeos.
Formato y actividades principales
El programa combina pruebas técnicas rotatorias entre wallets, emisores y verificadores, con dos modos de test diseñados para validar corrección e interoperabilidad de las implementaciones. En paralelo se desarrollan charlas técnicas sobre estándares núcleo, pseudónimos, pruebas de conocimiento cero, APIs de credenciales digitales y librerías de referencia, junto con demos en vivo de casos de uso y wallets nacionales.
Participantes y ecosistema
Participan equipos nacionales de implementación (product owners, arquitectos, desarrolladores y testers), proveedores de PID, QEAA y Pub‑EAA, así como administraciones públicas, grandes pilotos y proveedores tecnológicos del ecosistema EUDI. El evento reúne a representantes de numerosos Estados miembros (por ejemplo Alemania, Italia, Bélgica, Francia, España, Grecia, Polonia o Portugal) que presentan sus aproximaciones nacionales mediante demostraciones públicas.
Resultados esperados e importancia
Durante los tres días se realizan centenares de pruebas entre decenas de testers de múltiples países, acompañadas de talleres específicos de experiencia de usuario y de comunicación para preparar el despliegue masivo en 2026. El Launchpad se concibe como punto de partida para una comunidad EUDI más cohesionada, en la que la confianza se construye probando conjuntamente, compartiendo lecciones aprendidas y alineando equipos técnicos, objetivos políticos y diseño centrado en el usuario.
España
La intervención de Angel MartínBautista, de la Agencia Estatal de Administración Digitaltuvo lugar el jueves 11 de diciembre de 2025. Ángel Martín Bautista es Subdirector Adjunto en la Agencia Estatal de Administración Digital. En relación con la tecnología blockchain, ha representado a España en el European Blockchain Partnership (EBP) para crear la red EBSI desde 2019, y en la actualidad representa a España en el consorcio EUROPEUM.
El Reglamento (UE) 2024/1183, conocido como eIDAS 2.0, fue publicado el 30 de abril de 2024 en el Diario Oficial de la Unión Europea y entró en vigor el 20 de mayo de 2024.
Este marco normativo modifica el Reglamento original eIDAS de 2014 (UE 910/2014) para fortalecer la identidad digital europea, introduciendo elementos clave como las Carteras de Identidad Digital Europea (EUDI Wallets o IDUE en español), que son aplicaciones móviles o servicios en la nube que permiten a los ciudadanos y empresas gestionar de forma segura y privada sus identidades digitales, atributos personales (como diplomas o carnets de conducir) y transacciones transfronterizas. El objetivo es garantizar interoperabilidad, control de sus datos por parte del usuario y aceptación obligatoria por parte de sectores privados clave (banca, telecomunicaciones, etc.) a partir de finales de 2027.
Los Actos de Ejecución (Implementing Acts) son regulaciones complementarias adoptadas por la Comisión Europea para detallar las especificaciones técnicas, certificaciones y procedimientos. Estos actos son cruciales para la implementación práctica de eIDAS 2.0. Hasta noviembre de 2025, se han adoptado varios lotes:
Primer lote (publicado el 4 de diciembre 21 de 2024): Cinco actos clave que establecen especificaciones técnicas para las Carteras IDUE, como requisitos para certificados cualificados, incorporación de usuarios y formatos de listas de confianza (Trusted Lists). Esta publicación marca el inicio de cómputo de varios plazos importantes, por su entrada en vigor el 24 de diciembre,
Lotes posteriores (2025): Incluyen el segundo lote (publicado en 2 partes: el 7 de mayo y el 30 de julio) el tercer lote (publicado en 2 partes: el 30 de julio y el 5 de septiembre) y el cuarto lote (publicado el 28 de octubre) con 25 actos acumulados hasta ese momento), enfocados en servicios de confianza (firmas electrónicas, sellos, notificaciones) y declaraciones electrónicas de atributos (Electronic Attestations of Attributes o EAA). Estos actos incorporan referencias explícitas a estándares de ETSI para garantizar conformidad.
Los Estados miembros deben ofrecer al menos una Cartera IDUE gratuita a todos los ciudadanos y residentes para finales de 2026 (24 meses tras la entrada en vigor de los actos del primer lote).
Rol de ETSI en la Evolución de Estándares
El Instituto Europeo de Normas de Telecomunicaciones (ETSI), y el CEN (Comité Europeo de Normalización), son los organismos principales encargados de desarrollar y actualizar los estándares técnicos que soportan eIDAS 2.0. Estos estándares aseguran interoperabilidad, seguridad y privacidad de las Carteras IDUE y de los servicios de confianza.
Tras la publicación de eIDAS 2.0, ETSI ha acelerado su trabajo para alinear las normas con los nuevos requisitos, incorporando tecnologías como credenciales verificables (basadas en W3C y OpenID) y resistencia post-cuántica. La evolución de los estándares ETSI no es un «reinicio», sino una extensión y actualización de los existentes (serie TS 119 para eIDAS 1.0), adaptados a las Carteras IDUE y los actos de ejecución.
El proceso incluye:
Desarrollo paralelo: Mientras se negociaba en los Trílogos el texto del reglamento eIDAS 2.0 (2021-2024), ETSI elaboró borradores basados en el documento de Arquitectura y Marco de Referencia (ARF, la última versión a noviembre 2025 es la 2.7.3).
Incorporación en actos de ejecución: Los actos referencian explícitamente «listas de estándares de referencia» de ETSI, como se establece en el Artículo 5a del Reglamento
Talleres y consultas: Eventos como el Taller ETSI/CEN de septiembre 2024 presentaron avances y demostraciones de pilotos, con consultas abiertas para influir en los borradores.
ETSI ha publicado borradores y versiones finales en 2024-2025, enfocados en interfaces, perfiles de seguridad y certificación para la Cartera IDUE y el resto de Servicios de Confianza.
A continuación, se incluyen las principales actualizaciones (o normas nuevas) publicadas por ETSI en 2025:
ETSI TS 119 602 V1.1.1 (2025-11) – Electronic Signatures and Trust Infrastructures (ESI); Lists of trusted entities; Data model. Listas de entidades de confianza; Modelo de datos
ETSI EN 319 401 V3.2.1 (2025-11)– – Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers. Requisitos generales de Política para Prestadores de Servicios de Confianza. Se está preparando una actualización.
ETSI TS 119 542 V1.1.1 (2025-10) – Electronic Signatures and Trust Infrastructures (ESI); Use of EU Digital Identity Wallets and electronic signatures for identification with Smart Contracts. Uso de Carteras de Identidad Digital de la UE y firmas electrónicas para la identificación con contratos inteligentes.
ETSI TS 119 541 V1.1.1 (2025-10) – Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Smart Contracts using Electronic Ledgers. Requisitos normativos y de seguridad para los contratos inteligentes que utilizan archivos electrónicos con orden cronológico.
ETSI TS 119 441 V1.3.1 (2025-10) -Electronic Signatures and Trust Infrastructures (ESI); Policy requirements for TSP providing signature validation services. Requisitos sw Política para los PSC que prestan servicios de validación de firmas.
ETSI TR 119 540 V1.1.1 (2025-10) – Electronic Signatures and Trust Infrastructures (ESI); Standardization requirements for Smart Contracts based on Electronic Ledgers. Requisitos de estandarización para los contratos inteligentes basados en archivos electrónicos con orden cronológico.
ETSI TS 119 475 V1.1.1 (2025-10) – Electronic Signatures and Trust Infrastructures (ESI); Relying party attributes supporting EUDI Wallet user’s authorization decisions. Atributos de las partes usuarias (informadas) que respaldan las decisiones de autorización de los usuarios de Cartera IDUE.
ETSI TS 119 511 V1.2.1 (2025-10)– Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que ofrecen la conservación a largo plazo de firmas digitales o datos generales mediante técnicas de firma digital.
ETSI TS 119 411-8 V1.1.1 (2025-10) – Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 8: Access Certificate Policy for EUDI Wallet Relying Parties. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianzaque emiten certificados; Parte 8: Política de certificados de acceso para las partes usuarias (o informadas) de la Cartera IDUE.
ETSI TR 119 411-4 V1.3.1 (2025-09) – Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 4: Checklist supporting audit of TSP against ETSI EN 319 411-1 or ETSI EN 319 411-2. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianzaque emiten certificados; Parte 4: Lista de verificación para la auditoría de los Prestadores de Servicios de Confianza (TSP) con arreglo a las normas ETSI EN 319 411-1 o ETSI EN 319 411-2. Se está preparando una actualización.
ETSI TS 119 412-6 V1.1.1 (2025-09)– Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 6: Certificate profile requirements for PID, Wallet, EAA, QEAA, and PSBEAA (Public Sector Based Electronic Attestation of Attributes) providers. Perfiles de certificados; Parte 6: Requisitos de Perfil de Certificado para Prestadores de Servicios de DIP, Cartera, DEA, DECA y DEASP (Declaración electrónica de atributos basada en el sector público).
ETSI TR 119 476-1 V1.3.1 (2025-08)– Electronic Signatures and Trust Infrastructures (ESI); Selective disclosure and zero-knowledge proofs applied to Electronic Attestation of Attributes; Part 1: Feasibility study. Divulgación selectiva y pruebas de conocimiento cero aplicadas a la Declaración Electrónica de Atributos; Parte 1: Estudio de viabilidad.
ETSI TR 119 479-2 V1.1.1 (2025-07) – Electronic Signatures and Trust Infrastructures (ESI);Technological Solutions for the EU Digital Identity Framework; Part 2: EAA Extended Validation Services Framework and Application. Soluciones tecnológicas para el marco de identidad digital de la UE; Parte 2: Marco y aplicación de los servicios de validación ampliada de las DEA
ETSI EN 319 421 V1.3.1 (2025-07)– Electronic Signatures and Trust Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps. Requisitos de política y seguridad para los Prestadores de Servicios de Confianza que emiten sellos de tiempo. Se está preparando una actualización.
ETSI EN 319 142-2 V1.2.1 (2025-07)– Electronic Signatures and Trust Infrastructures (ESI); PAdES digital signatures; Part 2: Additional PAdES signatures profiles. Firmas digitales PAdES; Parte 2: Perfiles de firmas PAdES adicionales.
ETSI EN 319 412-4 V1.4.1 (2025-06)– Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 4: Certificate profile for web site certificates. Perfiles de certificados; Parte 4: Perfil de certificado para certificados de sitios web,
ETSI EN 319 412-2 V2.4.1 (2025-06) . Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons. Perfiles de certificados; Parte 2: Perfil de certificados para certificados expedidos a personas físicas.
ETSI EN 319 412-5 V2.5.1 (2025-06)– Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements. Perfiles de certificados; Parte 5: campos QCStatements de los certificados. Se está preparando una actualización.
ETSI EN 319 412-1 V1.6.1 (2025-06)– Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures. Perfiles de certificados; Parte 1: Descripción general y estructuras de datos comunes.Se está preparando una actualización.
ETSI EN 319 411-2 V2.6.1 (2025-06)– Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que expiden certificados; Parte 2: Requisitos para los Prestadores de Servicios de Confianza que expiden certificados cualificados de la UE. Se está preparando una actualización.
ETSI TS 119 471 V1.1.1 (2025-05)– Electronic Signatures and Trust Infrastructures (ESI); Policy and Security requirements for Providers of Electronic Attestation of Attributes Services. Requisitos de Política y seguridad para los Prestadores de Servicios de Declaración Electrónica de Atributos.
ETSI TS 119 411-5 V2.1.1 (2025-02)– Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 5: Implementation of qualified certificates for website authentication as in amended regulation 910/2014. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que emiten certificados; Parte 5: Implementación de certificados cualificados para la autenticación de sitios web según el Reglamento 910/2014 modificado.
ETSI TS 119 461 V2.1.1 (2025-02) – Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for trust service components providing identity proofing of trust service subjects. Requisitos de política y seguridad para los componentes de servicios de confianza que proporcionan verificación de identidad de los sujetos de servicios de confianza.
ETSI EN 319 411-1 V1.5.1 (2025-04)– Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que emiten certificados; Parte 1: Requisitos generales. Se está preparando una actualización.
Todavía se siguen desarrollando los estándares de ETSI, y hay varios en estado Draft (Borrador) que se espera que se publiquen pronto.
Si tu empresa fabrica o importa productos que consumen energía en la UE, es probable que hayas oído hablar de EPREL y los certificados QSealC. Pero, ¿sabes realmente qué tipo de certificado necesitas y cómo obtenerlo? En este artículo, te explicamos todo lo que debes saber sobre los certificados QSeal para cumplir con los requisitos de la base de datos EPREL de manera sencilla y efectiva.
Un certificado QSealC es como un pasaporte digital para tu empresa. Sirve para demostrar que es quien dice ser cuando registras productos en EPREL, asegurando que los datos se han verificado y cumplen con las normativas de la UE.
Para registrar productos en la base de datos EPREL (European Product Database for Energy Labelling), necesitas un Certificado Cualificado de Sello Electrónico (QSealC) (es decir, de Persona Jurídica) emitido por un Prestador Cualificado de Servicios de Confianza (PCSC), conforme al Reglamento eIDAS (UE 910/2014).
Requisitos clave del certificado QSealC para EPREL:
Debe ser un certificado cualificado: Debe cumplir con los estándares del reglamento eIDAS y la norma ETSI EN 319 412, con identificación NTR (EUID). Se puede consultar en el portal europeo «European e-Justice Portal – Business registers»
Emitido a nombre de la persona jurídica: El certificado debe identificar a la empresa, no a una persona física. Hay casuística especial para Autónomos.
Emitido en un dispositivo cualificado (QSCD): Suele ser un token físico o una tarjeta chip.
Debe permitir sellar electrónicamente documentos PDF: Como la declaración de proveedor exigida por EPREL. Por ejemplo con Adobe Reader.
El certificado de persona jurídica de entidades españolas para EPREL de EADTrust por un año tiene un coste de 350 euros.
El certificado QSEAL para EPREL de EADTrust por un año para entidades de fuera de España tiene un coste de 700 euros. No se aplica IVA a las empresas con identificación VIES.
El Token SafeNet eToken 5110 CC (QSCD, Dispositivo Cualificado de Creación de Firma) tiene un coste de 110 euros.
Estos precios son los más competitivos en España y fuera de España
Recientemente, el Organismo Supervisor de Prestadores Cualificados de Confianza eIDAS en España ha comunicado a los prestadores de servicios de confianza la recomendación de abandonar el uso de claves RSA de hasta 2048 bits, indicando que la fuente de la recomendación es el CCN (Centro Criptógico Nacional) a través del documento CCN-STIC 221 – Guía de Mecanismos Criptográficos autorizados por el CCN.
Sin embargo, ese documento no entra en detalles de tamaños de clave recomendados aunque indica en su página 104
Los resultados del ataque ROCA obligó a varios gobiernos europeos a revocar todos los certificados digitales de millones de tarjetas de identificación de sus ciudadanos, ya que tenían claves de 1024 bits y se podía suplantar la identidad de sus ciudadanos. En España se optó por la misma medida de prevención, aunque los DNIe españoles no corrían el mismo peligro que los documentos de identidad utilizados en otros países, ya que el DNIe español utiliza claves de 2048 bits.
dando a entender que un tamaño de 2048 bits en RSA es apropiado.
En realidad, las claves de los dispositivos cualificados de casi todos los países (no solo España) eran en aquel momento de 2048 bits, pero la vulnerabilidad ROCA afectaba al algoritmo de generación de claves adoptado por Infineon (que lo limitó al uso de la variante «Fast Prime») con lo que hubiera sido sencillo sustituir las claves generadas por aquellos chips con generadores externos al propio chip.
En muchos lugares (incluida España) se optó por generar claves RSA de 1952-bits en el propio chip. A tal efecto se modificó el software de los «cajeros automáticos del DNI» para actualizar los certificados (y su clave privada asociada) cuando acudieran los ciudadanos a la renovación de certificados. Para siguientes emisiones de DNIe se usaron dispositivos diferentes.
Los mecanismos criptográficos autorizados indicados en los siguientes apartados se han clasificado en dos (2) categorías (CAT) de acuerdo con su fortaleza estimada a corto y largo plazo:
a) Recomendados (R): mecanismos que ofrecen un nivel adecuado de seguridad a largo plazo. Se considera que representan el estado del arte actual en seguridad criptográfica y que, a día de hoy, no presentan ningún riesgo de seguridad significativo. Se pueden utilizar de forma segura a largo plazo, incluso teniendo en cuenta el aumento en potencia de computación esperado en un futuro próximo. Cualquier riesgo residual, solo podrá proceder del desarrollo de ataques muy innovadores.
b) Heredado o Legacy (L): mecanismos con una implementación muy extendida a día de hoy, pero que ofrecen un nivel de seguridad aceptable solo a corto plazo. Únicamente deben utilizarse en escenarios en los que la amenaza sea baja/media y el nivel de seguridad requerido por el sistema bajo/medio (como veremos en el apartado 5) y deben ser reemplazados tan pronto como sea posible, ya que se consideran obsoletos respecto al estado del arte actual en seguridad criptográfica, y su garantía de seguridad es limitada respecto a la que ofrecen los mecanismos recomendados. Como consecuencia de ello, para estos mecanismos se define el periodo de validez hasta 2025 (31 de diciembre), salvo indicación expresa de otro periodo.
En la Tabla 3-2. Tamaño de las primitivas RSA acordadas se considera (L)egacy la criptografía RSA de hasta 2024 bits.
En la Tabla 3-4. Curvas elípticas acordadas se consideran (R)ecomendada la criptografía ECC de todos los tamaños habituales entre los que se encuentran NIST P-256 o secp256r11 y NIST P-384 o secp384r1
En la Tabla 3-8. Esquemas de Firma electrónica autorizados se consideran L los tamaños de clave RSA hasta 2024 y R los tamaños de clave RSA de más de 3072 bits. Y en las variantes ECC las de tamaños a partir de 256 bits.
En la página 50 se entra en detalle sobre la firma electrónica [MP.INFO.3] tal como se encuentra definida en el Reglamento eIDAS y según la forma en la que se debe aplicar en las Administraciones Públicas en el contexto del Esquema Nacional de Seguridad.
Para los niveles bajo y medio del ENS se admiten claves RSA (del firmante) de, al menos, 2048 bits, claves de 224-255 bits si se emplean curvas elípticas y Funciones hash SHA-256 o superior.
Sin embargo, tal como se ha visto esa posibilidad entra en la consideración de «Legacy» y se tiene que dejar de usar desde el 1 de enero de 2026.
Para el nivel alto del ENS se requiere una fortaleza mínima de 128 bits, que, según se ve en las tablas indicadas anteriormente debe ser en RSA de al menos, 3072 bits, y de más de 256 bits si se emplean curvas elípticas . Se entra en detalle en la Tabla 3-8.
En cuanto a los Sellos de Tiempo [MP.INFO.4] se consideran los requisitos para el ENS alto:
Se utilizarán productos certificados conforme a lo establecido en el ENS ([op.pl.5] Componentes Certificados).
Se emplearán «sellos cualificados de tiempo electrónicos» atendiendo a lo establecido en el Reglamento eIDAS.
Se utilizarán mecanismos de firma electrónica recomendados y fortaleza mínima 128 bits, es decir: # RSA de, al menos, 3072 bits (aunque se recomienda el uso de 4096 bits). # Curvas elípticas con claves de, al menos, 256 bits. # Funciones resumen de las incluidas en la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256. – Para los esquemas enlazados, la seguridad recae en la función resumen empleada, por tanto, se empleará cualquiera de las funciones de la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256.
Todos estos requisitos son muy difíciles de afrontar si se empiezan a considerar en el año 2025, pero EADTrust ya los tuvo en cuenta en la definición de sus jerarquías de certificación desde su creación.
Jerarquias de certificación de EADTrust.
Las jerarquías de certificación de EADTrust ya cumplen los requisitos establecidos por el CCN desde que se diseñaron y se llevó a cabo la ceremonia de generación de claves de CA en 2019, sin esperar a la fecha límite de diciembre de 2025. Se estructuran en tres niveles (Root CA, Sub-CA e Issuing CA) y combinan tecnologías RSA y ECC, posicionando a EADTrust como pionera en Europa por su uso dual. Esta estructura soporta la emisión de certificados cualificados para firma electrónica, sellos electrónicos y autenticación de sitios web, cumpliendo con los estándares de ETSI y CEN para eIDAS y garantizando alta seguridad y confianza en transacciones electrónicas. La adopción de ECC refuerza su preparación para desafíos criptográficos futuros y ha sido clave para su designación como la entidad emisora de los certificados utilizados por los organismos sanitarios españoles para emitir el pasaporte COVID-19 durante la pandemia.
Las variantes de certificados ofrecidos por EADTrust son las siguientes:
Autenticación y firma electrónica de personas físicas,
Autenticación y firma electrónica de personas físicas, con indicación de entidad en la que trabajan,
Autenticación y firma electrónica de representantes legales de personas jurídicas,
Autenticación y firma electrónica de empleados públicos,
Autenticación y firma electrónica de empleados públicos, en el contexto de la Administración de Justicia
Autenticación y sello electrónico de personas jurídicas,
Autenticación y sello electrónico de órganos de la administración pública,
Autenticación y sello electrónico de personas jurídicas sujetas a la normativa PSD2,
La creación de sellos de tiempo electrónicos cualificados,
La comprobación y validación de firmas electrónicas, sellos electrónicos, y de sellos de tiempo electrónicos,
La conservación de firmas electrónicas, sellos o certificados para estos servicios
Se contemplan algoritmos criptográficos de tipo RSA con tamaños de clave de 2048 bits, 4196 bits y 8192 bits y algoritmos criptográficos de tipo ECC (Criptografía de Curva Elíptica) con tamaños de clave de 256 bits y 384 bits.
Los diferentes niveles de robustez de criptografía permiten el cumplimiento de los niveles medios y altos del ENS (Esquema Nacional de Seguridad) de España, tal como se describen en el documento “Guía de Seguridad de las TIC – CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad” citado, según las necesidades de las Administraciones Públicas.
Los tamaños de clave para los certificados cualificados (a partir de los certificados de Autoridad de Certificación raíz) son:
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 4096-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 8192-bit key size with SHA512 digest algorithm para certificados cualificados.
ECC Root CA P-256 with SHA256 digest algorithm para certificados cualificados.
ECC Root CA P-384 with SHA384 digest algorithm para certificados cualificados. Para certificados no cualificados
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados no cualificados.
En la siguiente figura se muestra la jerarquía RSA de 4096 bits que es similar a la de 8192 bits.
En la siguiente figura se muestra la jerarquía ECC de 384 bits que es similar a la de 256 bits.
Desde principios de 2023 EADTrust ha difundido además los nuevos certificados para la provisión de servicios de sello de tiempo cualificado diferenciados por usar diferentes algoritmos criptográficos, tamaño de clave y uso o no de Dispositivo Cualificado de Creación de Sello o de Firma (DCCF, DCCS o QSCD) Algunos están especialmente diseñados para cumplir requisitos establecidos en el Esquema nacional de Seguridad (ENS) para el Nivel de Seguridad Alto.
Los campos “CommonName” de los nuevos certificados son:
Certificado
Criptografía
Tamaño Clave
QCSD
ENS
EADT QTSU 2023 RSA 2048
RSA
2048
NO
NO
EADT QTSU 2023 ENS alto RSA 3072
RSA
3072
NO
SI
EADT QTSU QSCD 2023 ENS alto RSA 4096
RSA
4096
SI
SI
EADT QTSU 2023 ENS alto ECC 256
ECC
256
NO
SI
EADT QTSU QSCD 2023 ENS alto ECC 384
ECC
384
SI
SI
Por compatibilidad se mantienen los sellos de tiempo basados en criptografía RSA de 2048 bits, destinados a entidades no sujetas al cumplimiento del la normativa ENS del Esquema nacional de Seguridad.
El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).
¿A quién va dirigido?
El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.
Contenido
Entre los temas que se debatirán este año, abordaremos los siguientes
Normalización y certificación de la Cartera de Identidad Digital Europea
Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
Estrategias para promover el mercado de la identidad digital
Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.
Agenda en inglés
El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo
Inscripción
Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.
EADTrust offers several services related to the issuance of PSD2 qualified certificates, including the issuance of test certificates.
But, what Are PSD2 Certificates?
PSD2 certificates are specialized digital certificates mandated under the European Union’s Revised Payment Services Directive (PSD2, EU Directive 2015/2366), designed to enhance the security, transparency, and interoperability of electronic payment systems across the EU. Introduced to foster open banking, PSD2 requires financial institutions, such as banks, and third-party providers (TPPs) to allow secure access to customer account data and payment services, provided customer consent is given. To facilitate this securely, PSD2 mandates the use of qualified electronic certificates compliant with the eIDAS Regulation (EU No 910/2014), which ensures trust and authenticity in electronic transactions.
These certificates serve as a digital “company ID” for payment service providers (PSPs), identifying them and their roles within the payment ecosystem while securing communications between parties, such as banks (Account Servicing Payment Service Providers, or ASPSPs) and TPPs. The certificates are critical for meeting the Regulatory Technical Standards (RTS) outlined in EU 2018/389, particularly Article 34, which specifies requirements for strong customer authentication (SCA) and secure communication channels. Issued by Qualified Trust Service Providers (QTSPs) listed in the EU Trusted List, PSD2 certificates ensure that only authorized entities can access sensitive financial data or initiate payments, thereby reducing fraud and enhancing consumer protection.
Types of PSD2 Certificates
There are two primary types of PSD2 certificates, each serving distinct purposes within the PSD2 framework:
Purpose: QWACs are used to establish a secure, encrypted Transport Layer Security (TLS) connection between parties, such as a TPP and a bank’s API. They authenticate the identity of the PSP or TPP and secure the communication channel, ensuring data confidentiality and integrity during transmission.
Use Case: QWACs are mandatory for identifying PSPs when they access a bank’s dedicated interface (API) or fallback mechanism (emergency interface). They are akin to Extended Validation (EV) TLS/SSL certificates but include additional PSD2-specific fields.
Technical Details: QWACs rely on a minimum key length of 2048 bits and are generated using a Certificate Signing Request (CSR) that includes the public key and specific attributes (e.g., Organization, Country).
Qualified Certificate for Electronic Seal (QSealC or QSEAL):
Purpose: QSealCs provide a digital signature or “seal” on data or messages exchanged between parties, ensuring the data’s origin and integrity. They prevent tampering and offer non-repudiation, meaning the sender cannot deny having sent the message.
Use Case: QSealCs are used to sign requests or transactions (e.g., payment initiation or account information retrieval), providing evidence of the request’s authenticity. While not always mandatory, some banks or standards (e.g., Berlin Group’s NextGenPSD2) may require their use alongside QWACs.
Technical Details: QSealCs require a minimum key length of 3072 bits for higher security. They can be implemented as “soft seals” (stored digitally without hardware) or with hardware security modules (HSMs) or smart cards, depending on the provider.
Both certificate types are defined under the ETSI TS 119 495 standard, which outlines their technical specifications and ensures interoperability across the EU.
Information Contained in PSD2 Certificates
PSD2 certificates include standard fields found in digital certificates, as well as additional PSD2-specific information to meet regulatory requirements. The key details are:
Standard Certificate Fields:
Organization (O): The legal name of the PSP or entity.
Organizational Unit (OU): Optional, specifying a department or division (if applicable).
Common Name (CN): Typically the domain or identifier of the entity.
Country Code (C): The two-letter code of the entity’s home country (e.g., “DE” for Germany).
State or Province (S): The entity’s state or region (optional).
City (L): The entity’s city of operation.
PSD2-Specific Fields (in the Qualified Certificate Statement, QC Statement):
Authorization Number: A unique identifier issued by the National Competent Authority (NCA) upon registration or licensing of the PSP. This links the certificate to the official public register.
PSD2 Roles: The specific roles or entitlements of the PSP, indicating the services they are authorized to provide (detailed below).
Name of the National Competent Authority (NCA): The regulatory body overseeing the PSP (e.g., BaFin in Germany, Bank of Spain in Spain).
These fields ensure that the certificate unambiguously identifies the PSP, its authorized activities, and the supervising authority, enabling banks and other parties to verify legitimacy during transactions.
Requirements for Issuance of PSD2 Certificates
The issuance of PSD2 certificates involves strict requirements to ensure security and compliance with EU regulations. These include:
Authorization by a National Competent Authority (NCA):
Before applying for a certificate, a PSP must obtain a license or registration from its NCA (e.g., the Financial Conduct Authority in the UK, KNF in Poland). This process confirms the entity’s eligibility to operate as a PSP under PSD2.
CRR credit institutions (banks with a full banking license) do not require additional authorization and can directly apply for certificates covering all roles.
Application to a Qualified Trust Service Provider (QTSP):
Certificates must be issued by a QTSP accredited under eIDAS and listed in the EU Trusted List. Examples include DigiCert, GlobalSign, and Buypass.
The PSP submits a Certificate Signing Request (CSR) containing the public key and required attributes, generated with specified key lengths (2048 bits for QWACs, 3072 bits for QSealCs).
Identity Verification:
A natural person (e.g., an authorized signatory) must be identified to represent the PSP. This can be:
The signatory themselves for a Qualified Seal Card PSD2.
A delegated representative (subscriber’s representative) for QWACs or QSealCs, authorized via a signed request form.
Identification methods vary by country:
In Germany, PostIdent is standard.
Elsewhere, it may involve embassies, consulates, or notaries listed in the European Directory of Notaries.
Validation Against Public Registers:
The QTSP verifies the PSP’s authorization number and roles against the NCA’s public register or the European Banking Authority (EBA) register to ensure accuracy and legitimacy.
Technical Requirements:
The PSP generates and manages its own private keys, ensuring they remain secure (e.g., using an HSM for QSealCs).
Test certificates, which do not require an NCA license, are available for pre-authorization testing but follow the same technical standards.
Certificate Validity and Renewal:
QWACs are typically valid for one year, while QSealCs may vary depending on the QTSP. Changes (e.g., PSP name or roles) require revocation of the old certificate and issuance of a new one, as fields cannot be edited.
Roles Encoded in PSD2 Certificates
PSD2 recognizes four distinct roles for PSPs, which define their authorized activities within the payment ecosystem. These roles are encoded in the certificates and align with the ETSI TS 119 495 standard abbreviations:
Account Information Service Provider (AISP, PSP_AI):
Description: AISPs aggregate and provide consolidated views of a customer’s payment accounts (e.g., from multiple banks). They help with budgeting, expense tracking, and financial planning.
Function: Read-only access to account data, with customer consent.
Payment Initiation Service Provider (PISP, PSP_PI):
Description: PISPs initiate payments on behalf of customers directly from their bank accounts, acting as intermediaries between merchants and banks.
Function: Facilitates online credit transfers or direct debits, bypassing traditional card payments.
Account Servicing Payment Service Provider (ASPSP, PSP_AS):
Description: Typically traditional banks or institutions that maintain payment accounts for customers.
Function: Provides account management services and must open APIs for TPPs to access customer data or initiate payments.
Payment Service Provider Issuing Card-Based Payment Instruments (PSP_IC):
Description: Entities authorized to issue card-based payment instruments (e.g., debit or credit cards).
Function: Enables card payments as part of the payment ecosystem.
A single PSP can hold multiple roles (e.g., both AISP and PISP), and these are all encoded in the certificate’s QC Statement. Banks with a full CRR license can apply for all roles without additional authorization, while TPPs must specify their roles during NCA registration.
Conclusion
PSD2 certificates (QWACs and QSealCs) are vital tools for ensuring secure, authenticated, and interoperable electronic payments under the PSD2 framework. They identify PSPs, secure communications, and protect data integrity, relying on strict issuance processes overseen by QTSPs and NCAs. Containing detailed organizational and regulatory information, they encode one or more of the four PSP roles (AISP, PISP, ASPSP, PSP_IC), reflecting the diverse functions within the open banking landscape. This robust system supports PSD2’s goals of enhancing security, promoting competition, and protecting consumers across the EU.
El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.
Los componentes clave de un sistema DTM incluyen:
Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
Autenticación digital: Verificando la identidad de los participantes en las transacciones.
Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.
Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:
Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras
Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.
En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies:
Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.
En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).
Formando parte del Observatorio se han definido ya varios laboratorios:
Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.
Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.
Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.
Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.
El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.
La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.
De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).
Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»
Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.
Pero ¿cual podría ser el dia internacional de la firma electrónica?
Es un debate interesante que abro aquí, si bien lo inauguro con una propuesta. 4 de septiembre.
Porque el 4 de septiembre de 1998 se firmó electrónicamente un comunicado conjunto entre Estados Unidos e Irlanda aprovechando la visita del Presidente Bill Clinton a Irlanda. Su anfitrión, el Primer Ministro «Taoiseach» Bertie Ahern fue el otro firmante.
En una visita a la factoría del fabricante de PCs Gateway de Dublín, se preparó el entorno para la firma electrónica utilizando portátiles de Gateway y el software de firma electrónica de la empresa Baltimore Technologies, radicada en Irlanda.
La visita presidencial estaba prevista para la primera semana de septiembre. Fran Rooney, director general de Baltimore, y Brendan Tuohy, secretario general del Departamento de Empresas Públicas, elaboraron una idea para que los gobiernos de Irlanda y Estados Unidos publicaran un comunicado sobre comercio electrónico, firmado con tecnologías de seguridad digital en lugar de con pluma y tinta. Luego consiguieron el apoyo a este plan de un alto asesor político del Presidente Clinton.
La PKI era muy adecuada para la gestión de documentos oficiales. Su contenido no podía alterarse sin ser detectado después de adjuntar las firmas digitales. Pero los documentos podían seguir siendo copiados y distribuidos tan ampliamente como fuera necesario. El software de autoridad de certificación UniCert, de Baltimore, generaría los certificados digitales para identificar al Presidente Clinton y al Taoiseach Ahern. Esos certificados podrían almacenarse en tarjetas inteligentes y el proceso de firma adoptaría la forma de una transacción con tarjeta.
Clinton y Ahern recibieron sus tarjetas inteligentes personales, cada una con un código de firma único y un certificado digital. Los dos Jefes de Estado introdujeron sus tarjetas inteligentes en los lectores e introdujeron sus códigos personales, generando las firmas adjuntas al comunicado. Éste aparece, con los sellos de las firmas, en la página web de la Casa Blanca.
«¿Tienen idea de cuánto tiempo paso cada día firmando con mi nombre?» preguntó Clinton. «Me voy a sentir completamente inútil si no puedo hacer al menos eso».
El escenario estaba preparado para una exhibición de Baltimore Technologies ante un público invitado y los medios de comunicación internacionales que acompañaban al presidente estadounidense. El fabricante de ordenadores Gateway aceptó acoger el acto en sus instalaciones de Clonshaugh. Los políticos interpretaron su papel a la perfección y toda la tecnología funcionó bien.
Sin embargo, fue un inconveniente que el proceso de firma digital fuera más o menos instantáneo. Para mejorar la visivilidad de la operación, Baltimore ideó una animación especial que mostraba la transferencia de las firmas de las tarjetas al documento. Esta animación prolongaba la ceremonia y creaba una sensación de ocasión especial.
En retrospectiva, el aspecto más interesante del comunicado era el docuento que prescribía a los gobiernos en la infraestructura en evolución para las transacciones basadas en Internet: proporcionar un marco jurídico claro, promover un entorno favorable a la competencia y garantizar una protección adecuada de los objetivos de interés público, como la privacidad, los derechos de propiedad intelectual y la protección del consumidor. El acuerdo intergubernamental también afirmaba que los impuestos sobre el comercio electrónico debían ser coherentes y no discriminatorios.
En los tratados internacionales los firmante se suelen intercambiar las plumas. Quizá habría que pensar en otro acto protocolario que no implicara intercambiarse las tarjetas chip, para no transmitir ideas equívocas. Quizá los lectores de tarjetas («chipeteras»).
Todo es electrónico 