La identidad digital en la Unión Europea ha dejado de ser un proyecto de interoperabilidad técnica para convertirse en un mandato de soberanía ciudadana. Con la ratificación del Reglamento (UE) 2024/1183 (eIDAS 2), nos adentramos en una era donde el control de los datos personales retorna íntegramente al individuo.
Como destacó Raquel Poncela (FNMT) en el reciente evento de Veridas en Madrid titulado «Más allá del fraude: la identidad real como pilar estratégico en la era de la IA», el objetivo de la Comisión Europea es ambicioso: que el 80% de los ciudadanos utilicen una identidad digital para 2030.. En este foro, que reunió a líderes para debatir cómo la IA ha industrializado el fraude, Poncela subrayó que no estamos ante una simple «cartera de documentos», sino ante un ecosistema que redefine la interacción entre el sector privado (Banca, Seguros, Telcos) y sus clientes, eliminando las fricciones en el onboarding y blindando las transacciones contra la suplantación.
La hoja de ruta hacia la obligatoriedad
El despliegue de la European Digital Identity Wallet (EUDI Wallet) no es opcional para los grandes sectores estratégicos. La normativa establece hitos críticos que las organizaciones deben integrar en sus planes de transformación digital:
- Diciembre de 2026: El hito de la administración pública. Los Estados miembros deben poner a disposición de los ciudadanos la cartera digital gratuita. En España, la FNMT lidera el desarrollo de esta herramienta, que incluirá el PID (Personal Identification Data) como núcleo de identidad.
- Diciembre de 2027: El desafío para el sector privado. Este es el punto de inflexión regulatoria. Según establece elArtículo 5 septies (5f) de eIDAS 2, determinados proveedores privados excluyendo a microempresas y pequeñas empresas estarán obligados a aceptar la EUDI Wallet. Esta exigencia aplica a sectores estratégicos como banca, energía, telecomunicaciones, seguros, transporte, salud y educación,, siempre que exista una obligación legal o contractual de aplicar una Autenticación Reforzada de Usuario (SCA).
- Conexión con la DSA: Bajo la Ley de Servicios Digitales (DSA),, las denominadas «Very Large Online Platforms» (como Google, Meta o Amazon) también están obligadas a aceptar esta identidad, lo que estandarizará la experiencia de usuario a escala continental.
Arquitectura técnica y gobernanza: De Blockchain a PKI tradicional
Uno de los puntos más reveladores de la ponencia de la FNMT fue la evolución técnica del proyecto. Durante los últimos tres años, se exploraron consorcios basados en EBSI (European Blockchain Services Infrastructure) para una gestión descentralizada.
Sin embargo, tras las pruebas de concepto en universidades españolas, la Comisión Europea y la FNMT han pivotado hacia un modelo de PKI (Public Key Infrastructure) tradicional.
Technical Note: Este cambio no es un paso atrás, sino una apuesta por la escalabilidad y la seguridad de nivel «Alto». El modelo PKI permite una integración más fluida con los sistemas actuales del sector público y garantiza la integridad mediante el uso de HSMs (Hardware Security Modules) certificados.
El ecosistema se divide en cuatro roles críticos:
- Emisores de PID: En España, la FNMT, que emitirá la identidad vinculada al DNI mediante procesos de Onboarding digital o presencial.
- Fuentes auténticas: Entidades públicas o privadas (Catastro, Universidades, Bancos) que proveen atributos verificables (titularidad de cuenta, títulos académicos, propiedades).
- Relying Parties (Verificadores): Empresas que solicitan y verifican los datos.
- Modelo de Gobernanza: Coordinado en España por el Ministerio de Transformación Digital y Función Pública y la SEDIA, asegurando la trazabilidad y certificación de todos los actores.
Guía de implementación estratégica: De la normativa a la oportunidad
Para las organizaciones, la adopción de eIDAS 2 no debe percibirse como una carga de cumplimiento, sino como una palanca de optimización operativa. Estos son los tres pilares de la transición:
Fase I: Adecuación de la Infraestructura de Seguridad
Las empresas deben auditar sus sistemas criptográficos. Los actos de implementación de eIDAS 2 son extremadamente específicos respecto a la calidad de los HSM. Aquellas entidades que actúen como emisores de atributos cualificados deberán contar con certificaciones de seguridad de vanguardia para garantizar la integridad del sellado electrónico.
Fase II: Gestión de «Atributos en Sentido Extenso»
El verdadero valor para el negocio reside en los atributos. Raquel Poncela instó a las organizaciones a «pensar con mente amplia». Una empresa no sólo verificará quién es el usuario, sino qué tiene o qué puede hacer:
- Certificados de titularidad bancaria instantáneos.
- Pólizas de seguro vinculadas a la identidad.
- Acreditaciones profesionales para contratación B2B.
Fase III: Implementación de la Firma Electrónica Cualificada
La EUDI Wallet democratiza el uso de la firma electrónica. Las empresas podrán enviar contratos que el ciudadano firmará directamente desde su móvil con la máxima validez legal en toda la UE, reduciendo drásticamente los tiempos del ciclo de venta.
Análisis de casos de uso y mitigación del fraude
Privacidad por diseño: El fin de la sobreexposición de datos
El fraude de identidad se nutre, en gran medida, de la recolección excesiva de datos innecesarios Raquel Poncela utilizó el ejemplo del «portero de discoteca» para ilustrar el cambio de paradigma: el usuario podrá demostrar que es mayor de edad compartiendo únicamente el atributo necesario, sin revelar información sensible como su fecha exacta de nacimiento o su dirección.
Este enfoque de divulgación selectiva de atributos (Selective Disclosure) previsto en la arquitectura técnica de la EUDI Wallet mediante formatos como SD-JWT VC o ISO mdoc, reduce drásticamente la sobreexposición de datos. Para las empresas, esto se traduce en una menor superficie de ataque para ciberdelincuentes y en una reducción significativa de la responsabilidad y el volumen de información personal que deben tratar y custodiar bajo el RGPD.
Banca y seguros: KYC transfronterizo
Un ciudadano de Irlanda podrá abrir una cuenta en un banco español de forma 100% digital y en segundos, compartiendo sus datos de identificación (PID) y sus atributos financieros desde su wallet irlandesa. La validación es automática, eliminando el error humano y la manipulación de documentos físicos o digitales (fraude documental).
Telcos: Lucha contra el SIM Swapping
Al utilizar una autenticación vinculada a un dispositivo seguro y una identidad emitida por el Estado, los procesos críticos como el duplicado de tarjetas SIM contarán con una capa de seguridad biométrica y criptográfica que hace casi imposible la suplantación.
Conclusión: Del cumplimiento normativo a la ventaja competitiva
La implementación de la EUDI Wallet t 5 milliones de euros o el 1% de la facturación global, dejado de ser una opción para convertirse en una prioridad de resiliencia empresarial.
Sin embargo, el verdadero valor no reside solo en evitar la sanción. Aquellas organizaciones que primero integren el ecosistema de atributos obtendrán la experiencia de usuario más fluida, segura y privada del mercado.
En Veridas, nuestra tecnología de verificación biométrica y documental ya se está certificando bajo el nuevo estándar europeoETSI TS 119 461 v2.1.1. Esto incluye la preparación para la lectura criptográfica obligatoria (NFC) y sistemas avanzados de detección de ataques de inyección (deepfakes). Estamos listos para asegurar que la transición hacia el Nivel de Seguridad «Alto» de la cartera digital europea sea, para nuestros partners, un proceso sin fricciones y un motor de crecimiento estratégico.
