Identidad digital ¿interaccionan MOSIP y la Cartera IDUE (EUDI Wallet) de EIDAS2?

Deja un comentario

La Modular Open-Source Identity Platform (MOSIP), una plataforma de código abierto para sistemas de identidad nacional, que emerge como una potente herramienta para países en desarrollo y emergentes.

En este artículo veremos qué es MOSIP, cómo se conecta con el nuevo marco regulatorio europeo eIDAS 2 y la Cartera de Identidad Digital de la Unión Europea (IDUE, o European Digital Identity Wallet en inglés), y por qué esta integración podría revolucionar la identidad digital global. Además, se incluyen referencias técnicas a los repositorios de código fuente de MOSIP y de la implementación de la Cartera por Scytale Digital, destacando su naturaleza open-source y modular.

¿Qué es MOSIP?

MOSIP es una plataforma modular y de código abierto diseñada para ayudar a los estados a construir y gestionar sistemas de identidad nacional escalables, seguros y privados.

Desarrollada en 2018 por el International Institute of Information Technology Bangalore (IIIT-B) en India, inspirada en el exitoso sistema Aadhaar, MOSIP se ha convertido en un bien público digital global.

Su enfoque API-first permite la gestión del ciclo de vida de la identidad: emisión, verificación y administración.

Repositorios de Código Fuente de MOSIP

El código fuente de MOSIP está disponible en la organización de GitHub de MOSIP (https://github.com/mosip), bajo la licencia Mozilla Public License 2.0. Esta organización alberga más de 100 repositorios que cubren todos los módulos clave. Algunos de los principales incluyen:

  • mosip/mosip (https://github.com/mosip/mosip): Repositorio principal que proporciona una visión general de la estructura y enlaces a otros repos. Incluye documentación de releases, como la versión 1.2.0.1 LTS lanzada en marzo de 2024, con mejoras en servicios de autenticación y procesamiento.
  • mosip/registration (https://github.com/mosip/registration): Maneja el cliente de registro (desktop y Android) para capturar datos demográficos y biométricos. Soporta workflows personalizables y integración con ABIS (Automated Biometric Identification System).
  • mosip/registration-processor (https://github.com/mosip/registration-processor): Procesa paquetes de registro, realiza deduplicación y genera UIN (Unique Identification Number). Utiliza Apache Camel para flujos de trabajo y Vert.x para etapas escalables.
  • mosip/id-repository (https://github.com/mosip/id-repository): Almacena y gestiona identidades y credenciales, con soporte para encriptación y privacidad por diseño.
  • mosip/id-authentication (https://github.com/mosip/id-authentication): Servicios de autenticación, incluyendo validación de identidades vía APIs seguras.
  • mosip/inji (https://github.com/mosip/inji): Aplicación móvil open-source para wallets de identidad, compatible con credenciales verificables (VCs) y presentaciones (VPs), facilitando la interoperabilidad con sistemas como la IDUE.

Estos repositorios permiten a los desarrolladores derivar ampliaciones o particularizaciones, contribuir y personalizar el código. La documentación detallada está en https://github.com/mosip/documentation, con guías para setup y contribuciones.

Principales Características de MOSIP

  • Modularidad: Permite a los países personalizar flujos de trabajo con microservicios independientes, evitando dependencias de proveedores específicos (vendor-neutral).
  • Seguridad y Privacidad: Implementa «Security by Design» y «Privacy by Intent», con encriptación criptográfica, arquitectura de conocimiento cero (zero-knowledge) y acceso solo vía APIs. No almacena datos sensibles en el sistema central.
  • Interoperabilidad: Cumple con estándares abiertos como IEEE, facilitando la integración con ecosistemas globales.
  • Escalabilidad: Soporta grandes poblaciones (hasta cientos de millones de usuarios) y se ha implementado en países como Filipinas, Marruecos, Sri Lanka y Etiopía, emitiendo más de 48 millones de IDs hasta 2022.
  • Código Abierto: Licenciado bajo Mozilla Public License 2.0, fomenta contribuciones comunitarias vía GitHub y reduce costos para gobiernos.

MOSIP no es solo una tecnología; es un ecosistema que incluye módulos como pre-registro en línea, captura biométrica, deduplicación (demográfica y biométrica) y autenticación. Su neutralidad de proveedores permite elegir integradores locales, promoviendo la llamada «soberanía digital».

CaracterísticaBeneficio para GobiernosEjemplo de UsoRepositorio Relacionado
ModularidadPersonalización sin vendor lock-inIntegración con sistemas existentes como registros civiles.mosip/registration-processor
SeguridadEncriptación en tránsito y reposoPrevención de fugas de datos en biometría (huellas, iris).mosip/commons
InteroperabilidadEstándares abiertosConexión con apps móviles como Inji para wallets.mosip/inji
EscalabilidadSoporte para >1B usuariosImplementación en India-inspired pilots.mosip/id-repository

eIDAS 2: El Marco Europeo para Identidad Digital

eIDAS (electronic IDentification, Authentication and trust Services) es el Reglamento (UE) 910/2014 que desde 2016 regula la identificación electrónica y servicios de confianza en la UE, como firmas electrónicas y sellos.

Su versión 2.0, aprobada en abril de 2024 como Reglamento (UE) 2024/1183, entró en vigor el 20 de mayo de 2024 y amplió el alcance del Reglamento anterior para abordar limitaciones como la baja adopción (solo un 59% de ciudadanos europeos con acceso seguro a un sistema de gestión digital de identidad) y la falta de interoperabilidad transfronteriza.

Novedades de eIDAS 2

  • Expansión de Servicios de Confianza: Incluye firmas remotas cualificadas, archivado electrónico y sellos de transacciones, equivalentes a firmas manuscritas.
  • Interoperabilidad Obligatoria: Los IDs electrónicos notificados en un Estado miembro deben reconocerse en todos los demás.
  • Énfasis en la Privacidad: Alineado con GDPR, enfatiza control del usuario sobre datos compartidos y minimización de datos.
  • Acceso Universal: Obliga a proveedores de servicios (públicos y privados en sectores como banca y salud) a aceptar IDs digitales para 2027.

eIDAS 2 busca un Mercado Único Digital inclusivo, con énfasis en ciberseguridad (cumpliendo, por ejemplo, la Directiva NIS 2) y accesibilidad para el 100% de la población europea para 2030.

La Cartera de Identidad Digital Europea (IDUE): El Corazón de eIDAS 2

La Cartera IDUE, o European Digital Identity Wallet (EUDI Wallet), es la innovación estrella de eIDAS 2: una App móvil gratuita y voluntaria para almacenar, gestionar y compartir credenciales digitales de forma segura.

Cada Estado miembro debe ofrecer al menos una versión interoperable para las navidades de 2026, compatible con Android/iOS y funcionalidades offline/online.

Repositorios de Código Fuente de la IDUE por Scytale

Scytale Digital, como parte de los Grandes Proyectos Piloto (Large Scale Pilots – LSP) de la Comisión Europea, contribuye activamente al desarrollo open-source de la EUDI Wallet.

Su código está disponible en GitHub bajo la licencia EUPL 1.2, enfocándose en implementaciones para iOS y alineadas con el «Architecture and Reference Framework (ARF)» arquitectura a la que hemos dedicado varios artículos en este blog.

Repositorios clave incluyen:

  • scytales-com/eudi-app-ios-wallet-ui-new (https://github.com/scytales-com/eudi-app-ios-wallet-ui-new): Prototipo de la app iOS para la IDUE. Permite obtener, almacenar y presentar Person Identification Data (PID) y mobile Driving License (mDL). Soporta flujos como escaneo de QR para emisión de credenciales, verificación remota vía OpenID4VP (draft 24), y presentaciones en proximidad. Incluye integración con Wallet Kit para orquestar componentes como encriptación y autenticación biométrica.
  • Contribuciones a la organización oficial eu-digital-identity-wallet (https://github.com/eu-digital-identity-wallet), como eudi-lib-ios-wallet-kit (https://github.com/eu-digital-identity-wallet/eudi-lib-ios-wallet-kit): Biblioteca para iOS que coordina funcionalidades de wallet, incluyendo emisión de documentos (e.g., euPidDocType con SD-JWT y mso_mdoc), resolución de ofertas de credenciales (OID4VCI) y presentaciones con zero-knowledge proofs. Proporciona APIs simplificadas para apps, con soporte para Secure Enclave y políticas de credenciales de un solo uso.

Estos repositorios forman parte de la «Reference Implementation» oficial, disponible en https://github.com/eu-digital-identity-wallet, y se actualizan regularmente para cumplir con especificaciones como Presentation Exchange v2.0 y DCQL.

Scytale enfatiza pruebas con BrowserStack y contribuciones comunitarias vía CONTRIBUTING.md, recomendando no usar en entornos de producción sin validación adicional.

Funcionalidades Clave de la Cartera IDUE (EUDI Wallet)

  • Almacenamiento Selectivo: Guarda IDs nacionales, diplomas, licencias de conducir, certificados médicos o IBAN, compartiendo solo atributos necesarios (e.g., edad sin revelar nombre completo).
  • Autenticación Segura: Usa biometría, PIN o claves criptográficas; soporta firmas cualificadas gratuitas para uso no profesional.
  • Interoperabilidad: Basada en el ARF, permite uso transfronterizo sin revelar datos excesivos.
  • Control por el Usuario: Rastrea la información que se comparte y permite retirar el consentimiento para usar la información que se cedió en el pasado, en línea con e GDPR y la LOPD-GDD.

Algunos ejemplos de uso: Abrir una cuenta bancaria en otro país UE sin documentos físicos; firmar contratos remotos; acceder a servicios de salud transfronterizos.

Para las navidades de 2027, las empresas de varios sectores económicos deben aceptarla para acreditar la identidad, así como las plataformas con >45M usuarios (e.g., redes sociales).

BeneficioPara CiudadanosPara Empresas
FacilidadAcceso unificado a servicios EU.Reducción de fraudes en KYC/AML.
PrivacidadCompartir mínimo viable.Cumplimiento GDPR/eIDAS.
EficienciaMenos burocracia.Costos bajos en verificación.

Eventos Relevantes sobre MOSIP y la Cartera IDUE

La intersección entre MOSIP y la IDUE ha sido tema de discusión en varios eventos internacionales, fomentando la interoperabilidad entre sistemas de identidad globales y europeos. Estos foros destacan colaboraciones entre expertos, gobiernos y desarrolladores para alinear estándares abiertos y wallets digitales. A continuación, algunos ejemplos:

  • Seminario internacional de RENIEC en Perú (2023 y 2025): Organizado por el Registro Nacional de Identificación y Estado Civil (RENIEC) de Perú, este taller sobre identidad digital incluyó discusiones sobre la adopción de MOSIP para sistemas nacionales y su potencial integración con marcos europeos como eIDAS 2 y la IDUE. Participaron Julián Inza, experto en identidad digital, y Nagarajan Santhanam, de MOSIP, quienes compartieron experiencias en implementación de plataformas modulares y wallets interoperables. El evento enfatizó la soberanía digital en América Latina y oportunidades para conectar con la IDUE en contextos migratorios y comerciales.
  • MOSIP CONNECT 2024 (Addis Abeba, Etiopía): Celebrado en noviembre de 2024, este foro anual de MOSIP reunió a líderes globales para explorar interoperabilidad con ecosistemas europeos. Se abordó explícitamente la alineación de MOSIP con la IDUE, incluyendo sesiones sobre zero-knowledge proofs y credenciales verificables compatibles con OpenID4VP. Nagarajan Santhanam presentó avances en el módulo Inji de MOSIP, destacando su rol como puente hacia wallets como la IDUE para países en desarrollo.
  • Large Scale Pilots (LSP) Workshops de eIDAS 2 (2024-2025): Bajo la iniciativa de la Comisión Europea, estos talleres piloto (e.g., en Bruselas y virtuales) han incluido paneles sobre integración global de wallets. En sesiones de 2024, se mencionó MOSIP como modelo para identidades fundacionales en el Sur Global, con discusiones sobre cómo mapear credenciales MOSIP a la IDUE para reconocimiento transfronterizo. Contribuyentes como Scytale Digital compartieron código open-source para pruebas de interoperabilidad.

Estos eventos subrayan la creciente colaboración, con énfasis en estándares compartidos para un ecosistema inclusivo.

Conexión entre la Identidad Digital de MOSIP y la Cartera IDUE de EIDAS2:

Aunque MOSIP es global y eIDAS 2 se centra en la Unión Europea, su conexión radica en la interoperabilidad y estándares abiertos, esenciales para un mundo interconectado.

MOSIP, con su enfoque en la creación de identidades, puede servir como base para integrar Carteras de identidad, especialmente para países extracomunitarios que interactúan con Europa (e.g., comercio, migración).

Técnicamente, el módulo Inji de MOSIP (https://github.com/mosip/inji) soporta declaraciones electrónicas de atributos compatibles con OpenID4VP y SD-JWT, alineándose con las bibliotecas de Scytale para la EUDI Wallet como eudi-lib-ios-wallet-kit.

Eventos como MOSIP CONNECT 2024 han acelerado estas discusiones, promoviendo pilotos conjuntos.

Algunas posibles interacciones se planean en aspectos como

  • Interoperabilidad Técnica: MOSIP soporta estándares como OpenID Connect y protocolos biométricos que alinean con el ARF de eIDAS 2. Países que usan MOSIP (e.g., en África, Asia) podrían mapear sus IDs a la Cartera de Identidad Digital Europea para reconocimiento mutuo, facilitando flujos migratorios o comerciales. Por ejemplo, un inmigrante con ID MOSIP podría vincularse a una IDUE para servicios en Europa, usando repos como mosip/id-authentication para verificación.
  • Privacidad y Seguridad Compartidas: Ambas enfatizan zero-knowledge proofs y consentimiento; la encriptación biométrica de MOSIP complementa la biometría de la IDUE en repos como scytales-com/eudi-app-ios-wallet-ui-new.
  • Oportunidades para Países en Desarrollo: MOSIP reduce costos (cero licencia) y permite escalabilidad; integrarlo con eIDAS 2 abriría mercados en Europa. En el MOSIP CONNECT 2024 (Addis Abeba), se discutió interoperabilidad con ecosistemas de la UE, reconociendo que sistemas globales como MOSIP deben alinearse con ls Carteras IDUE para encarar convergencias futuras. Similarmente, el evento de RENIEC en Perú exploró aplicaciones regionales.
  • Desafíos: Diferencias regulatorias (eIDAS es vinculante en para los países europeos; MOSIP es voluntario) requieren puentes estandarizados. Pilotos como los Large Scale Pilots de eIDAS que se están iniciando en 2025, como We Build podrían probar integraciones con MOSIP, contribuyendo código a repositorios compartidos.

En resumen, MOSIP proporciona una infraestructura robusta para identidades nacionales de nuevo cuño (vía su GitHub), mientras eIDAS 2 y la Cartera (con contribuciones de Scytale) aseguran interoperabilidad a nivel europeo.

Juntas, podrían promover un ecosistema global inclusivo, donde un ID MOSIP en Etiopía podría validar transacciones en Alemania, impulsado por colaboraciones en eventos internacionales.

Ideas finales

MOSIP representa la un enfoque orientado a facilitar la adopción de la identidad digital en países con escasa infraestructura, por ejemplo en Asia o África, mientras eIDAS 2 y la Cartera IDUE marcan la soberanía digital en Europa en lo relativo a la identidad digital. Su conexión potencial podría facilitar el comercio y la movilidad, y fomentar principios universales de privacidad y accesibilidad.

Para gobiernos y empresas, adoptar MOSIP con un horizonte labrado por eIDAS 2 significa invertir en un futuro interoperable, según puede intuirse a la vista de sus repositorios open-source para integraciones personalizadas.

Servicios de EADTrust

Contacte con EADTrust en el +34 917160555 o info (at) eadtrust.eu si necesita entender el funcionamiento de las Carteras de Identidad. Nuestros consultores y desarrolladores también están disponibles para proyectos de gobiernos, organismos públicos y entidades multilaterales.

Nuevos borradores de actos de ejecución para el desarrollo de EIDAS2

2 respuestas

La Comisión Europea anuncia el lanzamiento de una nueva consulta pública (Have Your Say platform for public feedback) para la revisión de actos de ejecución correspondientes a un nuevo lote (el quinto) de los previstos en el Reglamento EIDAS2, respecto a los que se podrán enviar comentarios hasta el 2 de octubre de 2025.

Se trata de la versión consolidada del Reglamento (UE) nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior, tras la modificación del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, en lo que respecta al establecimiento del marco europeo de identidad digital (Reglamento eIDAS 2).

A finales de julio de 2025 publiqué un resumen de actos de ejecución para el desarrollo de EIDAS2 y de la Cartera IDUE ya publicados. otros en estado borrador y otros pendientes.

En este nuevo lote, el primero de los borradores de actos de ejecución recoge los requisitos que tienen que cumplir los Prestadores de Servicios Cualificados de Confianza según el apartado 2 del artículo 24.

El segundo, en relación con el artículo 45 undecies, recoge los requisitos aplicables a los servicios cualificados de archivo electrónico:

El tercero se refiere a los artículos 27 (firmas electrónicas en los servicios públicos) y 37 (sellos electrónicos en los servicios públicos) y establece sus formatos:

El cuarto se refiere a los certificados cualificados de autenticación de sitio web (Qualified Web Authentication Certificates) que trata el artículo 45

Y el quinto a los sistemas de archivo con garantía de orden cronológico del Artículo 45 terdecies (Requisitos aplicables a los libros mayores electrónicos cualificados):

Todavía faltan la publicación de algunos borradores más:

Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza.

Requisitos de evaluación del artículo 20:

  • a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;
  • b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;
  • c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.

Formación sobre Computación Cuántica y Criptografía Postcuántica

6 respuestas

En el marco de los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos, uno de los primeros pasos es ayudar a entender bien como la física cuántica nos lleva a la Computación Cuántica, como podemos hacer algunos programas simples con qubits y, tras entenderlos, como la superposición y el entrelazamiento cuánticos dan lugar al algoritmo de Shor que permitirá descifrar claves privadas de algoritmos como RSA y ECC.

Después ayudaremos a nuestros clientes a diagnosticar sus infraestructuras identificando en qué puntos se usa cifrado y otras técnicas criptográficas y explicando qué alternativas van apareciendo entre los algoritmos postcuánticos para reforzar los puntos débiles.

Y cuando estén listos les proporcionaremos los servicios criptográficos actualizados con los últimos algoritmos resistentes a la computación cuántica estandarizados como FIPS-203, FIPS-204, FIPS-205 y FIPS-206.

En esta fase presentamos el curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica» en Madrid, dirigido a entidades que emplean cifrado y técnicas criptográficas, con ponentes expertos y temario adaptado a la emergencia de la computación cuántica y sus riesgos para la seguridad digital.

Objetivo y Público

El curso está orientado a empleados y directivos de entidades financieras, bancarias, aseguradoras, administraciones públicas, organismos de defensa y seguridad, empresas tecnológicas, telecomunicaciones y proveedores considerados infraestructuras críticas, así como a responsables de innovación, ciberseguridad y estrategia tecnológica.

Fechas, Lugar y Participación

  • Fechas: 12 y 13 de noviembre de 2025, de 10 a 17 horas.
  • Lugar: Hotel Zenith Conde Orgaz, Madrid (presencial).
  • Participación: Incluye material didáctico, ejercicios prácticos con el IQC Kit, comidas y café.

Realización y Ponentes

  • Jorge Christen, experto en computación cuántica y profesor universitario.
  • Julián Inza, especialista en criptografía y consultor en ciberseguridad encargado de iniciativas internacionales de estandarización post-cuántica.

Temario

Día 1: Nivel introductorio

  • Historia de la física cuántica.
  • Conceptos básicos (qubits, superposición, esferas de Bloch, puertas cuánticas).
  • Uso de un ordenador cuántico con IBM(R) Composer.
  • Estado actual de tecnologías cuánticas.

Día 2: Nivel avanzado y aplicado

  • Algoritmos cuánticos relevantes (Shor, Grover, optimización).
  • Impacto de la computación cuántica en criptografía.
  • Revisión de algoritmos post-cuánticos y roadmap NIST, ETSI, UE, ENISA y CCN.

Contexto y Relevancia

2025 es el Año Internacional de la Ciencia y la Tecnología Cuánticas, con importantes avances como la primera computadora cuántica comercial de Microsoft (24 cúbits lógicos), incremento de inversión tecnológica global y esfuerzos coordinados por la UE, NIST y otros organismos para la adopción de criptografía post-cuántica ante el riesgo del “criptocalipsis”.

Roadmap Europeo

La hoja de ruta comunitaria prevé:

  • Concienciación y evaluación de riesgos (2023-2024).
  • Desarrollo de capacidades y planificación (2024-2025).
  • Implementación y pruebas (2025-2027).
  • Adopción completa y monitoreo (desde 2027).
    Prioriza sectores críticos, seguridad de la cadena de suministro, cumplimiento normativo, interoperabilidad, capacitación y campañas de sensibilización.

Precios y Descuentos

  • Precio general: 900 € + IVA.
  • Descuento del 25% (675 €) para clientes de EADTrust o referenciados. Fecha límite para descuento: 1 de noviembre de 2025.

Certificado e Inscripción

Se entrega certificado acreditativo de la formación.

Inscripción mediante formulario en la web o por correo electrónico, con protección de datos conforme a RGPD y LOPDGDD.

Requisitos y Contacto

No se requieren conocimientos previos de física, computación cuántica ni criptografía.

Información y consultas en info@eadtrust.eu o teléfono 917160555

Robustez de las claves asimétricas recomendadas por el CCN

Deja un comentario

Recientemente, el Organismo Supervisor de Prestadores Cualificados de Confianza eIDAS en España ha comunicado a los prestadores de servicios de confianza la recomendación de abandonar el uso de claves RSA de hasta 2048 bits, indicando que la fuente de la recomendación es el CCN (Centro Criptógico Nacional) a través del documento CCN-STIC 221 – Guía de Mecanismos Criptográficos autorizados por el CCN.

Sin embargo, ese documento no entra en detalles de tamaños de clave recomendados aunque indica en su página 104

Los resultados del ataque ROCA obligó a varios gobiernos europeos a revocar todos
los certificados digitales de millones de tarjetas de identificación de sus ciudadanos,
ya que tenían claves de 1024 bits y se podía suplantar la identidad de sus ciudadanos. En España se optó por la misma medida de prevención, aunque los DNIe españoles no corrían el mismo peligro que los documentos de identidad utilizados en otros países, ya que el DNIe español utiliza claves de 2048 bits.

dando a entender que un tamaño de 2048 bits en RSA es apropiado.

En realidad, las claves de los dispositivos cualificados de casi todos los países (no solo España) eran en aquel momento de 2048 bits, pero la vulnerabilidad ROCA afectaba al algoritmo de generación de claves adoptado por Infineon (que lo limitó al uso de la variante «Fast Prime») con lo que hubiera sido sencillo sustituir las claves generadas por aquellos chips con generadores externos al propio chip.

En muchos lugares (incluida España) se optó por generar claves RSA de 1952-bits en el propio chip. A tal efecto se modificó el software de los «cajeros automáticos del DNI» para actualizar los certificados (y su clave privada asociada) cuando acudieran los ciudadanos a la renovación de certificados. Para siguientes emisiones de DNIe se usaron dispositivos diferentes.

El documento del CCN que entra en más detalles sobre la criptografía es el CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad, y la versión más reciente es de mayo de 2022.

En su apartado 3 se indica:

Los mecanismos criptográficos autorizados indicados en los siguientes apartados se han clasificado en dos (2) categorías (CAT) de acuerdo con su fortaleza estimada a corto y largo plazo:

a) Recomendados (R): mecanismos que ofrecen un nivel adecuado de seguridad a largo plazo. Se considera que representan el estado del arte actual en seguridad criptográfica y que, a día de hoy, no presentan ningún riesgo de seguridad significativo. Se pueden utilizar de forma segura a largo plazo, incluso teniendo en cuenta el aumento en potencia de computación esperado en un futuro próximo. Cualquier riesgo residual, solo podrá proceder del desarrollo de ataques muy innovadores.

b) Heredado o Legacy (L): mecanismos con una implementación muy extendida a día de hoy, pero que ofrecen un nivel de seguridad aceptable solo a corto plazo. Únicamente deben utilizarse en escenarios en los que la amenaza sea baja/media y el nivel de seguridad requerido por el sistema bajo/medio (como veremos en el apartado 5) y deben ser reemplazados tan pronto como sea posible, ya que se consideran obsoletos respecto al estado del arte actual en seguridad criptográfica, y su garantía de seguridad es limitada respecto a la que ofrecen los mecanismos recomendados. Como consecuencia de ello, para estos mecanismos se define el periodo de validez hasta 2025 (31 de diciembre), salvo indicación expresa de otro periodo.

En la Tabla 3-2. Tamaño de las primitivas RSA acordadas se considera (L)egacy la criptografía RSA de hasta 2024 bits.

En la Tabla 3-4. Curvas elípticas acordadas se consideran (R)ecomendada la criptografía ECC de todos los tamaños habituales entre los que se encuentran NIST P-256 o secp256r11 y NIST P-384 o secp384r1

En la Tabla 3-8. Esquemas de Firma electrónica autorizados se consideran L los tamaños de clave RSA hasta 2024 y R los tamaños de clave RSA de más de 3072 bits. Y en las variantes ECC las de tamaños a partir de 256 bits.

En la página 50 se entra en detalle sobre la firma electrónica [MP.INFO.3] tal como se encuentra definida en el Reglamento eIDAS y según la forma en la que se debe aplicar en las Administraciones Públicas en el contexto del Esquema Nacional de Seguridad.

Para los niveles bajo y medio del ENS se admiten claves RSA (del firmante) de, al menos, 2048 bits, claves de 224-255 bits si se emplean curvas elípticas y Funciones hash SHA-256 o superior.

Sin embargo, tal como se ha visto esa posibilidad entra en la consideración de «Legacy» y se tiene que dejar de usar desde el 1 de enero de 2026.

Para el nivel alto del ENS se requiere una fortaleza mínima de 128 bits, que, según se ve en las tablas indicadas anteriormente debe ser en RSA de al menos, 3072 bits, y de más de 256 bits si se emplean curvas elípticas . Se entra en detalle en la Tabla 3-8.

En cuanto a los Sellos de Tiempo [MP.INFO.4] se consideran los requisitos para el ENS alto:

  • Se utilizarán productos certificados conforme a lo establecido en el ENS ([op.pl.5] Componentes Certificados).
  • Se emplearán «sellos cualificados de tiempo electrónicos» atendiendo a lo establecido en el Reglamento eIDAS.
  • Se utilizarán mecanismos de firma electrónica recomendados y fortaleza mínima 128 bits, es decir:
     # RSA de, al menos, 3072 bits (aunque se recomienda el uso de 4096 bits).
     # Curvas elípticas con claves de, al menos, 256 bits.
     # Funciones resumen de las incluidas en la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256. – Para los esquemas enlazados, la seguridad recae en la función resumen empleada, por tanto, se empleará cualquiera de las funciones de la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256.

Todos estos requisitos son muy difíciles de afrontar si se empiezan a considerar en el año 2025, pero EADTrust ya los tuvo en cuenta en la definición de sus jerarquías de certificación desde su creación.

Jerarquias de certificación de EADTrust.

Las jerarquías de certificación de EADTrust ya cumplen los requisitos establecidos por el CCN desde que se diseñaron y se llevó a cabo la ceremonia de generación de claves de CA en 2019, sin esperar a la fecha límite de diciembre de 2025. Se estructuran en tres niveles (Root CA, Sub-CA e Issuing CA) y combinan tecnologías RSA y ECC, posicionando a EADTrust como pionera en Europa por su uso dual. Esta estructura soporta la emisión de certificados cualificados para firma electrónica, sellos electrónicos y autenticación de sitios web, cumpliendo con los estándares de ETSI y CEN para eIDAS y garantizando alta seguridad y confianza en transacciones electrónicas. La adopción de ECC refuerza su preparación para desafíos criptográficos futuros y ha sido clave para su designación como la entidad emisora de los certificados utilizados por los organismos sanitarios españoles para emitir el pasaporte COVID-19 durante la pandemia.

Las variantes de certificados ofrecidos por EADTrust son las siguientes:

  • Autenticación y firma electrónica de personas físicas,
  • Autenticación y firma electrónica de personas físicas, con indicación de entidad en la que trabajan,
  • Autenticación y firma electrónica de representantes legales de personas jurídicas,
  • Autenticación y firma electrónica de empleados públicos,
  • Autenticación y firma electrónica de empleados públicos, en el contexto de la Administración de Justicia
  • Autenticación y sello electrónico de personas jurídicas,
  • Autenticación y sello electrónico de órganos de la administración pública,
  • Autenticación y sello electrónico de personas jurídicas sujetas a la normativa PSD2,
  • La creación de sellos de tiempo electrónicos cualificados,
  • La comprobación y validación de firmas electrónicas, sellos electrónicos, y de sellos de tiempo electrónicos,
  • La conservación de firmas electrónicas, sellos o certificados para estos servicios

Se contemplan algoritmos criptográficos de tipo RSA con tamaños de clave de 2048 bits, 4196 bits y 8192 bits y algoritmos criptográficos de tipo ECC (Criptografía de Curva Elíptica) con tamaños de clave de 256 bits y 384 bits.

Los diferentes niveles de robustez de criptografía permiten el cumplimiento de los niveles medios y altos del ENS (Esquema Nacional de Seguridad) de España, tal como se describen en el documento “Guía de Seguridad de las TIC – CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad” citado, según las necesidades de las Administraciones Públicas.

Los tamaños de clave para los certificados cualificados (a partir de los certificados de Autoridad de Certificación raíz) son:

  • RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados cualificados.
  • RSA Root CA 4096-bit key size with SHA256 digest algorithm para certificados cualificados.
  • RSA Root CA 8192-bit key size with SHA512 digest algorithm para certificados cualificados.
  • ECC Root CA P-256 with SHA256 digest algorithm para certificados cualificados.
  • ECC Root CA P-384 with SHA384 digest algorithm para certificados cualificados.
    Para certificados no cualificados
  • RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados no cualificados.

En la siguiente figura se muestra la jerarquía RSA de 4096 bits que es similar a la de 8192 bits.

En la siguiente figura se muestra la jerarquía ECC de 384 bits que es similar a la de 256 bits.

Desde principios de 2023 EADTrust ha difundido además los nuevos certificados para la provisión de servicios de sello de tiempo cualificado diferenciados por usar diferentes algoritmos criptográficos, tamaño de clave y uso o no de Dispositivo Cualificado de Creación de Sello o de Firma (DCCF, DCCS o QSCD) Algunos están especialmente diseñados para cumplir requisitos establecidos en el Esquema nacional de Seguridad (ENS) para el Nivel de Seguridad Alto.

Los campos “CommonName” de los nuevos certificados son:

CertificadoCriptografíaTamaño ClaveQCSDENS
EADT QTSU 2023 RSA 2048RSA2048NONO
EADT QTSU 2023 ENS alto RSA 3072RSA3072NOSI
EADT QTSU QSCD 2023 ENS alto RSA 4096RSA4096SISI
EADT QTSU 2023 ENS alto ECC 256ECC256NOSI
EADT QTSU QSCD 2023 ENS alto ECC 384ECC384SISI

Por compatibilidad se mantienen los sellos de tiempo basados en criptografía RSA de 2048 bits, destinados a entidades no sujetas al cumplimiento del la normativa ENS del Esquema nacional de Seguridad.

Noticeman de EADTrust: La Solución Definitiva para Notificaciones Electrónicas Certificadas, alternativa al Burofax

Deja un comentario

En un mundo cada vez más digital, los particulares, las empresas y las organizaciones necesitan herramientas que garanticen comunicaciones seguras, rápidas y con validez legal. Noticeman, el sistema de notificaciones electrónicas certificadas desarrollado por EADTrust, se presenta como una solución innovadora que combina tecnología avanzada con cumplimiento normativo.

A continuacón exploraremos las ventajas de Noticeman, su respaldo legal bajo el Reglamento eIDAS, casos de uso que demuestran su versatilidad y una comparación con el tradicional burofax para ayudarte a elegir la mejor opción para tus necesidades de comunicación fehaciente.

¿Qué es Noticeman?

Noticeman es una plataforma de correo electrónico certificado diseñada por EADTrust, un Prestador de Servicios de Confianza Digital cualificado según el Reglamento eIDAS. Este sistema permite enviar notificaciones electrónicas con garantías de integridad, autenticidad y trazabilidad, asegurando que tanto el emisor como el receptor puedan demostrar la entrega, recepción y contenido de la comunicación. A diferencia de métodos tradicionales como el burofax o el correo postal certificado, Noticeman ofrece una alternativa más rápida, eficiente y sostenible, manteniendo plena validez jurídica.

Ventajas de Noticeman

Noticeman se distingue por ofrecer una serie de ventajas clave que lo convierten en una herramienta esencial para empresas, administraciones públicas, particulares y profesionales:

  1. Validez Legal y Cumplimiento Normativo: Noticeman opera bajo el marco del Reglamento eIDAS (Reglamento (UE) Nº 910/2014), que establece estándares para servicios de confianza digital en la Unión Europea. Esto garantiza que las notificaciones enviadas a través de la plataforma son admisibles como prueba en procedimientos judiciales o arbitrales, gracias a su capacidad de dejar constancia del momento de la notificación y de su contenido.
  2. Seguridad y Trazabilidad: Utilizando criptografía de clave pública y sellos de tiempo cualificados, Noticeman asegura la identificación del emisor y del receptor, la integridad del contenido y registra los momentos exactos de envío, recepción, lectura y descarga. Además, las evidencias electrónicas generadas se custodian en la plataforma Cartulario, complementada con tecnología blockchain, lo que refuerza su autenticidad y fiabilidad.
  3. Eficiencia y Ahorro de Costos: Al eliminar la necesidad de papel, envíos postales y procesos manuales, Noticeman reduce significativamente los costos asociados a las comunicaciones certificadas. Su interfaz sencilla permite enviar notificaciones en pocos pasos, agilizando procesos que antes podían tomar días.
  4. Sostenibilidad: Al ser un sistema completamente digital, Noticeman contribuye a la reducción del consumo de papel, apoyando la sostenibilidad ambiental y ayudando a las empresas a cumplir con sus objetivos de responsabilidad social corporativa.
  5. Integración y Escalabilidad: Noticeman ofrece integración mediante servicios web, ideal para empresas con altos volúmenes de notificaciones. Sus certificaciones ISO 9001, ISO 20000-1 e ISO 27001 aseguran un servicio robusto y adaptable a las necesidades de cualquier organización.

Legislación Relevante

Noticeman se alinea con el Reglamento eIDAS (Reglamento (UE) Nº 910/2014), que regula los servicios de identificación electrónica y confianza en la Unión Europea. Este marco legal establece que las notificaciones electrónicas certificadas tienen la misma validez que las comunicaciones tradicionales en papel, siempre que cumplan con requisitos como la identificación de las partes, la integridad del contenido y la certificación de los tiempos de envío y recepción. En España, además, la Ley 39/2015 del Procedimiento Administrativo Común fomenta el uso preferente de notificaciones electrónicas en las administraciones públicas, reforzando la relevancia de herramientas como Noticeman. Estas normativas garantizan que las comunicaciones enviadas a través de Noticeman sean seguras, confiables y legalmente vinculantes.

Casos de Uso de Noticeman

Noticeman es una solución versátil que se adapta a una amplia variedad de sectores y necesidades. A continuación, presentamos algunos ejemplos prácticos:

  1. Sector Legal y Administrativo:
    • Notificaciones Judiciales y Administrativas: Noticeman permite a procuradores, y abogados enviar comunicaciones certificadas a sus clientes, dejando constancia de los pasos que dan en representación de sus intereses.
    • Perfeccionamiento de Contratos: Las empresas pueden cerrar contratos enviando una oferta y recibiendo la aceptación del destinatario, con evidencias electrónicas que certifican el consentimiento explícito.
  2. Sector Financiero y de Seguros:
    • Noticeman es ideal para enviar notificaciones certificadas sobre movimientos bancarios, renovaciones de pólizas o informes periciales. Las instituciones financieras y aseguradoras, altamente reguladas, se benefician de la trazabilidad y la capacidad de prueba ante posibles disputas.
  3. Telecomunicaciones y Servicios Públicos:
    • Las empresas de telecomunicaciones y proveedores de servicios esenciales (electricidad, agua, gas) pueden notificar a sus clientes cambios en el servicio, facturas electrónicas o cancelaciones, cumpliendo con las estrictas regulaciones del sector.
  4. Gestión Empresarial (B2B, B2C y B2E):
    • Relaciones con Proveedores y Clientes: Noticeman facilita la comunicación certificada en acuerdos comerciales, recordatorios de pagos o gestión de contratos con proveedores y clientes.
    • Gestión de Recursos Humanos: Las empresas pueden enviar nóminas, circulares internas o comunicaciones laborales (como cambios de ubicación o despidos) con garantías de recepción y sin disputas legales.
  5. Sector Educativo y Administraciones Públicas:
    • Universidades y organismos públicos utilizan Noticeman para notificar plazos, listas de admisión o resultados de procesos de selección, garantizando transparencia y cumplimiento normativo.
  6. Particulares:
    • Particulares pueden notificar circunstancias relativas al cumplimiento de convenios reguladores, circunstancias que afectan a los contratos de arrendamientos, y otras situaciones de las que deseen dejar constancia. También para Reclamaciones y quejas y para convocatorias y citaciones
    • Autores: pueden dejar constancia de la existencia de un documento (por ejemplo, para alegar la autoría o precedencia) en un momento dado.

Comparación entre Noticeman y Burofax

Tanto Noticeman como el burofax son herramientas utilizadas para enviar comunicaciones certificadas con validez legal, pero cada una tiene características que la hacen más adecuada según el contexto. A continuación, analizamos las diferencias clave, los casos en los que cada sistema es preferible y una tabla comparativa de costos.

Diferencias Clave

  • Formato y Entrega: Noticeman es un sistema completamente digital que opera a través de correo electrónico certificado, permitiendo envíos instantáneos y accesibles desde cualquier dispositivo con conexión a internet. El burofax, por su parte, es un servicio postal físico que combina correo postal con acuse de recibo, lo que implica tiempos de entrega más largos y dependencia de servicios postales.
  • Trazabilidad: Noticeman ofrece una trazabilidad completa, registrando eventos como el envío, la recepción, la apertura y la descarga del mensaje, respaldados por sellos de tiempo cualificados y tecnología blockchain. El burofax proporciona un acuse de recibo físico, pero no registra eventos intermedios ni garantiza la integridad del contenido con el mismo nivel de detalle.
  • Costos y Escalabilidad: Noticeman es significativamente más económico, especialmente para envíos masivos, y permite integraciones automáticas para empresas. El burofax tiene costos más altos debido a la logística física y no es práctico para grandes volúmenes.
  • Sostenibilidad: Noticeman es una solución sin papel, alineada con prácticas sostenibles, mientras que el burofax genera residuos físicos (papel, sobres, transporte).
  • Alcance Internacional: Noticeman permite enviar notificaciones a cualquier parte del mundo de forma instantánea, siempre que el destinatario tenga acceso a correo electrónico. El burofax, al depender de servicios postales, puede ser más lento y costoso para envíos internacionales.

Cuándo Usar Noticeman

Noticeman es la opción preferida en los siguientes casos:

  • Digitalización y Automatización: Empresas que buscan integrar notificaciones certificadas en sus sistemas (CRM, ERP) o enviar grandes volúmenes de comunicaciones.
  • Urgencia: Cuando se necesita una entrega inmediata, ya que Noticeman envía notificaciones en segundos.
  • Destinatarios Digitales: Si el destinatario está acostumbrado a comunicaciones electrónicas o prefiere recibir notificaciones por correo electrónico.
  • Sostenibilidad: Organizaciones que priorizan la reducción de su huella de carbono.
  • Costos Reducidos: Para empresas o profesionales que necesitan una solución económica sin sacrificar validez legal.

Cuándo Usar Burofax

El burofax puede ser más adecuado en los siguientes casos:

  • Requisitos Legales Específicos: En algunos procedimientos legales o administrativos en España, ciertas normativas pueden requerir explícitamente el uso de burofax físico como medio de notificación, aunque esto es cada vez menos común gracias a la aceptación de notificaciones electrónicas bajo eIDAS.
  • Destinatarios sin Acceso Digital: En casos excepcionales donde el destinatario no utiliza correo electrónico o no tiene acceso a herramientas digitales, el burofax garantiza la entrega física.
  • Preferencia por Documentos Físicos: En situaciones donde el destinatario o el emisor prefieren un documento físico como prueba tangible, aunque esto es menos relevante dado el reconocimiento legal de las evidencias electrónicas.

Tabla Comparativa de Costos

AspectoNoticemanBurofax
Costo por NotificaciónDesde 5 € por notificación (1 € comprando 100). Fichero de hasta 5MbDesde 9,9 € por notificación (1 página) + 0,9 € por cada página adicional
Costos AdicionalesSin costos adicionales. Custodia 60 meses. (integración API gratuita en planes avanzados)Con custodia de 60 meses, Prueba de Entrega Electrónica (PEE) y copia certificada 18,52 € Costes adicionales en envíos internacionales
Envíos MasivosDescuentos por volumen; integración automática para grandes cantidadesCostos proporcionales al número de envíos, sin descuentos significativos
Tiempo de EntregaInstantáneo (segundos)1-3 días laborables (nacional); más para internacional
SostenibilidadSin papel, 100% digitalConsumo de papel y transporte físico

Nota: Los costes son sin IVA

Conclusión

Noticeman de EADTrust representa un avance significativo en la gestión de notificaciones electrónicas, combinando seguridad, eficiencia y sostenibilidad con un respaldo legal sólido bajo el Reglamento eIDAS y la legislación nacional. Su comparación con el burofax muestra que, en la mayoría de los casos, Noticeman es la opción más rápida, económica y adaptable, especialmente para empresas que buscan digitalizar sus procesos. Sin embargo, el burofax sigue siendo relevante en casos específicos donde se requiera una entrega en una dirección postal.

Sea cual sea tu necesidad, Noticeman ofrece una solución moderna y confiable para llevar tus comunicaciones al siguiente nivel.

¿Listo para optimizar tus comunicaciones certificadas? Regístrate hoy en Noticeman y descubre cómo puedes ahorrar tiempo, reducir costos y garantizar la validez legal de tus notificaciones. ¡Mira los precios! Y lee las preguntas frecuentes y sus respuestas.

Certificado cualificado de persona jurídica QSEAL para EPREL. Manual para el registro de eficiencia energética

Deja un comentario

A los largo del último año se han producido algunos cambios en la normativa EPREL y en su implementación y ahora es obligatorio que en los certificados de persona jurídica conste el identificador EUID de personas jurídicas que se codifica como tipo de dato NTR.

Este ha sido uno de los retos gestionados por EADTrust, que hemos ido explicando a nuestros clientes los cambios y la forma de conectarse al registro, gestionar la identidad digital ECAS, y dar de alta a la entidad en el registro de aparatos eléctricos en el que se gestionan las etiquetas de eficiencia energética.

EADTrust es uno de los principales Prestadores de Servicios de Confianza Cualificados que emiten certificados EPREL.

La última versión del manual (disponible en el sitio web de EPREL) es del 15 de julio de 2025: European Product Registry for Energy Labelling (EPREL) – USER MANUAL FOR SUPPLIERS y recoge todas las novedades con mucho detalle. Se nota que en el Organismo han ido detectando los problemas que encuentran las entidades que desean registrar sus productos eléctricos y abundan las explicaciones y las guías para resolver la mayor parte de incidencias que puedan surgir.

He traducido a fecha de 6 de agosto de 2025 el manual (versión 1.46) al español, de modo que esta traducción se suma a otras que hice con anterioridad. Registro Europeo de Productos para el Etiquetado Energético (EPREL) – MANUAL DE USO PARA PROVEEDORES

EPREL – User Guide – Suppliers-V1-46_ESDescarga

Las empresas pueden obtener su EUID a través del buscador europeo Business Registers (del European e-Justice Portal) o el Buscador de Sociedades de los Registradores (resolviendo el acertijo de girar una imagen hasta que quede representada de un modo lógico).

Por ejemplo, en el caso de EADTrust el EUID es ES28065.080862918

Contacte con EADTrust para obtener los certificados cualificados necesarios para acceder a EPREL y registrar los productos de su empresa para la etiqueta energética. Llame al +34 91 7160555

Otros artículos anteriores sobre EPREL:

Próximos eventos «Trust Services and eID Forum» y «CA-day» en Split, Croacia el 24 y 25 de septiembre de 2025

Deja un comentario

El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).

¿A quién va dirigido?

El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.

Contenido

Entre los temas que se debatirán este año, abordaremos los siguientes

  • Normalización y certificación de la Cartera de Identidad Digital Europea
  • Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
  • Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
  • Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
  • Estrategias para promover el mercado de la identidad digital

Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.

Agenda en inglés

El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo

Inscripción

Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.

Agenda en español

11th TSF – 17th CA Day – Agenda 20250804-ESDescarga

Resumen de actos de ejecución para el desarrollo de EIDAS2 y la Cartera IDUE

1 respuesta

Se acaban de publicar 7 nuevos actos de ejecución (1566, 1567, 1568, 1569, 1570, 1571 y 1572) en relación con el Reglamento EIDAS2, y los incluyo en este artículo, en inglés y en español, junto con los que se publicaron anteriormente.

Primero, incluyo la URL del texto consolidado del Reglamento EIDAS con los cambios introducidos por el Reglamento EIDAS2.

Los Actos de ejecución (Implementing Regulation) publicados hasta la fecha son:

En inglés:

  • CIR 2024/2977 regarding PID and EAA,
  • CIR 2024/2979 regarding integrity and core functionalities,
  • CIR 2024/2980 regarding ecosystem notifications,
  • CIR 2024/2981 regarding certification of Wallet Solutions,
  • CIR 2024/2982 regarding protocols and interfaces,
  • CIR 2025/846 regarding cross border identity matching,
  • CIR 2025/847 regarding security breaches of European Digital Identity Wallets,
  • CIR 2025/848 regarding registration of Wallet Relying Parties,
  • CIR 2025/849 regarding the list of certified European Digital Identity Wallets.
  • CIR 2025/1566 regarding reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 regarding management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 regarding procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 regarding qualified electronic attestations of attributes
  • CIR 2025/1570 regarding notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 regarding formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 regarding initiation of qualified trust services

En español:

  • CIR 2024/2977 sobre DIP y DEA,
  • CIR 2024/2979 sobre integridad y funcionalidades básicas,
  • CIR 2024/2980 sobre notificaciones del ecosistema,
  • CIR 2024/2981 sobre certificación de soluciones de cartera,
  • CIR 2024/2982 sobre protocolos e interfaces,
  • CIR 2025/846 sobre la correspondencia transfronteriza de identidades,
  • CIR 2025/847 sobre las violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 sobre el registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 sobre la lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 sobre normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 sobre gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 sobre revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 sobre declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 sobre notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 sobre formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 sobre inicio de servicios de confianza cualificados

Todavía quedan borradores de actos de ejecución que no han llegado a publicarse como documentos oficiales:

Además faltan normas adicionales para dar cobertura a varios artículos del Reglamento EIDAS2

Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza.

Requisitos de evaluación del artículo 20:

  • a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;
  • b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;
  • c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.

Artículo 45. Requisitos aplicables a los certificados cualificados de autenticación de sitios web.

Artículo 45 undecies. Requisitos aplicables a los servicios cualificados de archivo electrónico,

Artículo 45 terdecies. Requisitos aplicables a los libros mayores electrónicos cualificados

O sea que todavía faltan borradores y consecuentemente los actos de ejecución correspondientes.

Desde EADTrust y Garrigues estamos haciendo un seguimiento exhaustivo de todos los requisitos legales y técnicos derivados del despliegue del Reglamento EIDAS2 y de la Cartera de Identidad Digital Europea y contamos con módulos preparados para ayudar a las entidades a aceptar la Cartera, y a cumplir otros requisitos del Reglamento.

Recordemos que antes del 24 de diciembre de 2027 deben aceptar autenticaciones y contrataciones con la Cartera las entidades de los sectores del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones.

Las entidades que necesitan conectarse como proveedores de información (declaraciones de atributos) o solicitantes de información (partes usuarias) pueden contactar con EADTrust o con Garrigues llamando al 917160555.

También existe un formulario en una pagina dedicada al desarrollo del ecosistema de la Cartera de Identidad Digital en nuestro sitio User Centric Id.

Modernización de la normativa de tasaciones: valoración de bienes inmuebles y derechos reales

Deja un comentario

La Orden ECM/599/2025, publicada en el BOE el 12 de junio de 2025, introduce modificaciones significativas a la Orden ECO/805/2003, que regula las normas de valoración de bienes inmuebles y derechos reales para finalidades financieras en España.

Estas actualizaciones buscan adaptar la normativa a las necesidades del mercado inmobiliario, fomentar la sostenibilidad, agilizar procesos de financiación y reforzar la transparencia y seguridad jurídica en las tasaciones.

A continuación, se recogen algunos efectos de esta actualización:

Firma electrónica obligatoria: se modifica el artículo 64 de la Orden ECO/805/2003 indicando «Necesariamente las firmas serán electrónicas y cumplirán la normativa vigente sobre firma electrónica correspondiendo a la entidad tasadora establecer los procedimientos que aseguren la inalterabilidad de los documentos en que se estampa».

Índice obligatorio: Los informes de tasación ahora deben incluir un índice inicial para facilitar la navegación.

Licencias urbanísticas simplificadas: La orden reconoce licencias básicas o autorizaciones administrativas previas como válidas para realizar tasaciones sin condicionantes, siempre que cumplan requisitos técnicos. Esto permite a los promotores acceder a financiación hipotecaria más rápido, reduciendo los plazos de inicio de obras y los costes asociados. Como resultado, se espera un aumento en la oferta de viviendas al facilitar la promoción inmobiliaria.

Factores medioambientales en la valoración: Se introduce un nuevo principio de sostenibilidad en el artículo 3 de la Orden ECO/805/2003, que obliga a considerar factores medioambientales (como eficiencia energética) en la tasación, siempre que sean relevantes para el mercado y técnicamente viables. Esto podría incrementar el valor de inmuebles con características sostenibles, incentivando la construcción y rehabilitación de edificios más eficientes.

Reducción del plazo de actualización de tasaciones: Para la determinación del valor contable de empresas aseguradoras y reaseguradoras, el plazo de actualización de tasaciones se reduce de 3 a 2 años, lo que implica revisiones más frecuentes y valores más acordes con el mercado.

Métodos automatizados de valoración: La orden establece un marco para el uso de métodos automatizados, conforme al Real Decreto-ley 24/2021, que será desarrollado por el Banco de España mediante circular. Esto podría agilizar las actualizaciones de valor de garantías inmobiliarias, especialmente en contextos de alta volatilidad.

Advertencias específicas: En tasaciones para garantías hipotecarias, se requiere incluir advertencias cuando exista una alta probabilidad de que el valor de tasación disminuya significativamente en un plazo de 18 meses, basándose en datos sólidos del mercado local (como ciclos pasados, volatilidad o elementos especulativos).

En resumen, la Orden ECM/599/2025 moderniza y adapta la normativa de tasación a las demandas actuales, con un enfoque en la sostenibilidad, la transparencia y la agilidad en la financiación.

Para más información contacte con EADTrust llamando al 917160555.

Participo en el IV Seminario Internacional RENIEC 2025

Deja un comentario

En vez de ir a los Sanfermines (tengo que hacer esta mención, siendo, como soy, de Pamplona) el 7 de julio viajaré a Lima (Perú) para participar en el IV Seminario Internacional RENIEC 2025, coincidiendo con la celebración del trigésimo aniversario de la fundación de RENIEC.

El Registro Nacional de Identificación y Estado Civil (RENIEC) se fundó el 12 de julio de 1995. Su creación se formalizó mediante la Ley N.º 26497, en cumplimiento de lo dispuesto por la Constitución Política del Perú de 1993, que estableció la necesidad de un organismo autónomo encargado de la identificación de las personas y la administración de los registros civiles en el país.

En mi reflexión sobre la Identidad Digital intentaré extrapolar la experiencia de la Unión Europea tras la publicación del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, como base para adoptar enfoques parecidos en otros países, siempre respetando su modelo de soberanía, de forma que la gestión futura de la identidad digital pueda llegar a ser interoperable en la provisión de servicios digitales con un enfoque transfronterizo. Y explicaré qué nuevos servicios se pueden ofrecer con Carteras Digitales como la «EUDI Wallet» o «Cartera IDUE».

El Seminario Internacional RENIEC es un evento organizado por el Registro Nacional de Identificación y Estado Civil (RENIEC) de Perú, enfocado en la identidad digital y la transformación digital de los servicios de identificación ciudadana. Su objetivo principal es promover el uso de la identidad digital como mecanismo legal, seguro y confiable para acceder a servicios electrónicos tanto del gobierno como del sector privado.

Durante el seminario se abordan temas como:

  • Importancia del derecho a la identidad y su ejercicio en entornos digitales.
  • Procesos de identificación y autenticación para servicios de gobierno y comercio electrónico.
  • Evolución de la identidad digital y su impacto en la seguridad jurídica y competitividad del país.
  • Experiencias nacionales e internacionales en gestión de identidad digital.
  • Rol del DNI electrónico (DNIe) y los certificados digitales en la provisión de servicios virtuales.

El evento está dirigido a funcionarios públicos, directivos de empresas privadas, especialistas técnicos y legales, así como a todos los interesados en la implementación de servicios electrónicos seguros y proyectos de gobierno digital. Además, el seminario sirve como un espacio de intercambio y aprendizaje con expertos internacionales, fortaleciendo conocimientos y compartiendo buenas prácticas sobre transformación digital e innovación en identificación ciudadana.

Esta será mi tercera participación después de la del 2022 y de la del 2024. Aquí están los videos de las intervenciones anteriores:

Intervención de Julián Inza en el Seminario Internacional RENIEC (Identificación para un Perú Digital) de 13 julio 2022 con la ponencia «Tecnologías de Identificación emergentes» enfatizando la idea de que la Identidad es uno de los derechos humanos y como se prevé que será la EUDI Wallet (EIDAS 2)

Intervención de Julián Inza en el Seminario Internacional RENIEC (Oportunidades de la identificación digital: impacto del DNIe para más y mejores servicios) de 16 de julio de 2024 con la ponencia «Identidad digital basada en Blockchain y su evolución hacia la Cartera de Identidad Digital Europea» enfatizando la vigencia de las 7 leyes de la identidad de Kim Cameron.