Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).
¿A quién va dirigido?
El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.
Contenido
Entre los temas que se debatirán este año, abordaremos los siguientes
Normalización y certificación de la Cartera de Identidad Digital Europea
Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
Estrategias para promover el mercado de la identidad digital
Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.
Agenda en inglés
El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo
Inscripción
Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.
La Unión Europea publicó el 15 de abril de 2025 los borradores de doce nuevos actos de ejecución centrados en los servicios electrónicos de confianza y la cartera de identidad digital europea, en lo que será el tercer bloque de actos de ejecución tras los dos anteriores, cumpliendo lo previsto en el Reglamento (UE) 1183/2024.
La publicación de estos borradores abre también la posibilidad de enviar comentarios hasta el 13 de mayo de 2025 a través de la plataforma «Have your say» .
El conjunto de actos de ejecución configura el Marco Europeo de Identidad Digital y forma parte del juego de requisitos y especificaciones que determinan la evolución del documento de ARF («Architecture and Reference Framework», Arquitectura y Marco de Referencia) de la Cartera de Identidad DIgital. Recientemente publiqué la traducción al español del documento ARF versión 1.8.
Inicio de los servicios de confianza cualificados Establece los formatos y procedimientos para notificar a los Organismos de Supervisión la intención de los prestadores de servicios de confianza de ofrecer servicios de confianza cualificados.
Sellos de tiempo cualificados Establece normas de referencia y, cuando es necesario, establece especificaciones y procedimientos para vincular la fecha y la hora a los datos y para establecer la precisión de las fuentes de tiempo con respecto a los sellos de tiempo electrónicos cualificados.
Servicios cualificados de entrega electrónica certificada Establece una lista de normas de referencia y las especificaciones y procedimientos para los procesos de envío y recepción de datos en el contexto de los servicios cualificados de entrega electrónica certificada.
Informes anuales de los organismos de supervisión Establece los formatos y procedimientos para los informes anuales de los organismos de supervisión designados responsables de la supervisión de las Carteras de Identidad Digital Europea y de los organismos de supervisión designados responsables de la supervisión de los servicios de confianza.
El lote anterior se publicó el viernes 29 de noviembre de 2024 con posibilidad de enviar comentarios en el portal ‘Have your say’ (Díganos lo que piensa), hasta el 27 de diciembre.
Los actos de ejecución se adoptaron el 9 de abril de 2025, per todavía no están publicados en el Diario Oficial.
El primer lote de 5 actos de ejecución se publicó el 4 de diciembre de 2024, en el Diario Oficial de la Unión Europea, entrando en vigor a los 20 días, el 24 de diciembre. Desde esa fecha se calculan los 2 años para que los estados pongan a disposición de los ciudadanos la Cartera de Identidad Digital correspondiente a cada estado y el plazo de 3 años para que las entidades privadas obligadas a la aceptación de la identidad basada en una Cartera Digital deban empezar a hacerlo.
En la Arquitectura y Marco de Referencia de la Cartera de Identidad Digital Europea se recoge la opción de que las entidades de las Administraciones Públicas puedan generar Declaraciones de Atributos de forma similar a los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA).
En el modelo de confianza, tanto los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA) como las entidades públicas emisoras de Declaraciones Electrónicas de Atributos (DEA) deben contar con un certificado electrónico con el que se firman las declaraciones electrónicas de atributos.
EADTrust está generando ya certificados de prueba alineados con el modelo de confianza y puede prestar, si se requiere, tanto los servicios DECA (asociados a fuentes auténticas) como declaraciones DEA-AAPP (en inglés Pub-EAA).
Hay que tener en cuenta que la norma ETSI TS 119 412-5 se va a modificar para incorporar un nuevo OID esi4-qcStatement-10 solo para Organismos del Sector Público – OSP (en inglés PSB – Public Sector Bodies), que incluirá esta información:
countryOfLegislation deberá contener el código de país alfa-2 del marco legislativo del organismo del sector público, considerando que se utilizará «EU» para la legislación de la UE.
authSourceIdentification deberá contener una identificación única de la fuente auténtica para la que el OSP emite declaraciones de atributos.
nameOfLegislation deberá contener el nombre de la legislación que define al OSP como responsable de la fuente auténtica. Esta entrada deberá contener al menos la traducción al inglés del nombre de la legislación, pero también puede contener traducciones a otros idiomas.
La sintaxis queda así:
esi4-qcStatement-10 QC-STATEMENT ::= { SYNTAX QcPSB IDENTIFIED BY id-etsi-qcs-QcPSB }
QcPSB ::= SEQUENCE { countryOfLegislation PrintableString (SIZE (2)) (CONSTRAINED BY { — ISO 3166 alpha-2 codes only — }), — this field shall contain the alpha-2 country code of the legislation — framework of public sector body in the case of EU legislation use — the «EU» country-code.
authSourceIdentification UTF8String, — this field is for the unique identification of authentic source
nameOfLegislation LegalDescriptions }
LegalDescriptions ::= SEQUENCE SIZE (1..MAX) OF LegalDescription
LegalDescription ::= SEQUENCE { language PrintableString (SIZE(2)), –ISO 639-1 language code — the language (code) of the legislation — description
legislation UTF8String — the legislation name in the language set, at minimum the english — (en) translation of the legistlation’s name shall be included }
Contacte con EADTrust para adaptar su entidad u organismo a los retos del despliegue de la Cartera de Identidad Digital Europea.
La EUDI Wallet (European Union Digital Identity Wallet), conocida en español como la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE) se está desarrollando desde el punto de vista de la concreción de especificaciones a través del ARF es decir, el Marco de Referencia y Arquitectura (Architecture and Reference Framework).
El ARF de la Cartera IDUE es un documento técnico clave que establece las bases para el diseño, desarrollo y funcionamiento de esta identidad digital en toda la Unión Europea. Es un marco de referencia que los estados miembros y desarrolladores usan para garantizar que las carteras digitales sean seguras, interoperables y cumplan con la regulación eIDAS 2.0.
Traduje varias versiones del documento ARF, pero en los últimos meses la actualización de versiones iba más rápido que mi capacidad de traducción
Recientemente se ha publicado la versión 1.8 y la he intentado traducir a toda prisa, por lo que aquí traigo la versión en español de este documento «Marco de Referencia y Arquitectura»:
Estandarización: Define los protocolos técnicos, como el formato de los identificadores digitales (basados en estándares como OpenID o ISO/IEC 18013-5 para credenciales móviles), para que las carteras funcionen igual en todos los países de la UE.
Interoperabilidad: Asegura que una Cartera IDUE emitida en España, por ejemplo, pueda usarse sin problemas en Francia o Alemania para servicios públicos y privados (como abrir una cuenta bancaria o identificarse en línea).
Seguridad: Establece requisitos para proteger los datos personales, como el uso de elementos seguros en dispositivos (chips físicos o software encriptado) y autenticación multifactor.
Funcionalidad: Detalla cómo las carteras almacenarán y presentarán credenciales digitales, como el DNI electrónico, licencias de conducir o certificados académicos, de forma que sean verificables al instante por terceros autorizados.
Desarrollo práctico: Proporciona una «caja de herramientas» (toolbox) técnica para que los países implementen sus propias versiones de la cartera, manteniendo un estándar común.
El ARF fue publicado por la Comisión Europea como parte del proceso para preparar la implementación de la EUDI Wallet, que se espera esté plenamente operativa para las navidades de 2026.
g-digital, es la división de negocios digitales de Garrigues (la mayor Firma de abogados de la Unión Europea) dedicada a fomentar la innovación y el desarrollo tecnológicos para ayudar a los clientes de la Firma en su transformación digital. Asume la misión de desarrollar soluciones tecnológicas que integren el conocimiento del derecho de los negocios del despacho legal en los procesos de sus clientes, no solo mejorando la eficiencia y la seguridad jurídica, sino también habilitando nuevas oportunidades de negocio en un entorno cada vez más digital.
Los profesionales de Garrigues Digital, que son los expertos del despacho en TechLaw y economía digital, trabajan estrechamente con los tecnólogos de g-digital en el diseño de sus soluciones, asegurando que tecnología y legalidad se integran en cada propuesta e identificando las necesidades y oportunidades del mercado. Esta colaboración es el factor clave y distintivo que asegura que sus productos y servicio sean innovadores y de confianza.
Las soluciones de g-digital están concebidas como herramientas esenciales para garantizar la seguridad jurídica, la eficiencia y el cumplimiento normativo en los procesos desplegados por o clientes del a Firma.
g-digital, trabaja en estrecha colaboración con EADTrust, prestador cualificado de servicios de confianza digital, participado por Garrigues.
Esta colaboración representa una alianza estratégica que redefine la forma en que las empresas gestionan sus transacciones digitales. Esta sinergia combina el liderazgo legal de Garrigues con la experiencia técnica de EADTrust para ofrecer soluciones integrales que garantizan seguridad, eficiencia y cumplimiento normativo.
¿Qué ofrecen juntos g-digital y EADTrust?
La propuesta comercial conjunta se basa en tres pilares fundamentales:
Servicios de confianza digital regulados
EADTrust aporta su experiencia en servicios cualificados, como la expedición de certificados cualificados de personas físicas para la realización de firmas electrónicas cualificadas, la expedición de certificados cualificados de personas jurídicas para la realización de sellos electrónicos cualificados, la emisión de sellos de tiempo cualificados, la provisión de servicios de custodia digital y notificaciones certificadas, esenciales para garantizar la autenticidad y seguridad de las transacciones digitales.
g-digital integra estos servicios en procesos legales, optimizando la gestión de contratos y asegurando que las empresas cumplan con normativas como eIDAS2.
Innovación tecnológica aplicada al ámbito legal
Ambas entidades han desarrollado soluciones como GoCertius, que permite certificar fotografías y videos captados con el móvil asociándolos al momento en que se tomaron, y que se ha ampliado para dejar constancia de lo tratado en chats «securizados» en plataformas como Telegram con alta eficacia probatoria, y que permitiría un sistema de contratación con muy baja fricción en la experiencia de usuario.
g-digitaltrabaja en proyectos basados en blockchain, como plataformas de activos financieros tokenizados bajo el régimen piloto de la UE (Reglamento UE 2022/858) y la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión y su constitución como ERIR (Entidad Responsable de la Inscripción y del Registro. También impulsa soluciones de «EAD Enterprise Suite» como «eArchiving» y «Signature Manager» una herramienta colaborativa que permite la firma electrónica de varios intervinientes en un acuerdo e incluso invitar asesores legales al proceso de firma.
Cumplimiento normativo y adaptación al mercado europeo
La colaboración está alineada con regulaciones clave como eIDAS2, NIS2, DORA y MiCA, asegurando que las empresas puedan operar dentro del marco legal europeo mientras aprovechan herramientas avanzadas para la gestión digital.
Beneficios para las empresas
La alianza entre g-digital y EADTrust ofrece ventajas tangibles para empresas de todos los sectores:
Seguridad jurídica: Las soluciones conjuntas garantizan que las transacciones digitales cumplan con los estándares legales más exigentes, reduciendo riesgos regulatorios.
Eficiencia operativa: La integración de servicios digitales permite automatizar procesos clave, como la firma electrónica o la custodia documental, optimizando tiempos y costes. El uso de sello de tiempo cualificado en pasos clave de procesos de negocio digitalizados los transforma en pruebas con presunción «Iuris Tantum»
Innovación adaptada: Con herramientas como blockchain y carteras digitales europeas (EUDI Wallets), las empresas pueden liderar la transformación digital sin comprometer la seguridad ni el cumplimiento normativo.
Casos destacados
Entre los proyectos desarrollados conjuntamente se encuentran:
GoCertius: Una solución innovadora para certificar fotos, videos y documentos captados por la cámara controlada por la App y comunicaciones digitales por Telegram , ideal para sectores donde la evidencia legal es crítica.
EAD Factory: Servicios diseñados para transformar procesos empresariales tradicionales en entornos completamente digitales por diseño, beneficiando especialmente a industrias como banca y seguros. Puede implantarse en sus propios CPDs o en plataformas en la nube TIC
EAD Enterprise Suite: eArchiving: Solución de custodia digital de archivos, equivalente en cierto sentido al depósito notarial, con funcionalidades de escrow.
EAD Enterprise Suite: Signature Manager: Solución de firma electrónica de uso muy sencillo que reduce la fricción para los firmantes y sus asesores, y que resuelve los retos de la firma en contextos multinacionales donde aplican diferentes leyes y jurisdicciones.
Conclusión
La colaboración entre g-digital y EADTrust no solo fortalece la confianza digital en Europa, sino que también posiciona a ambas entidades como líderes en un mercado donde la seguridad jurídica y tecnológica son esenciales. Su propuesta conjunta es una invitación a las empresas a abrazar el futuro digital con herramientas que garantizan autenticidad, integridad y cumplimiento normativo. En un entorno donde la innovación es clave, esta alianza representa el puente perfecto entre tecnología avanzada y seguridad legal.
La «Verificación del Beneficiario» (o Verification of Payee en inglés) es un servicio o proceso utilizado principalmente en el sector bancario y financiero para confirmar la identidad del destinatario de un pago antes de que se realice la transacción. Este mecanismo busca reducir el riesgo de fraude, errores en los pagos o transferencias a cuentas incorrectas.
En términos prácticos, cuando alguien inicia un pago (por ejemplo, a través de una transferencia bancaria), el sistema de Verificación del Beneficiario comprueba que los datos proporcionados (como el nombre del beneficiario y el número de cuenta) coincidan con los registros del banco receptor. Si hay una discrepancia, se puede alertar al usuario para que revise la información antes de ejecutar la transferencia.
Este servicio es especialmente común en países como el Reino Unido, donde se implementó como parte del esquema Confirmation of Payee bajo las regulaciones de la Autoridad de Conducta Financiera (FCA) para combatir el fraude de pagos autorizados (Authorised Push Payment fraud). Por ejemplo, al introducir los detalles de una transferencia, el banco podría devolver un mensaje como «Nombre coincide», «Nombre no coincide» o «Nombre similar» (Match, No Match o Close Match), ayudando al ordenante a tomar una decisión informada.
Contexto en España
En España existe un equivalente al concepto de «Verification of Payee» (Verificación del Beneficiario), aunque no se denomina exactamente así de manera oficial en la normativa española.
En España, la verificación de la identidad del beneficiario en transferencias bancarias no era un servicio obligatorio con un nombre específico como el «Confirmation of Payee» o «Verification of Payee», pero los bancos y entidades financieras han adoptado medidas similares para cumplir con las normativas de prevención de fraude y blanqueo de capitales. Estas medidas suelen incluir la validación de los datos del beneficiario (como el IBAN y el nombre) antes de procesar una transferencia, especialmente en el marco de las transferencias SEPA (Zona Única de Pagos en Euros). En la actualidad les aplica el Reglamento (UE) 2024/886.
La base legal y regulatoria para este tipo de procedimientos proviene principalmente de la legislación europea, que ha sido traspuesta al ordenamiento jurídico español. Los marcos principales son:
Directiva (UE) 2015/2366 – PSD2 (Segunda Directiva de Servicios de Pago):
Entró en vigor en la UE en 2016 y fue traspuesta en España mediante el Real Decreto-ley 19/2018, de 23 de noviembre, sobre servicios de pago y otras medidas urgentes en materia financiera.
Esta directiva busca mejorar la seguridad de los pagos electrónicos y proteger a los consumidores. Aunque no menciona explícitamente la «Verificación del Beneficiario» como un servicio obligatorio, exige a las entidades financieras implementar medidas de autenticación reforzada (Strong Customer Authentication, SCA) y garantizar la seguridad en las transacciones, lo que incluye verificar la identidad de las partes involucradas en un pago.
En la práctica, algunos bancos españoles han integrado sistemas que cotejan el IBAN con el nombre del beneficiario para evitar errores o fraudes, aunque esto depende de las políticas internas de cada entidad.
Reglamento SEPA (Reglamento (UE) No 260/2012):
Establece los requisitos técnicos y comerciales para las transferencias y adeudos domiciliados en euros en la zona SEPA, que incluye España.
Aunque el foco está en la estandarización de los pagos, las entidades pueden implementar controles adicionales, como la verificación del beneficiario, para cumplir con las expectativas de seguridad.
Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo:
Esta ley, modificada posteriormente para adaptarse a directivas europeas (como la 4ª y 5ª Directivas AML), obliga a las entidades financieras a identificar y verificar la identidad de los clientes y beneficiarios en las operaciones financieras. Esto incluye medidas para evitar que los fondos se transfieran a cuentas fraudulentas o no deseadas, lo que indirectamente fomenta la verificación de los datos del beneficiario.
Reglamento de Transferencias inmediatas (Reglamento (UE) 2024/886)
Modifica varios reglamentos y directivas existentes relacionados con las transferencias inmediatas en euros. Este reglamento tiene como objetivo promover el uso generalizado de transferencias instantáneas en la Unión Europea, mejorando la eficiencia, la digitalización y la innovación en los pagos.
Bancos españoles
En la actualidad los bancos españoles ya cuentan con servicios equivalentes:
Algunos bancos, como Santander, BBVA o CaixaBank, han desarrollado sistemas internos que alertan al usuario si el nombre del beneficiario no coincide con el IBAN proporcionado, aunque esto no es un estándar obligatorio en todo el sector.
La adopción de estas medidas depende de la entidad y suele estar motivada por la necesidad de cumplir con las expectativas de seguridad de los clientes y reducir el riesgo de fraude, como el fraude de suplantación (Authorised Push Payment Fraud).
European Payments Council
El 19 de marzo de 2024 se publicó el Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo de 13 de marzo de 2024 por el que se modifican los Reglamentos (UE) n.o 260/2012 y (UE) 2021/1230 y las Directivas 98/26/CE y (UE) 2015/2366 en lo que respecta a las transferencias inmediatas en euros,
Establece que el servicio VoP «Verification of Payee», lo deben ofrecer los proveedores de servicios de pago sin cargo adicional.
La comprobación debe realizarse antes de que el ordenante autorice la transferencia. En caso de «nombre similar» (close match) el ordenante deberá ser informado del nombre asociado al IBAN proporcionado.
Los PSP deberán informar a los ordenantes sobre las implicaciones de la responsabilidad del PSP y de los derechos de reembolso del ordenante sobre la opción del PSP de ignorar la notificación proporcionada. En la medida de lo posible, el servicio que garantice la verificación deberá llevarse a cabo de conformidad con un conjunto de reglas y normas para toda la Unión (por ejemplo el «rulebook» del EPC – European Payments Council).
Los ordenantes que no sean consumidores y que envíen varias órdenes de pago en forma de paquete deben poder optar por no recibir los avisos de VoP en su relación contractual con el PSP. El Servicio VoP se debe ofrecer 18 meses después de la entrada en vigor de la regulación,es decir, el 9 de octubre de 2025.
El reglamento indica que los Estados miembros adoptarán, publicarán y aplicarán, a más tardar el 9 de abril de 2025, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en los artículos 3 y 4. Comunicarán inmediatamente el texto de dichas disposiciones a la Comisión.
EADTrust proporciona certificados QWAC y QSEALC con el perfil PSD2 que se necesitan en las conexiones entre bancos y entidades de pagos. Se tienen en cuenta diferentes roles:
PISP – Payment Initiation Service Provider (Proveedor de Servicios de Iniciación de Pagos)
Estas entidades permiten a los usuarios iniciar pagos directamente desde sus cuentas bancarias a través de un tercero, sin necesidad de usar una tarjeta de crédito o débito. Actúan como intermediarios entre el pagador y el banco, facilitando transacciones seguras mediante APIs abiertas.
AISP – Account Information Service Provider (Proveedor de Servicios de Información de Cuentas)
Estas entidades recopilan y consolidan información de las cuentas bancarias del usuario (con su consentimiento), ofreciendo una visión unificada de sus finanzas. Por ejemplo, pueden mostrar saldos o historiales de transacciones de diferentes bancos en una sola plataforma.
Y están, claro, las entidades que gestionan las cuentas, que tienen su denominación propia del contexto normativo de PSD2:
ASPSP – Account Servicing Payment Service Provider (Proveedor de Servicios de Pago que Gestiona Cuentas)
Son los bancos o instituciones financieras tradicionales que mantienen las cuentas de los clientes y deben proporcionar acceso a PISP y AISP a través de interfaces seguras (como APIs) bajo el consentimiento del usuario.
TPP – Third Party Providers (Terceros Proveedores)
Es un término general que engloba a PISP y AISP, refiriéndose a cualquier entidad autorizada por PSD2 para ofrecer servicios de pago o información, distinta de los bancos tradicionales.
Contacte con EADTrust en +34 91716 0555 si necesita certificados cualificados para PSD2
EADTrust offers several services related to the issuance of PSD2 qualified certificates, including the issuance of test certificates.
But, what Are PSD2 Certificates?
PSD2 certificates are specialized digital certificates mandated under the European Union’s Revised Payment Services Directive (PSD2, EU Directive 2015/2366), designed to enhance the security, transparency, and interoperability of electronic payment systems across the EU. Introduced to foster open banking, PSD2 requires financial institutions, such as banks, and third-party providers (TPPs) to allow secure access to customer account data and payment services, provided customer consent is given. To facilitate this securely, PSD2 mandates the use of qualified electronic certificates compliant with the eIDAS Regulation (EU No 910/2014), which ensures trust and authenticity in electronic transactions.
These certificates serve as a digital “company ID” for payment service providers (PSPs), identifying them and their roles within the payment ecosystem while securing communications between parties, such as banks (Account Servicing Payment Service Providers, or ASPSPs) and TPPs. The certificates are critical for meeting the Regulatory Technical Standards (RTS) outlined in EU 2018/389, particularly Article 34, which specifies requirements for strong customer authentication (SCA) and secure communication channels. Issued by Qualified Trust Service Providers (QTSPs) listed in the EU Trusted List, PSD2 certificates ensure that only authorized entities can access sensitive financial data or initiate payments, thereby reducing fraud and enhancing consumer protection.
Types of PSD2 Certificates
There are two primary types of PSD2 certificates, each serving distinct purposes within the PSD2 framework:
Purpose: QWACs are used to establish a secure, encrypted Transport Layer Security (TLS) connection between parties, such as a TPP and a bank’s API. They authenticate the identity of the PSP or TPP and secure the communication channel, ensuring data confidentiality and integrity during transmission.
Use Case: QWACs are mandatory for identifying PSPs when they access a bank’s dedicated interface (API) or fallback mechanism (emergency interface). They are akin to Extended Validation (EV) TLS/SSL certificates but include additional PSD2-specific fields.
Technical Details: QWACs rely on a minimum key length of 2048 bits and are generated using a Certificate Signing Request (CSR) that includes the public key and specific attributes (e.g., Organization, Country).
Qualified Certificate for Electronic Seal (QSealC or QSEAL):
Purpose: QSealCs provide a digital signature or “seal” on data or messages exchanged between parties, ensuring the data’s origin and integrity. They prevent tampering and offer non-repudiation, meaning the sender cannot deny having sent the message.
Use Case: QSealCs are used to sign requests or transactions (e.g., payment initiation or account information retrieval), providing evidence of the request’s authenticity. While not always mandatory, some banks or standards (e.g., Berlin Group’s NextGenPSD2) may require their use alongside QWACs.
Technical Details: QSealCs require a minimum key length of 3072 bits for higher security. They can be implemented as “soft seals” (stored digitally without hardware) or with hardware security modules (HSMs) or smart cards, depending on the provider.
Both certificate types are defined under the ETSI TS 119 495 standard, which outlines their technical specifications and ensures interoperability across the EU.
Information Contained in PSD2 Certificates
PSD2 certificates include standard fields found in digital certificates, as well as additional PSD2-specific information to meet regulatory requirements. The key details are:
Standard Certificate Fields:
Organization (O): The legal name of the PSP or entity.
Organizational Unit (OU): Optional, specifying a department or division (if applicable).
Common Name (CN): Typically the domain or identifier of the entity.
Country Code (C): The two-letter code of the entity’s home country (e.g., “DE” for Germany).
State or Province (S): The entity’s state or region (optional).
City (L): The entity’s city of operation.
PSD2-Specific Fields (in the Qualified Certificate Statement, QC Statement):
Authorization Number: A unique identifier issued by the National Competent Authority (NCA) upon registration or licensing of the PSP. This links the certificate to the official public register.
PSD2 Roles: The specific roles or entitlements of the PSP, indicating the services they are authorized to provide (detailed below).
Name of the National Competent Authority (NCA): The regulatory body overseeing the PSP (e.g., BaFin in Germany, Bank of Spain in Spain).
These fields ensure that the certificate unambiguously identifies the PSP, its authorized activities, and the supervising authority, enabling banks and other parties to verify legitimacy during transactions.
Requirements for Issuance of PSD2 Certificates
The issuance of PSD2 certificates involves strict requirements to ensure security and compliance with EU regulations. These include:
Authorization by a National Competent Authority (NCA):
Before applying for a certificate, a PSP must obtain a license or registration from its NCA (e.g., the Financial Conduct Authority in the UK, KNF in Poland). This process confirms the entity’s eligibility to operate as a PSP under PSD2.
CRR credit institutions (banks with a full banking license) do not require additional authorization and can directly apply for certificates covering all roles.
Application to a Qualified Trust Service Provider (QTSP):
Certificates must be issued by a QTSP accredited under eIDAS and listed in the EU Trusted List. Examples include DigiCert, GlobalSign, and Buypass.
The PSP submits a Certificate Signing Request (CSR) containing the public key and required attributes, generated with specified key lengths (2048 bits for QWACs, 3072 bits for QSealCs).
Identity Verification:
A natural person (e.g., an authorized signatory) must be identified to represent the PSP. This can be:
The signatory themselves for a Qualified Seal Card PSD2.
A delegated representative (subscriber’s representative) for QWACs or QSealCs, authorized via a signed request form.
Identification methods vary by country:
In Germany, PostIdent is standard.
Elsewhere, it may involve embassies, consulates, or notaries listed in the European Directory of Notaries.
Validation Against Public Registers:
The QTSP verifies the PSP’s authorization number and roles against the NCA’s public register or the European Banking Authority (EBA) register to ensure accuracy and legitimacy.
Technical Requirements:
The PSP generates and manages its own private keys, ensuring they remain secure (e.g., using an HSM for QSealCs).
Test certificates, which do not require an NCA license, are available for pre-authorization testing but follow the same technical standards.
Certificate Validity and Renewal:
QWACs are typically valid for one year, while QSealCs may vary depending on the QTSP. Changes (e.g., PSP name or roles) require revocation of the old certificate and issuance of a new one, as fields cannot be edited.
Roles Encoded in PSD2 Certificates
PSD2 recognizes four distinct roles for PSPs, which define their authorized activities within the payment ecosystem. These roles are encoded in the certificates and align with the ETSI TS 119 495 standard abbreviations:
Account Information Service Provider (AISP, PSP_AI):
Description: AISPs aggregate and provide consolidated views of a customer’s payment accounts (e.g., from multiple banks). They help with budgeting, expense tracking, and financial planning.
Function: Read-only access to account data, with customer consent.
Payment Initiation Service Provider (PISP, PSP_PI):
Description: PISPs initiate payments on behalf of customers directly from their bank accounts, acting as intermediaries between merchants and banks.
Function: Facilitates online credit transfers or direct debits, bypassing traditional card payments.
Account Servicing Payment Service Provider (ASPSP, PSP_AS):
Description: Typically traditional banks or institutions that maintain payment accounts for customers.
Function: Provides account management services and must open APIs for TPPs to access customer data or initiate payments.
Payment Service Provider Issuing Card-Based Payment Instruments (PSP_IC):
Description: Entities authorized to issue card-based payment instruments (e.g., debit or credit cards).
Function: Enables card payments as part of the payment ecosystem.
A single PSP can hold multiple roles (e.g., both AISP and PISP), and these are all encoded in the certificate’s QC Statement. Banks with a full CRR license can apply for all roles without additional authorization, while TPPs must specify their roles during NCA registration.
Conclusion
PSD2 certificates (QWACs and QSealCs) are vital tools for ensuring secure, authenticated, and interoperable electronic payments under the PSD2 framework. They identify PSPs, secure communications, and protect data integrity, relying on strict issuance processes overseen by QTSPs and NCAs. Containing detailed organizational and regulatory information, they encode one or more of the four PSP roles (AISP, PISP, ASPSP, PSP_IC), reflecting the diverse functions within the open banking landscape. This robust system supports PSD2’s goals of enhancing security, promoting competition, and protecting consumers across the EU.
EADTrust expide Certificados Cualificados PSD2 para entidades financieras y otros roles definidos en la Directiva PSD2: TPP, AISP, PISP, ASPSP. CISP
Los certificados PSD2 son certificados digitales cualificados diseñados para cumplir con la Directiva de Servicios de Pago (PSD2) de la Unión Europea. Estos certificados aseguran las transacciones financieras y la comunicación entre los proveedores de servicios de pago y las instituciones financieras.
Tipos de certificados PSD2
Existen dos tipos principales de certificados PSD2:
Autentifica el sitio web del proveedor de servicios de pago.
Cifra las comunicaciones entre el banco y el proveedor mediante conexión TLS.
Garantiza la comunicación segura en la transmisión de datos.
QSealC (Qualified eSeal Certificate):
Securiza los datos a nivel de aplicación.
Identifica de forma unívoca quién ha accedido a la API.
Protege los datos firmados contra modificaciones, asegurando su integridad.
Información contenida
Los certificados PSD2 incluyen:
Identidad del proveedor de servicios de pago.
Roles del proveedor (pueden ser uno o varios: AISP, PISP,…).
Número de autorización asignado por la Autoridad Nacional Competente.
Nombre del dominio/dominios autenticados
Requisitos para su expedición
Para obtener un certificado PSD2, se requiere:
Ser un proveedor de servicios de pago autorizado con un número de autorización asignado por la Autoridad Nacional Competente (en España, el Banco de España).
Presentar documentación:
Documento de identificación (DNI, NIE) del representante legal.
Poder que acredite la representación vigente.
Identificación de la categoría de la entidad (organización privada, entidad gubernamental, comercial o no comercial)
Pasar por un proceso de validación, similar al requerido para TLS de validación extendida (EV), que puede incluir:
Verificación cara a cara de los documentos oficiales del titular del certificado.
Confirmación de la licencia y roles del proveedor de servicios de pago por parte de la autoridad certificadora
En algunos casos, se puede requerir la intervención de un notario público para facilitar el proceso de validación
Los certificados PSD2 son cruciales para garantizar la seguridad y la confianza en las transacciones financieras digitales en el marco de la normativa europea, proporcionando autenticación, integridad y confidencialidad en las comunicaciones entre proveedores de servicios de pago, bancos y clientes.
Puede contactar con EADTrust llamando al 91 7160555 o 902 365 612.
🚨 Last chance to be first to receive the report! 🚨 Be among the first to receive exclusive insights into the European and Global Remote Signature Market—but time is running out! Before February 14th
💡 Share your perspective now in our 👉 survey: 📊 «Present and Future of the European and Global Remote Signature Market»
We’re uncovering key trends, challenges, and opportunities, with a focus on: ✅ Legal frameworks (eIDAS 2.0) ✅ Availability, integration, and adoption of remote signatures ✅ Market dynamics & customer expectations This survey is conducted by Obserwatorium.biz and Nimbus Technologieberatung GmbH for the Cloud Signature Consortium. The results will be featured in an upcoming CSC publication. ⏳ Don’t miss your chance—take the survey today!
Se está desarrollando un estudio sobre «Presente y futuro del mercado europeo y mundial de la firma remota» y los que participen en la encuestan recibirán el informe sin coste, tan pronto como se complete. Y quedan pocos días para responder a la encuesta. ¡El plazo acaba el 14 de febrero!
🚨 ¡Última oportunidad para ser de los primeros en recibir el informe! 🚨 Sea de los primeros en recibir información exclusiva sobre el mercado europeo y mundial de la firma a distancia, ¡pero se acaba el tiempo!
💡 Comparte tu perspectiva ahora en esta👉 encuesta:: 📊 «Presente y futuro del mercado europeo y mundial de la firma remota»
El estudio está descubriendo tendencias, retos y oportunidades clave, con especial atención a: ✅ Marcos jurídicos (eIDAS 2.0) ✅ Disponibilidad, integración y adopción de firmas remotas ✅ Dinámica del mercado y expectativas de los clientes
Los resultados aparecerán en una próxima publicación del Cloud Signature Consortium.
⏳ No pierda su oportunidad: ¡responda a la encuesta hoy mismo!
EADTrust es uno de los principales Prestadores de Servicios Cualificados de Confianza que emite certificados electrónicos cualificados de persona jurídicas para EPREL (QSEAL). Este artículo pretende hacer recomendaciones a sus clientes para que lo puedan gestionar más fácilmente.
EPREL (European Product Registry for Energy Labelling) es la Base de Datos Europea de Productos para el Etiquetado Energético, una plataforma creada por la Comisión Europea en la que los proveedores de productos eléctricos (fabricantes, importadores o representantes autorizados) deben registrar los productos que requieren etiquetado energético en la UE antes de comercializarlos en el mercado comunitario. Proporciona información detallada sobre los productos registrados, incluyendo datos sobre su eficiencia energética, dimensiones, volumen, garantía mínima y otras características relevantes.
Desde el 1 de enero de 2019, es obligatorio para los proveedores registrar sus productos en EPREL antes de introducirlos en el mercado de la UE, EEE (Noruega, Islandia y Liechtenstein) e Irlanda del Norte. Los fabricantes de terceros países necesitan un importador o representante legal establecido en la UE/EEE para registrar sus productos.
Para completar el registro en EPREL, los proveedores deben firmar (sellar) electrónicamente el documento de registro con un sello cualificado (QSEAL), lo que requiere un certificado electrónico cualificado de persona jurídica soportado en un dispositivo cualificado de creación de sello, según lo requerido por el Reglamento EIDAS.
Hasta abril de 2025 se pueden seguir emitiendo para #EPREL certificados cualificados de persona jurídica con números de identificación empresarial acordes con las diferentes pautas que recoge la norma ETSI TS 119 412-1 (por ejemplo, en el caso de España, el CIF).
Pero desde mayo de 2025, los certificados de persona jurídica destinados a facilitar el registro de las empresas en la base de datos #EPREL deben ser del tipo «NTR» (National Trade Register) según se describe en la citada norma TS 119 412-1.
Las empresas pueden consultar en la herramienta desplegada por la Unión Europea «European e-Justice Portal – Business registers» y obtener los datos de su empresa: «Registration number» y «Business Register ID» con los que se forma el identificador «EUID». Este EUDI es un dato requerido en el portal #EPREL y es el que debe figurar en la identificación NTR del certificado.
El identificador según la referencia del tipo de identidad para el NTR, utiliza la estructura y el orden siguientes, especificado en el Reglamento de Ejecución (UE) 2021/1042 como identificador único europeo (EUID):
el identificador del registro mercantil, para la sección u oficina concreta del registro público que haya asignado el número de registro mercantil a la persona jurídica de que se trate,
punto, «.» (U + 002E),
el número de registro mercantil asignado a la persona jurídica por el registro mercantil nacional al que se refiere el primer punto.
El código de país, que forma parte del EUID y que precede a los tres campos mencionados, así como el dígito de verificación, son opcionales
Contacte con el 917160555 o 902 365 612 si su empresa necesita gestionar etiquetas de eficiencia energética para sus productos eléctricos.
Todo es electrónico 