Cluster · eIDAS y marco legal

Reglamento eIDAS 910/2014 explicado para empresas

El Reglamento eIDAS 910/2014 es la base legal de la firma electrónica en la UE. Esta guía explica su estructura, los servicios de confianza que regula, qué obliga directamente a empresas españolas y qué cambia con eIDAS 2.

Equipo Estipula· Especialistas en eIDAS y marco legal de firma electrónica8 min de lectura

Qué es eIDAS y por qué importa#

eIDAS son las siglas de electronic IDentification, Authentication and trust Services. El Reglamento UE 910/2014 entró en vigor el 1 de julio de 2016 y derogó la antigua Directiva 1999/93/CE.

Como reglamento europeo, aplica directamente en España sin necesidad de transposición — al contrario que las directivas, que requieren ley nacional. Esto es importante porque significa que cualquier empresa española queda obligada por eIDAS desde el día 1.

eIDAS persigue dos objetivos:

  1. Mercado único digital — que una firma electrónica emitida en Polonia sea válida en España y viceversa, sin requerir reconocimiento bilateral.
  2. Confianza — establecer un régimen estricto de prestadores cualificados (QTSP) supervisados que generen seguridad jurídica.

Estructura del Reglamento#

El reglamento consta de cinco capítulos y un total de 52 artículos + 4 anexos:

CapítuloContenidoArtículos
I. Disposiciones generalesObjeto, ámbito, definiciones1-3
II. Identificación electrónicaMarco para esquemas nacionales notificados6-12
III. Servicios de confianzaFirma electrónica, sello, sello de tiempo, entrega certificada, autenticación de sitios web13-45
IV. Documentos electrónicosValidez jurídica46
V. Disposiciones finalesComité, actos delegados, vigencia47-52

Definiciones clave (Art. 3)#

eIDAS define los conceptos centrales en su Art. 3 con redacción cuidada para neutralidad tecnológica:

  • Firma electrónica (Art. 3.10) — datos electrónicos anexos al documento usados por el firmante.
  • Firma electrónica avanzada (Art. 3.11) — firma vinculada al firmante de manera única, identificable, bajo control exclusivo del firmante, y que detecta modificaciones (cuatro requisitos del Art. 26).
  • Firma electrónica cualificada (Art. 3.12) — AES creada con un dispositivo cualificado de creación de firma (QSCD) y basada en un certificado cualificado.
  • Sello electrónico (Art. 3.25-27) — equivalente a la firma pero para personas jurídicas (empresas).
  • Sello de tiempo electrónico (Art. 3.33-34) — datos que vinculan otros datos a un instante temporal.
  • Servicio de entrega electrónica certificada (Art. 3.36) — entrega de mensajes con prueba de envío y recepción.
  • Autenticación de sitios web (Art. 3.38) — certificados que autentican un dominio (TLS/SSL cualificado).

Los tres niveles de firma electrónica#

eIDAS regula tres niveles, con eficacia jurídica distinta:

SES — Firma electrónica simple (Art. 3.10, 25.1)#

Cualquier mecanismo electrónico básico. eIDAS Art. 25.1 prohíbe denegar efectos jurídicos a una firma electrónica solo por ser electrónica — eso aplica también a la SES. Pero la fuerza probatoria es menor que AES o QES si la otra parte impugna.

Casos típicos: clic «Acepto», imagen escaneada, magic link.

AES — Firma electrónica avanzada (Art. 26)#

Firma que cumple cuatro requisitos:

  1. Vinculada al firmante de manera única.
  2. Permite identificar al firmante.
  3. Creada con datos que el firmante mantiene bajo control exclusivo.
  4. Vinculada al documento de modo que detecte cualquier modificación posterior.

Implementación: criptografía PKI (clave pública/privada). Casos típicos: contratos laborales, comerciales, consentimientos clínicos.

QES — Firma electrónica cualificada (Art. 3.12, 25.2-3, Anexo I-II)#

AES + dos requisitos adicionales:

  1. QSCD (Qualified Signature Creation Device) — dispositivo cualificado de creación de firma (DNIe, tarjeta criptográfica, HSM en la nube cualificado).
  2. Certificado cualificado emitido por QTSP cualificado (Qualified Trust Service Provider) listado en la TSL europea.

eIDAS Art. 25.2 establece que una QES tiene el mismo efecto jurídico que una firma manuscrita. Esto invierte la carga de la prueba: en caso de impugnación, el firmante debe demostrar que NO firmó (en lugar de que el receptor demuestre que sí).

Qué obliga directamente a empresas españolas#

eIDAS no obliga a las empresas a adoptar firma electrónica, pero sí establece reglas cuando la usan:

1. Reconocimiento mutuo de QES (Art. 25.3)#

Una QES emitida en cualquier Estado miembro debe reconocerse como equivalente en cualquier otro. Una empresa española no puede rechazar una QES alemana, francesa o polaca.

2. Reconocimiento entre niveles (Art. 27)#

En servicios públicos online, los Estados miembros que aceptan firmas electrónicas para un trámite no pueden rechazar firmas de nivel igual o superior emitidas en otros Estados miembros.

3. No discriminación (Art. 25.1, 35.1, 41.1, 43.1, 46)#

Ningún juez puede rechazar una firma, sello, sello de tiempo, entrega certificada o documento electrónico únicamente por ser electrónico. Su admisibilidad como prueba está garantizada.

4. Régimen QTSP (Cap. III, Sec. 3)#

Si una empresa española quiere ofrecer servicios de confianza cualificados (no si solo los usa) debe:

  • Obtener autorización del organismo de supervisión (en España, la SETSI / Ministerio).
  • Cumplir requisitos de seguridad del Anexo II + auditorías cada 24 meses.
  • Aparecer en la TSL nacional.

Esto NO afecta a empresas que solo USAN servicios cualificados — solo a las que los emiten.

5. Plazos de transición eIDAS 2 (2026-2027)#

Las empresas españolas deberán adaptarse a:

  • Cartera europea de identidad digital (EUDI) — España debe ofrecerla disponible para ciudadanos a partir de 2026.
  • Aceptación obligatoria de la EUDI Wallet por servicios públicos y plataformas designadas (banca, energía, telecos, transporte, salud) en 2027.
«No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de su carácter electrónico o de no cumplir los requisitos de la firma electrónica cualificada.»
Reglamento eIDAS 910/2014, Art. 25.1

La TSL europea: lista de QTSP confiables#

La Trusted Service List (TSL) es la lista oficial de prestadores cualificados de servicios de confianza publicada por cada Estado miembro y consolidada por la Comisión Europea.

Cualquier empresa puede consultar la TSL española para verificar si un proveedor es QTSP cualificado. Si está en la lista, los certificados que emite son válidos como QES en toda la UE.

QTSP cualificados españoles principales:

  • FNMT-RCM (Fábrica Nacional de Moneda y Timbre)
  • ANF AC
  • Camerfirma
  • Firmaprofesional
  • Validated ID
  • Uanataca
  • Signaturit (servicios cualificados)
  • Logalty

Servicios cualificados regulados por eIDAS#

Más allá de la firma, eIDAS regula otros servicios de confianza:

ServicioArtículoPara qué sirve
Sello electrónico cualificado35-40Firma de personas jurídicas (empresa firmante)
Sello de tiempo cualificado41-42Prueba criptográfica de instante temporal
Servicio de entrega electrónica certificada cualificado (QERDS)43-44Email certificado con prueba de envío y recepción
Autenticación cualificada de sitios web (QWAC)45Certificado SSL cualificado con verificación reforzada

Estipula

¿Necesitas firma compliant con eIDAS?

Estipula aplica firma electrónica AES con audit chain y se integra con QTSP cualificados (Uanataca, Signaturit, Validated ID) cuando necesitas QES.

Hablar con el equipo

eIDAS 2 — qué cambia (2024-2027)#

El Reglamento UE 2024/1183, conocido como eIDAS 2, entró en vigor el 20 de mayo de 2024. Modifica eIDAS original añadiendo:

1. Cartera europea de identidad digital (EUDI Wallet)#

Cada ciudadano UE tendrá un wallet móvil emitido por su Estado para:

  • Identificarse en servicios públicos y privados.
  • Almacenar atributos verificables (DNI, carné de conducir, título universitario, certificados profesionales).
  • Firmar electrónicamente (firmas avanzadas y cualificadas).
  • Compartir atributos selectivamente (zero-knowledge proofs).

España deberá tener su wallet operativo en 2026.

2. Aceptación obligatoria por sectores designados#

A partir de 2027, las plataformas de muy gran tamaño (VLOPs según DSA), bancos, telecos, energía, transporte, salud y educación deberán aceptar la EUDI Wallet como medio de identificación y firma.

3. Nuevos servicios cualificados#

eIDAS 2 añade al catálogo:

  • Atestación electrónica de atributos cualificada (QEAA) — credenciales verificables (ej. carné colegial).
  • Libros de registro electrónicos cualificados — alternativa cualificada a blockchain.
  • Archivado electrónico cualificado — preservación a largo plazo verificable.

4. Cambios en certificados QWAC#

Para acabar con discriminación de browsers (Mozilla, Google), eIDAS 2 obliga a Apple/Google/Mozilla a aceptar certificados QWAC en sus stores de raíz. Los browsers deben mostrar la identidad legal del titular.

Cumplimiento eIDAS para una empresa típica#

Checklist práctico para una empresa B2B española:

  1. Usa firma electrónica con audit chain — protege probatoriamente y cumple el principio de no discriminación.
  2. Para contratos críticos, usa AES (no SES) — garantiza los 4 requisitos del Art. 26.
  3. Para registros oficiales, recetas médicas, escrituras: QES con certificado de QTSP listado en TSL.
  4. Acepta firmas QES emitidas en otros Estados UE sin discriminación (Art. 25.3).
  5. Documenta retención de firmas y evidencias compatible con LTV/LTA si los documentos son a largo plazo.
  6. Audit del proveedor — exige certificado AICPA/SOC 2, ISO 27001 e idealmente ETSI EN 319 401 (requisitos generales para prestadores).

Preguntas frecuentes#

¿Es eIDAS lo mismo que la Ley 6/2020?#

No. eIDAS es un reglamento europeo directamente aplicable. La Ley 6/2020 es la norma española que complementa eIDAS para aspectos no armonizados (representación, sanciones a QTSP españoles, aspectos procesales).

¿Una empresa española está obligada a aceptar firmas QES extranjeras?#

Sí, por el principio de reconocimiento mutuo (Art. 25.3). Si rechazas una QES alemana firmada por un ciudadano alemán, vulneras eIDAS.

¿La firma manuscrita escaneada es válida según eIDAS?#

Es firma electrónica simple (SES). Tiene admisibilidad como prueba (Art. 25.1) pero baja fuerza probatoria. Para contratos serios usa AES o QES.

¿Cuándo será obligatorio aceptar la EUDI Wallet?#

A partir de mayo de 2027 para los sectores designados (banca, energía, telecos, transporte, salud, educación, plataformas muy grandes). Antes es voluntario.

¿Qué pasa con eIDAS si UK ya no es UE?#

UK adoptó eIDAS antes del Brexit. Tras la salida, UK mantiene un régimen propio (UK eIDAS) muy similar pero las firmas no se reconocen automáticamente — requiere análisis caso a caso o acuerdos bilaterales.