El eIDAS 2 y el desafío de la identidad digital para la Banca y otros sectores

Pero eso no es todo. Para configurar este nuevo Marco de Identidad Digital, el eIDAS2 trae consigo nuevos servicios de confianza como las declaraciones electrónicas de atributos, el archivo electrónico, los libros mayores electrónicos y las firmas y sellos electrónicos en la nube. Y, además, se crean nuevos artefactos que actúan de contenedores: por un lado, las carteras electrónicas de los ciudadanos (EUDIW) y, por otro, los orquestadores, que son las carteras electrónicas de las organizaciones (EUBW). Todo ello es lo que configura el nuevo Marco de Identidad Digital.

Plazos, retos de implementación y el rol del orquestador empresarial

La fecha límite que tienen los Estados miembro para poner a disposición de sus ciudadanos el conocido como Wallet Digital conforme al eIDAS2 es Navidades de 2026.

En palabras de Jose Manuel Oliva, director de Identidad Digital de KPMG en España, “el desarrollo de las carteras digitales para los ciudadanos es complejo. Prueba de ello es que, aunque ya hay Estados miembro que aseguran que llegarán con las carteras digitales de ciudadanos desplegadas en navidades de 2026, otros ya han indicado que van con retraso y no llegarán a navidades del año próximo, aunque, previsiblemente, los retrasos serán razonables para su entrega en verano de 2027”.

Un aspecto relevante es la nueva regulación de los “walllets de organización; EUBW” que actuarán como orquestadores de las empresas obligadas cuando operen en el Ecosistema EUDI con las carteras digitales de los ciudadanos, EUDIW en B2C; con otras personas jurídicas, EUBW en B2B; con las distintas Administraciones Publicas, B2A; con las Fuentes Auténticas o con los Prestadores de Servicios de Confianza (QTSP). Se acaba de publicar el 19 de noviembre el borrador del Reglamento del Parlamento y del Consejo sobre el establecimiento de los EUBW  y será una de las piezas clave para que el Ecosistema opere correctamente y se desarrolle con rapidez.

Estos orquestadores permitirán interoperar con las carteras digitales de los ciudadanos identificándoles y autenticándoles; intercambiando datos y documentos esenciales con ellos, gestionando los apoderamientos de la empresa o realizando notificaciones seguras y con validez legal con otras empresas, clientes y administraciones públicas.

El eIDAS2 y la privacidad y seguridad de los datos de los ciudadanos

Si el objetivo último del eIDAS2 es construir una identidad digital fiable, voluntaria y controlada por todos los ciudadanos de la Unión Europea, su privacidad debe estar más que garantizada. Y, en esta línea, el propio eIDAS2 establece que el Reglamento General de Protección de Datos (RGPD) aplica de forma directa. Es decir: las soluciones de identidad digital deben cumplir con todos los principios y garantías del mismo. Porque, aunque ambos marcos normativos persiguen objetivos diferentes, son complementarios: el RGPD protege los datos personales, mientras que eIDAS2 regula la identificación de las personas y la fiabilidad de los procesos, apoyándose en el RGPD como capa de protección”, comenta Cristina Kohler, Manager de Ciberseguridad, Riesgo Tecnológico y Privacidad de KPMG en España.

Con este espíritu, el eIDAS2 refuerza principios esenciales como la limitación de la finalidad, la minimización de datos y la protección desde el diseño y por defecto. Así, cualquier actividad -como la emisión de credenciales, la verificación de atributos, la autenticación o el uso de la cartera digital por parte de los usuarios- exige la implementación de medidas técnicas y organizativas que aseguren la protección de los datos y el control por parte de los titulares. Asimismo, se refuerza el control del usuario sobre el uso de su cartera, permitiéndole decidir quién accede a sus datos, en qué condiciones y, en todo caso, reportar cualquier uso fraudulento o sospechoso de serlo.

Y es que en el Ecosistema eIDAS2 intervienen diversos actores -como emisores, proveedores de carteras y relying parties– que, según sus funciones y condiciones, pueden asumir el rol de responsables o encargados del tratamiento de datos. Por ello, resulta fundamental identificar correctamente el papel de cada uno, definiendo quién actúa como responsable y quién como encargado en cada flujo operativo:

• Por regla general, los proveedores de carteras actuarán como encargados del tratamiento, dado que gestionan la cartera siguiendo las instrucciones del responsable. No obstante, es esencial verificar si se modifican las finalidades o los medios, ya que ello determinaría quién ostenta realmente la condición de responsable o si pueden llegar a figuras de corresponsabilidad.
• Y, en el caso de los encargados del tratamiento, debe evaluarse su idoneidad conforme al principio de responsabilidad proactiva establecido en el artículo 24 del RGPD, considerando que eIDAS2 exige el cumplimiento de obligaciones concretas de seguridad. Si se confirma su adecuación, será necesario formalizar un contrato conforme a lo dispuesto en el artículo 28 del RGPD, incorporando cláusulas específicas sobre seguridad criptográfica, no vinculación y periodos de conservación limitados, entre otros.

Impacto real del eIDAS2 en las entidades bancarias

Con el endurecimiento de los requisitos en términos de privacidad y seguridad de los datos, los procesos de onboarding o las autenticaciones de clientes en las entidades financieras cambian completamente. El flujo de compartición de datos se invierte. Y el banco accede a la cartera digital del cliente y le identifica de manera inmediata y sin fricción, garantizando que el cliente comparta los datos mínimos que necesita el banco de él para esa identificación y, posteriormente, para la autenticación en los accesos a las apps bancarias.

Con ello, “el funnel de contratación y onboarding, así como la gestión actualizada de la información del cliente, podrían simplificarse y generar una mejor experiencia de usuario, aunque, por el contrario, el banco deberá redefinir su modelo operativo para el uso de datos de clientes. Por ejemplo, de cara a la formalización de operaciones de crédito, el cliente compartirá aquellas declaraciones de atributos personales que se requieran para su credit file (vida laboral, nóminas, padrón, otras) sabiendo en todo momento el cliente qué ha compartido, con quién y cuándo”, comenta Álvaro Casado, socio de FS Strategy, responsable de Virtual Assets y Blockchain de KPMG en España.

Así, los retos más relevantes están en el análisis de impactos, en la capacitación de las organizaciones a eIDAS2, en el diseño e implementación de los EUBW orquestadores y en la adaptación de los procesos de identificación, autenticación, autorización y firmas a través de las carteras digitales de sus clientes. Hay que integrar a la organización en el Ecosistema, operativizando sistemas, haciendo que todo funcione y velando siempre por el cumplimiento normativo, conciliando eIDAS con RGPD y resto de normativas como DORA o NIS2.

Pero también hay oportunidades para las entidades financieras: “al cambiarse el flujo de la gestión de los datos personales de los clientes”, se pueden centrar en la sencillez y ausencia de fricciones en los procesos de identificación y autenticación de clientes, nuevos y existentes, con la consiguiente reducción del riesgo de suplantación de identidad, mayor seguridad en la autorización de pagos y reducción de riesgos de cumplimiento en su conjunto, por ejemplo, en la custodia de datos biométricos de los clientes que ahora quedan en manos de los propios clientes.

Con todo, el sector financiero será el más avanzado en la adopción del Ecosistema EUDI, no sólo porque es un sector que siempre ha estado y sigue estando orientado a la transformación digital y porque están obligados a aceptar las carteras digitales de sus clientes cuando ellos así lo requieran, sino también por los beneficios que tiene su uso en su operativa y gestión de riesgos.

Wallets y clientes: ¿será fácil su uso?

Desde la perspectiva del cliente, hay que tener en cuenta que la implementación para ellos será la que el Estado miembro determine para poder obtener su cartera digital e instalarla en su móvil. A día de hoy, está en proceso de diseño, pero en las entidades financieras que son partes confiables, relaying parties como así se les llama en el ARF, deben implementar sus orquestadores EUBW para que puedan interoperar en el Ecosistema y así consumir y emitir credenciales verificables. Estos orquestadores deben ser integrados con sus sistemas bancarios y gestionados.

Pero, lo que sí está claro es que no tendremos Ecosistema EUDI operativo si la usabilidad de las carteras digitales no es óptima. Y, aunque el nivel de adopción de los wallets se estima que puede ser elevado, todo dependerá de la sencillez de su uso y de la confianza que los ciudadanos tengan en su utilización.

Una de las principales ventajas para los clientes es que van a poder gobernar y controlar todos sus datos relacionados con su identidad desde sus dispositivos móviles. Además, van a poder obtener de manera sencilla sus credenciales verificables de identidad desde las fuentes auténticas del Ecosistema, lo que significa que, además de tener su identificación personal “PID”, podrán obtener el padrón municipal, la vida laboral, sus títulos universitarios, el carné de conducir o sus licencias de pesca o caza de manera fácil a través sus wallets. Asimismo, podrán compartir estos atributos desde su cartera digital con quienes ellos decidan, pudiendo revocarlos desde las propias carteras y siempre con el principio de minimización de datos cumpliéndose RGPD.

Europa, a la vanguardia en gestión digital de la identidad de las personas

Europa está liderando la creación de un Ecosistema de Identidades Digitales Descentralizadas que permita llevar esta identidad desde las entidades financieras, aseguradoras, telcos, utilities, plataformas en línea y demás entidades obligadas a las manos de los ciudadanos y que sean ellos quienes las gobiernen y controlen sus propios datos.

Este nuevo tablero de Identidad Digital está siendo observado desde fuera de la Unión Europea por países y regiones como: Reino Unido, Estados Unidos, Latinoamérica o la India. Este último ya ha manifestado públicamente en febrero de este año su primer ministro, Sr. Narenda Modi, junto con la presidenta de la Comisión Europea, Dª. Úrsula von der Leyen, el objetivo de interoperabilidad de las dos infraestructuras públicas digitales que, en realidad son las mayores y más avanzadas del mundo: el Aadhaar de la India y la Cartera Digital de la UE. Con ello, se pretende ofrecer servicios públicos y privados a casi 2.000 millones de ciudadanos. Esa interoperabilidad de identidades digitales reforzaría los lazos entre la UE y la India, y es el mismo objetivo que tienen el resto de los países que están analizando lo que está ocurriendo en Europa.