La cartera de identidad digital de la Unión Europea (el EUDI Wallet, la Cartera IDUE) lleva años circulando como concepto en reuniones, propuestas y grupos de trabajo. Ayer dejó de ser una conversación de futuro.

Lo que se puso sobre la mesa fueron pilotos en producción, modelos híbridos de infraestructura, plazos jurídicamente vinculantes y casos de uso reales para pymes.

Quiero regalarte los aprendizajes más relevantes de cada intervención y los conectamos con lo que, desde EADTrust, estamos construyendo para que las organizaciones puedan integrarse en este ecosistema sin improvisar.

Conceptos para entender el evento y la EUDI Wallet

eIDAS 2.0

El Reglamento (UE) 2024/1183, que modifica el Reglamento eIDAS original (UE) 910/2014. Establece el marco legal para la identidad digital en la Unión Europea, incluida la obligación de los Estados miembros de emitir carteras de identidad digital y la obligación del sector privado de aceptarlas a partir de diciembre de 2027.

EUDI Wallet (Cartera IDUE)

European Digital Identity Wallet. La cartera de identidad digital de la Unión Europea. Una aplicación que permite a ciudadanos y personas jurídicas acreditar su identidad y atributos digitalmente, con plena validez legal en todos los Estados miembros. En España se denomina Cartera de Identidad Digital de la UE (Cartera IDUE).

Business Wallet

Cartera digital orientada a personas jurídicas. Permite a las empresas gestionar autorizaciones, delegaciones de poderes de representación y trazabilidad probatoria en relaciones B2B y B2G. Puede implementarse de forma independiente al calendario del EUDI Wallet oficial.

PID (Personal Identity Data)

Datos de identidad personal. El conjunto de atributos mínimos que identifican de forma unívoca a una persona física o jurídica dentro del ecosistema EUDI Wallet. Equivale, en términos funcionales, al DNI electrónico dentro de la cartera digital.

EAA

Declaración electrónica de atributos. Una credencial verificable que acredita una característica concreta de su titular: titulación académica, pertenencia a un colegio profesional, poderes de representación, licencia de conducir, etc. Los 38 atributos estandarizados de DC4EU garantizan que estas declaraciones sean interoperables en toda Europa.

PKI híbrido

Modelo de infraestructura de clave pública que combina los mecanismos de certificación digital tradicionales (PKI clásica, X.509) con los nuevos esquemas de credenciales verificables (Verifiable Credentials). Es la propuesta técnica de DC4EU para garantizar la interoperabilidad sin forzar una sustitución abrupta de los sistemas existentes.

QTSP (Qualified Trust Service Provider)

Prestador Cualificado de Servicios de Confianza. Entidad supervisada por un organismo nacional de supervisión (en España, el Ministerio de Asuntos Económicos a través de la SETSI) que ofrece servicios de confianza con el máximo nivel de garantía jurídica reconocido por eIDAS. EADTrust es un QTSP.

DC4EU (Digital Credentials for Europe)

Proyecto del programa Europa Digital que trabaja en la capa de interoperabilidad del ecosistema EUDI Wallet. Agrupa a 101 organizaciones de 25 países y ha estandarizado 38 atributos electrónicos para garantizar que las credenciales emitidas en un Estado miembro sean reconocibles y verificables en cualquier otro.

EWC (EU Wallet Consortium)

Consorcio europeo formado por 88 organizaciones que ejecuta los pilotos de referencia del EUDI Wallet en los sectores de pagos, turismo y contratación pública. Sus resultados, incluido el primer pago europeo realizado con una cartera digital en producción, sirven de base para la validación técnica del ecosistema.

Emisor de atributos (trusted issuer)

Organización autorizada para emitir declaraciones electrónicas verificables sobre atributos de personas físicas o jurídicas. Por ejemplo, una universidad que emite un título académico verificable, un colegio profesional que acredita la colegiación, o un registro mercantil que confirma poderes de representación.

Verificador (relying party)

Entidad que solicita y valida atributos de una cartera digital para prestar un servicio o autorizar una transacción. Por ejemplo, una entidad financiera que verifica la identidad de un cliente, una administración pública que comprueba la habilitación de un contratista, o una empresa que valida los poderes de un representante.

Cómo empezó el evento

La jornada la abrió Albi Rodríguez, responsable de la organización del evento y de dar contexto a todo lo que vendría después.

Lo hizo de forma directa y sin ceremonias: presentó el marco general del debate, situó a los ponentes y dejó claro desde el primer momento que la jornada no era un ejercicio teórico, sino una conversación sobre decisiones reales que las organizaciones tienen que tomar ahora.

Ese tono inicial (concreto, sin grandilocuencia) fue el que marcó el resto del día.

¿En qué punto está realmente eIDAS 2.0?

La primera ponente de la jornada, Ainhoa Inza, fue directa: eIDAS 2.0 no es un borrador, no es una propuesta en consulta pública. Es legislación vigente.

Esto importa más de lo que parece. Muchas organizaciones siguen tratando el reglamento como algo que «está por venir», cuando en realidad los plazos ya están fijados en el texto legal. Diciembre de 2026 es la fecha para que los Estados miembros tengan carteras digitales operativas. Diciembre de 2027 es la fecha en que el sector privado (banca, telecomunicaciones, transporte, entre otros) estará obligado a aceptarlas.

No hay margen de espera. Y la pregunta que deberían hacerse ahora mismo los responsables de cumplimiento y los directores de tecnología de cualquier empresa relevante no es «¿cuándo nos afecta esto?», sino «¿qué rol vamos a jugar en este ecosistema y cuánto tiempo necesitamos para estar listos?».

La diferencia entre prepararse en 2026 y prepararse en 2027 no es solo de tiempo: es de influencia, de costes de integración y de capacidad para incidir en cómo se implementan los estándares.

¿Cómo está avanzando la cartera digital española?

Ángel Martín y Sancho Canela presentaron el estado de la cartera digital nacional, la implementación española del EUDI Wallet. El mensaje fue el de siempre cuando se habla de proyectos de infraestructura pública: avance pragmático en un entorno donde los actos de ejecución europeos todavía se están consolidando.

La arquitectura española se articula en cuatro pilares: la cartera como tal, los emisores de atributos, los verificadores y el registro de usuarios. Los cuatro están en movimiento. Y lo más relevante desde el punto de vista práctico es que ya hay casos de uso funcionales: identificación mediante el PID (identificador de identidad personal) y verificación de edad.

Que haya casos de uso que funcionan no es un detalle menor. Significa que las organizaciones pueden empezar a planificar su integración sobre algo real, no sobre especificaciones abstractas. La pregunta que cada empresa debería responder ya es la siguiente: ¿somos un emisor de atributos, un verificador, o ambas cosas? Esa respuesta va a definir la hoja de ruta técnica y regulatoria de los próximos dos años.

¿Hay que esperar a 2027 para tener un Business Wallet?

Esta fue, quizás, la intervención más estratégicamente relevante de la mañana. Moisés Menéndez presentó algo que muchas organizaciones no habían considerado: existe un camino independiente para el Business Wallet, desconectado del calendario de la Comisión Europea y de la sincronización entre Estados miembros.

La idea es sencilla de entender y compleja de ejecutar. Las empresas que operan en entornos B2B complejos (con cadenas de suministro largas, delegaciones de autoridad múltiples, procesos de contratación entre personas jurídicas) no pueden esperar a que el ecosistema europeo madure. Necesitan ya una forma de gestionar autorizaciones, delegaciones y trazabilidad con validez legal.

El Business Wallet independiente es, en términos prácticos, un organigrama digital con validez jurídica: una estructura que permite saber quién puede hacer qué, con qué nivel de autorización y con qué trazabilidad probatoria. No depende de que los Estados miembros estén sincronizados. No depende de que los actos de ejecución europeos estén todos publicados. Puede funcionar ya.

Para las empresas que no pueden esperar (y hay muchas), este enfoque cambia completamente el planteamiento de la integración.

¿Está funcionando ya la cartera europea en producción?

Ivan Basart, en representación del EWC (EU Digital Identity Wallet Consortium), aportó los datos más concretos de la jornada. El consorcio agrupa a 88 organizaciones y está ejecutando tres pilotos reales, no simulaciones de laboratorio.

El dato que más llamó la atención: el primer pago europeo realizado con una cartera digital ya está en producción. No en fase de prueba, no en entorno controlado. En producción.

Los tres pilotos se centran en tres sectores: turismo, contratación pública y pagos. Son tres ámbitos con un denominador común: implican transacciones entre personas o entidades que necesitan verificar identidad, autoridad y atributos de forma confiable. El hecho de que estén funcionando en producción es la mejor señal posible de que el ecosistema no es una promesa: es una realidad en construcción.

Para las organizaciones que todavía se preguntan si «esto va a llegar de verdad», la respuesta ya está en los datos.

¿Cómo se garantiza que todo esto funcione entre países?

Nacho Alamillo y Lluis Alfons Ariño presentaron DC4EU, el proyecto que trabaja en la capa de interoperabilidad del ecosistema. Si los pilotos del EWC demuestran que la cartera funciona, DC4EU trabaja para que funcione igual en Berlín, Lisboa, Varsovia o Madrid.

Los números ilustran la escala del proyecto: 101 organizaciones, 25 países, 38 atributos estandarizados (los llamados EAA, Electronic Attestation of Attributes). La propuesta técnica central es un modelo PKI híbrido que integra la infraestructura de clave pública tradicional con los nuevos mecanismos de credenciales verificables. No es una sustitución: es una coexistencia diseñada para que la transición sea viable para las organizaciones que ya tienen sistemas en producción.

Los 38 atributos estandarizados son el elemento más práctico de todo esto. Significan que cuando una empresa española emite una credencial verificable, una contraparte holandesa puede leerla, validarla y actuar sobre ella sin ambigüedad. La interoperabilidad no es un objetivo filosófico; es la condición sine qua non para que el mercado único digital funcione.

¿Y las pymes? ¿Esto también va con ellas?

Raquel Garay presentó el caso de WEBUILD, que ha desarrollado un Business Wallet específicamente orientado a pymes. La intervención fue importante porque rompió uno de los prejuicios más extendidos sobre la identidad digital: que es un asunto de grandes corporaciones con equipos técnicos propios.

Las pymes también necesitan acreditar identidad y autoridad en sus relaciones con otras empresas y con la administración. Un contrato B2B, una licitación pública, una operación de financiación: en todos estos contextos, la pregunta «¿eres quien dices ser y tienes autoridad para hacer lo que estás haciendo?» necesita una respuesta confiable, rápida y sin intermediarios.

El Business Wallet para pymes es, en esencia, la misma idea que para las grandes corporaciones, pero con una capa de accesibilidad que hace que la integración sea viable sin necesidad de un departamento técnico de veinte personas. Para las pymes que quieren competir en el mercado digital europeo, esto no es una opción: es infraestructura básica.

¿Es el EUDI Wallet un producto o algo más grande?

Lucas Carmona fue el encargado de dar perspectiva estratégica a todo lo anterior. Su mensaje fue claro: el ecosistema de identidad digital europea no es un producto que se compra o se instala. Es una infraestructura que se construye, y esa construcción lleva entre tres y cinco años.

La metáfora es útil: nadie espera a que la autopista esté terminada para decidir dónde poner su empresa. Las organizaciones que entienden esto se posicionan ahora, mientras la infraestructura se construye, porque ese posicionamiento temprano tiene un valor que no se recupera después.

Esperar tiene un coste. No en términos de multa o de incumplimiento regulatorio inmediato, sino en términos de influencia sobre los estándares, de costes de integración más altos cuando el ecosistema ya esté maduro y de oportunidades de negocio que habrán capturado otros.

¿Por qué la certificación es la pieza que lo sostiene todo?

Julián Inza cerró la jornada con una reflexión que, en cierto modo, era la más importante de todas. Todo lo anterior (pilotos, interoperabilidad, Business Wallets, infraestructura) tiene valor jurídico y operativo porque hay detrás un sistema de certificación que lo respalda.

La certificación no es burocracia. Es la garantía de que los organismos, los procesos y los estándares que sostienen la cartera digital han sido verificados por entidades independientes y reconocidas. Sin certificación, una cartera digital es una aplicación. Con certificación, es un instrumento con validez legal ante terceros, ante tribunales y ante la administración.

Para EADTrust, como prestador cualificado de servicios de confianza, este punto no es ajeno: es el centro de lo que hacemos. La confianza irrefutable no se declara; se certifica.

¿Cuál es el siguiente paso para tu empresa?

La jornada de ayer dejó una conclusión muy concreta: el ecosistema de la cartera de identidad digital europea ya no es una conversación de futuro. Es una realidad en construcción, con plazos jurídicos, con pilotos en producción y con modelos técnicos que ya están funcionando.

La pregunta que queda es la más difícil: ¿qué hace tu organización ahora?

Desde EADTrust, en colaboración con entidades de perfil técnico y jurídico especializadas en servicios de confianza digital, estamos construyendo el Directorio de Partes Informadas e Informantes para la Cartera de Identidad Digital de la UE. Un directorio que conecta a organizaciones que quieren integrarse en el ecosistema (como emisoras de atributos o como verificadoras) con los protocolos de comunicación, la información técnica y el acompañamiento regulatorio necesarios para hacerlo bien.

No se trata de correr. Se trata de no llegar tarde.

Si tu organización quiere estar informada sobre los cambios que vienen y cómo integrarse con la Cartera IDUE, el primer paso es este:

👉 Accede al directorio y deja tus datos de contacto

Preguntas frecuentes (Faq) sobre la EUDI Wallet

Conclusión

Hubo nueve ponentes ayer, nueve perspectivas distintas, y sin embargo todas apuntaban al mismo sitio: el ecosistema de identidad digital europea no es una apuesta de futuro, es una obra en curso con fechas en el calendario y transacciones reales en producción. eIDAS 2.0 ya es ley. Los pilotos ya están funcionando. La infraestructura se está tendiendo ahora mismo, como cables bajo el asfalto que nadie ve pero que, cuando estén listos, cambiarán cómo circula la confianza entre empresas, ciudadanos y administraciones en toda Europa.

Lo que también quedó claro es que no todas las organizaciones juegan el mismo partido. Algunas tendrán que ser emisoras de atributos; otras, verificadoras; muchas, ambas cosas. Algunas podrán esperar a que el ecosistema europeo madure; otras (las que operan en entornos B2B complejos) ya tienen a su disposición un camino independiente que no depende de Bruselas ni de la sincronización de veintisiete países.

Y luego está la pregunta que Julián Inza dejó al final de la jornada: ¿quién certifica que todo esto es lo que dice ser? Esa pregunta no es un detalle técnico. Es la pregunta que da sentido a todo lo demás. Porque una cartera digital sin certificación es solo una aplicación. Con certificación, es un instrumento de confianza. Y la confianza, como bien saben quienes llevan años construyéndola, no se declara. Se fabrica.

---

---

También te puede interesar…