La Comisión intenta explicar la identidad digital europea: lo que aclara, lo que sigue borroso y por qué eIDAS 2.0 no va solo de wallets

La Comisión Europea ha publicado una Q&A sobre identidad digital con una misión bastante modesta y, aun así, delicada: convencer al mercado de que la futura identidad digital europea no es otro artefacto regulatorio bonito en PowerPoint y confuso en producción. El documento no cambia la ley. No crea obligaciones nuevas. Pero sí deja ver qué narrativa oficial quiere fijar Bruselas sobre eIDAS 2.0, la European Digital Identity Wallet y el reparto de papeles entre Estados, plataformas y sector privado.

Eso importa más de lo que parece. Cuando la Comisión publica preguntas y respuestas sobre una norma de este calibre, no está descubriendo América; está señalando qué aspectos teme que sigan mal entendidos. Y si uno lee entre líneas, aparece el verdadero problema: la wallet europea promete simplificar identificación, autenticación y atributos verificables en toda la UE, pero el éxito no dependerá de la promesa política, sino de cuatro fricciones muy terrenales: gobernanza, adopción, interoperabilidad y responsabilidad.

La pieza encaja en un momento regulatorio concreto. El Reglamento (UE) n.º 910/2014, más conocido como eIDAS, ya creó el marco europeo para identificación electrónica y servicios de confianza. La gran reforma llegó con el Reglamento (UE) 2024/1183, publicado en el Diario Oficial de la UE el 30 de abril de 2024, que modifica eIDAS para introducir la European Digital Identity Framework. La entrada en vigor se produjo el 20 de mayo de 2024. A partir de ahí empieza lo difícil: actos de ejecución, especificaciones técnicas, certificación, wallets nacionales y, sobre todo, casos de uso reales que no mueran en la demo.

La Q&A de la Comisión intenta ordenar ese relato. Lo hace con el tono habitual de Bruselas cuando quiere sonar tranquilizadora: el usuario tendrá más control, habrá más privacidad, los Estados emitirán wallets, el uso será voluntario, las plataformas muy grandes tendrán que aceptarlas en determinados supuestos y todo será interoperable. Sobre el papel, impecable. En operaciones, ya veremos.

Lo que sí aclara la Q&A: la wallet no es una app cualquiera ni un sistema privado con bandera europea

La primera utilidad del documento es conceptual. La Comisión insiste en que la European Digital Identity Wallet no es simplemente un mecanismo de login ni una identidad comercial empaquetada por una big tech con estética institucional. La wallet será un medio para que personas físicas y jurídicas se identifiquen, se autentiquen y compartan atributos electrónicos de forma selectiva, incluyendo documentos o certificaciones emitidos por fuentes fiables.

Ese matiz es decisivo. La ambición de eIDAS 2.0 no consiste en crear otro “iniciar sesión con…” para competir con los ecosistemas ya dominantes. Va más allá: pretende permitir un modelo de credenciales verificables en el que el usuario pueda probar solo lo necesario. Mayor de edad sin enseñar la fecha completa de nacimiento. Titular de una cuenta o de una licencia sin entregar un PDF entero. Representante autorizado de una empresa sin enviar cadenas de correos y poderes en adjunto. Si eso funciona, el cambio es profundo. Si no funciona, será otra capa regulatoria encima de procesos ya rotos.

La base jurídica de esa ambición está en la reforma de eIDAS y en varios elementos ya conocidos del reglamento original: reconocimiento transfronterizo de medios de identificación electrónica notificados, régimen para servicios de confianza cualificados y efectos jurídicos de firmas, sellos, sellos de tiempo, entrega electrónica certificada y autenticación de sitios web. Lo nuevo no sustituye ese edificio; lo reorganiza alrededor de una wallet que actúa como interfaz de uso masivo.

La Q&A también subraya algo que a menudo se simplifica demasiado: la wallet no la “crea” Bruselas, sino que deberán ofrecerla los Estados miembros, directamente o bajo mandato suyo. Esa arquitectura importa porque determina responsabilidad política, ciclos de despliegue y nivel de heterogeneidad. Traducido: habrá una marca común europea, pero la implementación real seguirá teniendo acento nacional. Quien haya sufrido integraciones paneuropeas de identidad ya sabe cómo acaba esa película cuando cada Estado interpreta “común” como “compatible en teoría”.

El verdadero giro regulatorio: de la identificación pública a la reutilización privada

El punto más relevante de fondo es este: eIDAS nació centrado en que los Estados reconocieran sistemas de identificación electrónica de otros Estados para acceder a servicios públicos. Ese fue siempre su límite político y práctico. Funcionaba razonablemente para ciertos trámites administrativos, pero no transformaba el mercado digital europeo. La reforma intenta romper esa barrera y llevar la identidad digital reutilizable al sector privado.

La Comisión lo vende como una respuesta a un problema real. Y lo es. Hoy un ciudadano europeo puede abrir cuentas, alquilar vehículos, firmar contratos o demostrar atributos de formas radicalmente distintas según el país, el proveedor y el nivel de riesgo del servicio. Hay procesos inflados por capturas de pantalla, videollamadas de KYC, copias de DNI enviadas por canales discutibles y verificaciones duplicadas hasta el absurdo. Todo eso tiene coste, fricción y riesgo de fraude.

La wallet europea busca un lenguaje común. No solo para identificarse, sino para portar “attestations” o acreditaciones electrónicas de atributos. Aquí está una de las piezas menos glamourosas y más transformadoras. Si un banco, una universidad, una autoridad pública o una empresa certificada puede emitir atributos verificables en un formato interoperable, muchas comprobaciones hoy manuales podrían pasar a ser transacciones verificables y auditables. Eso toca onboarding, AML/KYC, contratación laboral, acceso a servicios regulados, educación, telecomunicaciones, movilidad y seguros.

No es casualidad que la Q&A insista tanto en el control del usuario sobre los datos compartidos. La Comisión sabe perfectamente que el proyecto se juega parte de su legitimidad en no parecer una megaidentidad centralizada a la europea. Por eso el discurso gira en torno a minimización, selectividad y consentimiento. La ironía aquí es que Bruselas ha entendido bien el problema de percepción, pero todavía tiene que demostrar que la experiencia de usuario real será tan limpia como la promesa. Porque una cosa es compartir solo el dato mínimo en una presentación institucional y otra lograrlo en arquitecturas federadas, con múltiples emisores y verificadores, bajo presión comercial y requisitos regulatorios dispares.

Voluntaria para el ciudadano, menos voluntaria para algunos grandes servicios

Otra aclaración útil del documento es la voluntariedad. La wallet, según la arquitectura política de eIDAS 2.0, no será obligatoria para el ciudadano. Nadie debería verse forzado a usarla como única puerta de acceso a la economía digital. Esto no es un detalle decorativo: es una condición de proporcionalidad y de aceptación social.

Ahora bien, voluntario no significa irrelevante. La reforma introduce una asimetría que conviene mirar sin ingenuidad. Para ciertos proveedores de servicios, especialmente plataformas online muy grandes en el sentido del Reglamento de Servicios Digitales, la aceptación de la wallet puede convertirse en una obligación en casos concretos cuando se requiera autenticación reforzada del usuario. Ahí la Comisión está intentando construir demanda regulatoria donde teme que el mercado, por sí solo, no llegue.

Ese diseño responde a una realidad incómoda: las infraestructuras de identidad no despegan solo porque sean elegantes. Despegan cuando existe aceptación suficiente en el lado verificador. Si el usuario guarda credenciales en una wallet que casi nadie acepta, la wallet es una promesa vacía. Si grandes servicios tienen que aceptarla, la ecuación cambia. Pero también aparece la resistencia habitual: coste de integración, ajustes de riesgo, soporte, gobernanza de atributos y posibles colisiones con sistemas propietarios ya desplegados.

La Comisión intenta resolver esa tensión diciendo, en esencia, que la wallet facilitará procesos y aumentará la confianza. Puede ser cierto. También es una frase que cualquier actor de mercado ha escuchado media docena de veces en la última década. Lo que convencerá a los equipos jurídicos, de producto y de fraude no será la retórica de la confianza, sino respuestas concretas a preguntas bastante menos románticas: quién responde ante una acreditación errónea, cómo se revocan atributos a tiempo, qué nivel de assurance tiene cada credencial, cómo se registra evidencia para auditoría y qué ocurre cuando una wallet nacional funciona regular un lunes por la mañana.

Privacidad: la gran promesa de eIDAS 2.0 y el lugar donde más fácil es tropezar

La Q&A pone mucho énfasis en la privacidad, con razón. En teoría, la wallet europea debe permitir que el usuario decida qué datos comparte, con quién y para qué. Esa lógica encaja bien con principios conocidos del RGPD, especialmente minimización de datos y limitación de la finalidad del artículo 5, además de protección de datos desde el diseño y por defecto del artículo 25. También encaja con una sensibilidad política europea muy clara: diferenciar este modelo del patrón dominante de identidad digital basada en extracción masiva de datos y dependencia de plataformas privadas.

La pregunta incómoda es si el ecosistema podrá sostener esa promesa cuando entren en escena los incentivos comerciales y regulatorios. Porque la identidad digital nunca viaja sola. Va acompañada de prevención del fraude, AML, verificación de edad, scoring de riesgo, trazabilidad y requisitos probatorios. Y cada una de esas capas tiende a pedir más datos, más retención y más logs. Si no se diseñan límites serios, la “wallet que preserva privacidad” puede acabar convertida en una tubería de correlación entre servicios.

Aquí la interacción con el RGPD será decisiva. No basta con repetir que el usuario controla los datos. Habrá que definir con precisión quién es responsable del tratamiento en cada paso, cuándo hay corresponsabilidad, qué base jurídica se aplica a cada intercambio, cómo se gestiona el ejercicio de derechos y qué información debe facilitarse al usuario antes de compartir atributos. En algunos escenarios el emisor del atributo, el proveedor de la wallet y el verificador podrían tener roles distintos y obligaciones separadas. En otros, la línea será mucho menos limpia.

La Comisión ha querido dejar claro que el modelo no persigue crear un repositorio central europeo de datos personales. Bien. Era la única respuesta políticamente viable. Pero el riesgo de centralización funcional no desaparece por arte de magia. Puede no existir una base de datos única y, aun así, generarse una red altamente correlacionable si las implementaciones, los identificadores persistentes o los metadatos de transacción no se gobiernan con rigor. Ese es uno de los campos donde la letra fina técnica importará más que los eslóganes institucionales.

Por eso, cuando una entidad evalúe la wallet desde privacidad, conviene ir mucho más allá del discurso general. Hay que revisar qué datos mínimos necesita de verdad, si puede aceptar prueba de atributo en lugar de documento completo, qué registros conserva y durante cuánto tiempo, y cómo evita construir historiales de uso innecesarios. Si no se hace ese trabajo, la wallet no reducirá superficie de riesgo; solo la desplazará.

Interoperabilidad: la palabra favorita de Bruselas, el dolor de cabeza favorito de todo integrador

Si uno tuviera que elegir un único factor del que dependerá el éxito del proyecto, probablemente no sería la regulación, ni siquiera la adopción política. Sería la interoperabilidad operativa. No la de los discursos. La de verdad.

La Q&A reitera que la identidad digital europea funcionará en toda la UE. Perfecto. Ese es el objetivo mínimo. El problema es que “funcionar” puede significar cosas muy distintas. Puede significar que dos wallets reconocen el mismo estándar, pero no los mismos atributos. Puede significar que la autenticación técnica es compatible, pero que el nivel de assurance no satisface a un proveedor financiero. Puede significar que la prueba criptográfica verifica, pero que el flujo de usuario es tan torpe que nadie lo usa. Todas esas variantes son formalmente interoperables y comercialmente decepcionantes.

La Comisión no ignora ese riesgo. De ahí el peso creciente de la arquitectura común, del toolbox europeo y de los actos de ejecución previstos tras la entrada en vigor de la reforma. El trabajo técnico previo no ha sido menor. Los Estados miembros, junto con la Comisión, han desarrollado la European Digital Identity Wallet Architecture and Reference Framework, precisamente para evitar que la wallet acabe siendo 27 soluciones apenas compatibles. Aun así, el diablo sigue en detalles muy poco fotogénicos: formatos de atributos, protocolos de presentación, mecanismos de revocación, certificados, interfaces de confianza, experiencia de onboarding y validación offline u online.

Para sectores regulados, además, la interoperabilidad tiene una segunda capa: interoperabilidad jurídica. Que una credencial sea técnicamente válida no implica que baste para cumplir exigencias de KYC, onboarding remoto o firma con efectos jurídicos en todos los casos. En banca, seguros y pagos, los equipos de cumplimiento no van a aceptar alegremente una credencial solo porque “viene de la wallet europea”. Pedirán mapeo a requerimientos concretos, política de reliance, tratamiento de excepciones y evidencia auditable.

Aquí el mercado puede encontrarse con una paradoja muy europea: cuanto más sofisticada sea la infraestructura común, más tentación habrá de sobreprometer uniformidad. Y la uniformidad total no existe. Habrá casos de uso que encajen muy bien desde el inicio, como verificación de ciertos atributos o acceso a servicios públicos. Otros, especialmente los sujetos a obligaciones sectoriales densas, avanzarán más despacio. La narrativa política habla de una gran llave maestra. La realidad probablemente será una colección de llaves que abren puertas distintas según el riesgo y el país.

Qué significa esto para bancos, aseguradoras, fintech y otros servicios regulados

Aunque la Q&A no esté dirigida específicamente al sector financiero, sería un error tratarla como un asunto puramente administrativo. La identidad digital interoperable toca varios procesos críticos de entidades financieras europeas: alta de clientes, autenticación, firma electrónica, verificación de representación, intercambio documental y prevención del fraude. También afecta a la relación con terceros tecnológicos que prestan onboarding, biometría, verificación documental o servicios de confianza.

Para las entidades sujetas a DORA, el tema no es solo de experiencia digital. También es de resiliencia operativa. Si una entidad integra wallets, emisores de atributos o verificadores externos en procesos esenciales de onboarding o autenticación, entra de lleno en la gestión de riesgo de terceros TIC prevista en DORA, especialmente en el marco del capítulo V y del artículo 28 sobre gestión del riesgo asociado a proveedores terceros de servicios TIC. No basta con “habilitar” una wallet. Hay que entender dependencia, continuidad, contratos, monitorización, pruebas y escenarios de fallo.

El cruce con AML tampoco es trivial. La wallet puede facilitar identificación y prueba de atributos, pero no elimina automáticamente las obligaciones de diligencia debida del cliente. En la UE, el cumplimiento AML se basa en normativa sectorial específica y en la evaluación de riesgo de cada entidad. Una credencial verificable puede reducir fricción y fraude documental; no necesariamente sustituye todo el proceso de conocimiento del cliente. Dependerá del caso de uso, del atributo, de su emisor, del nivel de confianza y de la interpretación supervisora aplicable.

En seguros aparece otra derivada poco comentada. La wallet puede simplificar la contratación y la gestión de siniestros cuando haya que acreditar identidad, edad, titularidad o representación. Pero también puede redistribuir la responsabilidad probatoria. Si la aseguradora basa una decisión en una acreditación electrónica emitida por un tercero y esa acreditación era incorrecta o había sido revocada de forma no propagada, el problema ya no será solo técnico. Será de reclamaciones, defensa jurídica y cadena de confianza.

Para fintech y plataformas, el atractivo es evidente: menos abandono en onboarding, menos dependencia de soluciones fragmentadas por país y potencialmente menos fraude por manipulación de documentos. El coste está en la integración, la adaptación de journeys y la necesidad de convivir durante años con modelos duales. Porque nadie sensato debería esperar que las wallets sustituyan de golpe a los mecanismos existentes. Durante bastante tiempo habrá coexistencia: identificación tradicional, esquemas nacionales, wallets europeas y soluciones sectoriales propias.

La pieza que casi siempre se subestima: servicios de confianza y efectos jurídicos

Hay una tendencia bastante extendida a hablar de identidad digital como si todo girara alrededor de autenticación y acceso. Error. eIDAS siempre ha tenido un segundo pilar igual o más importante: los servicios de confianza. Y la reforma no los relega; al contrario, los integra en un esquema más ambicioso.

La Q&A ayuda indirectamente a recordar que la wallet no vive aislada de firmas electrónicas cualificadas, sellos electrónicos, validación de firma, certificados y otros mecanismos con efectos jurídicos claros. Esa conexión es una de las ventajas estructurales del enfoque europeo frente a modelos puramente comerciales de identidad. No se trata solo de saber quién eres. Se trata de poder demostrarlo de una forma que produzca consecuencias legales reconocibles en toda la UE.

Para empresas y despachos, esto importa muchísimo. Una identidad reutilizable sin un puente robusto hacia firma, representación y prueba serviría para agilizar trámites menores, pero no para digitalizar procesos de alto valor. La combinación wallet + atributos verificables + servicios de confianza es lo que puede mover de verdad contratación, poderes, mandatos, consentimientos y flujos B2B transfronterizos.

El reglamento original eIDAS ya otorgaba efectos jurídicos específicos a las firmas electrónicas, y la firma electrónica cualificada tiene un valor equiparable al de la firma manuscrita en virtud del artículo 25 del Reglamento 910/2014. La cuestión ahora es cómo se integran esas garantías en experiencias de uso que no obliguen al usuario a convertirse en experto en PKI para alquilar un coche o firmar un mandato. Ese equilibrio entre seguridad jurídica y usabilidad es una vieja batalla europea. A veces la ganan los juristas, a veces la experiencia de usuario, y con frecuencia pierde el ciudadano.

La Comisión promete simplicidad, pero el despliegue vendrá en capas y con calendarios incómodos

La Q&A cumple una función política evidente: transmitir que el proyecto está encarrilado. Y lo está, formalmente. Pero conviene recordar que la entrada en vigor del reglamento en mayo de 2024 no equivale a disponibilidad inmediata y homogénea de wallets plenamente operativas en toda la Unión.

La implementación real depende de actos de ejecución y especificaciones técnicas posteriores. Ahí se definirán detalles críticos sobre funcionalidad, certificación, seguridad e interoperabilidad. El reglamento reformado prevé, además, obligaciones temporales para los Estados miembros en relación con la puesta a disposición de wallets. En otras palabras: el marco jurídico existe, pero el mercado va a vivir una fase prolongada de construcción reglamentaria y técnica.

Eso tiene una consecuencia práctica para empresas: el peor enfoque posible es esperar a que “todo esté claro”. Cuando todo esté clarísimo, llegarás tarde a la integración seria. El segundo peor enfoque es lanzarse a integrar sin mapa de dependencias, pensando que la wallet será una pieza plug-and-play universal. No lo será. Habrá que seguir de cerca los actos de ejecución, los esquemas nacionales, la evolución del ARF y las decisiones de aceptación en plataformas y servicios regulados.

Quien ya tenga programas de identidad, onboarding digital, autenticación fuerte o servicios de confianza debería usar este periodo para algo bastante menos glamuroso y bastante más útil: revisar qué verificaciones realiza hoy, cuáles podría sustituir por atributos verificables, qué proveedores intervienen, qué evidencias se guardan y qué fricciones generan más abandono o más coste de revisión manual. Esa fotografía operativa vale más que veinte presentaciones sobre el futuro de la identidad.

Hay una tensión política que la Q&A no resuelve: soberanía europea frente a dependencia tecnológica

La identidad digital europea también es un proyecto geopolítico, aunque la Q&A lo diga con lenguaje mucho más aséptico. La UE quiere reducir dependencia de plataformas privadas no europeas en una función crítica: demostrar identidad y atributos de manera fiable. Eso explica parte de la insistencia en control del usuario, estándares comunes y aceptación paneuropea.

El problema es que la soberanía regulatoria no garantiza soberanía tecnológica. Las wallets podrán operar en dispositivos, sistemas operativos, entornos de seguridad y ecosistemas de distribución donde el poder real no siempre está en manos europeas. Esa fricción no es nueva. La hemos visto en pagos, cloud, publicidad digital y ciberseguridad. También aparecerá aquí.

Por eso la batalla de eIDAS 2.0 no se ganará solo en el Diario Oficial ni en los actos de ejecución. Se jugará en SDKs, controles de plataforma, UX móvil, certificación de componentes, integraciones de navegadores y aceptación comercial. Bruselas puede diseñar un marco impecable y aun así descubrir que la experiencia final depende de capas tecnológicas donde otros marcan el ritmo.

La Q&A, naturalmente, no entra en ese terreno con crudeza. Pero las empresas harían mal en ignorarlo. Cuando un servicio dependa de la wallet para pasos críticos, tendrá que entender no solo la norma, sino la cadena tecnológica completa: dispositivo, autenticación local, módulo seguro, proveedor de wallet, emisor de atributo, verificador y registros de evidencia. La identidad digital siempre parece abstracta hasta que falla en producción. En ese momento se vuelve muy concreta.

Qué deben hacer ahora las empresas que no quieren improvisar cuando llegue la adopción real

No hace falta montar un programa mastodóntico mañana mismo. Sí hace falta dejar de tratar eIDAS 2.0 como un proyecto exclusivamente institucional. Si tu organización opera en la UE y depende de procesos de identificación, autenticación o firma, la wallet europea ya merece seguimiento activo.

El primer paso es jurídico-operativo, no tecnológico: mapear procesos. Identifica dónde pides hoy identidad completa cuando en realidad solo necesitas un atributo. Mayoría de edad, residencia, representación, licencia, cuenta bancaria, matrícula profesional. Esa diferencia determinará si la wallet te aporta valor o solo complejidad.

Después toca revisar el encaje regulatorio de cada caso de uso. En servicios financieros, contrasta cualquier posible uso con tus obligaciones de AML/KYC, con autenticación reforzada cuando aplique, con conservación de evidencia y con gobierno de terceros TIC bajo DORA. En protección de datos, aterriza bases jurídicas, roles de tratamiento, minimización y retención. En contratación, revisa efectos jurídicos y prueba.

Solo entonces tiene sentido entrar en la capa técnica: qué estándares soportarás, qué emisores de atributos aceptarás, cómo verificarás revocación, qué harás offline, cómo registrarás la evidencia y qué nivel de fallback ofrecerás si una wallet o un servicio asociado no está disponible. Parece menos emocionante que hablar del futuro digital europeo. También es la diferencia entre adoptar una infraestructura crítica y coleccionar slides.

Hay otra decisión clave: gobernanza interna. En muchas organizaciones la identidad digital cae en tierra de nadie. Legal la considera tecnología. Tecnología la trata como compliance. Compliance la ve como experiencia de cliente. Y producto la mira como una integración más. Error clásico. La wallet europea cruza al menos cinco dominios: legal, privacidad, ciberseguridad, operaciones y negocio. Si nadie tiene mandato claro para coordinar esos frentes, la empresa llegará tarde o llegará mal.

Lo que de verdad nos dice esta Q&A

La Comisión no ha publicado esta Q&A porque el mercado necesitara otro folleto pedagógico. La ha publicado porque sabe que eIDAS 2.0 todavía se entiende de forma superficial: como una app europea, como una alternativa a los logins privados o como una imposición más de Bruselas. Ninguna de esas tres lecturas basta.

Lo que está en juego es bastante más estructural. Europa intenta construir una capa de confianza reutilizable para la economía digital, con efectos legales, aspiración transfronteriza y una promesa fuerte de control por parte del usuario. Si sale bien, reducirá fricción, fraude documental y dependencia de soluciones fragmentadas. Si sale regular, tendremos otro marco complejo cuya interoperabilidad existe más en los documentos que en la experiencia diaria.

La Q&A aclara varias cosas útiles: la wallet será un instrumento emitido u orquestado por Estados miembros, el uso por ciudadanos será voluntario, la compartición de datos debe ser selectiva y el sector privado tendrá un papel relevante en la aceptación y emisión de atributos. Lo que no resuelve es lo más difícil: quién absorberá el coste de integración, cómo se repartirán las responsabilidades cuando algo falle y cuánta uniformidad real puede lograrse entre 27 administraciones y un mercado privado que no suele abrazar estándares comunes por pura filantropía.

Aquí está el quid. eIDAS 2.0 no se juega su futuro en la teoría regulatoria. Se lo juega en la adopción verificable. En que una entidad pueda decir: he sustituido este flujo manual por esta credencial, con este nivel de assurance, esta base jurídica, este ahorro de tiempo y este riesgo residual. Hasta que esa frase no sea normal, la identidad digital europea seguirá siendo una promesa brillante rodeada de documentos muy bien maquetados.

Y, sin embargo, sería un error descartarla. Pocas veces la UE ha intentado rediseñar al mismo tiempo identidad, atributos verificables y confianza jurídica para el mercado digital. El proyecto merece atención seria precisamente porque no es solo un proyecto de identidad. Es una apuesta por quién controla la relación entre usuario, dato y prueba en Europa durante la próxima década.