La Cartera Europea de Identidad Digital: Desarrollos recientes y planes futuros

La Cartera de Identidad Digital de la UE es una aplicación para teléfonos inteligentes emitida o reconocida por un Estado miembro de la UE en virtud del Reglamento de la Cartera de Identidad Digital de la UE. Es una cartera de identidad respaldada por el Estado que le permite a una persona identificarse, recibir credenciales oficiales y presentarlas a servicios en línea y fuera de línea de una manera muy controlada.

En este modelo, organizaciones altamente confiables como registros de población, autoridades de licencias de conducir, universidades, instituciones de seguridad social, aseguradoras de salud y, en algunos casos, bancos o servicios de confianza cualificados emiten credenciales digitales. La Cartera EUDI luego almacena estas credenciales en el dispositivo del usuario.

Por otro lado, las partes usuarias (portales tributarios, portales municipales, empresas de alquiler de automóviles, comerciantes en línea, operadores de telecomunicaciones, bancos) solicitan pruebas a la cartera cuando una persona desea acceder a sus servicios digitales o abrir cuentas bancarias.

La cartera actúa como el centro orientado al usuario que conecta todos estos roles dentro del ecosistema más amplio de identidad digital de la UE.

En los textos jurídicos y técnicos, una Cartera Europea de Identidad Digital debe al menos admitir:

• Una credencial de identidad digital (PID) que, en la práctica, tenga el mismo efecto jurídico que una tarjeta nacional de identidad para uso en línea.

• Una licencia de conducir móvil (mDL), incluidas las categorías y restricciones.

• Credenciales para inicio de sesión e identificación electrónica sólida para portales públicos y privados.

• Recetas electrónicas e identificadores de salud (vinculados a los sistemas de receta electrónica y salud electrónica).

• Diplomas, constancias de inscripción, licencias profesionales y certificados.

• Documentos de seguridad social como datos de la EHIC o formularios relacionados con el trabajo (por ejemplo, PD A1).

• Atributos relevantes para la vida diaria, como IBAN de cuentas bancarias o comprobantes de funciones profesionales.

Las credenciales relacionadas con viajes, como credenciales digitales de viaje y boletos de transporte, aún no son obligatorias en el propio reglamento, pero se están probando activamente en el piloto EWC y proyectos relacionados, y son citadas repetidamente por la Comisión Europea como un caso de uso clave para las carteras de identidad digital de la UE.

El Reglamento de la Cartera de Identidad Digital de la UE modifica el marco eIDAS anterior sobre identificación electrónica y servicios de confianza. Exige que cada Estado miembro proporcione al menos una Cartera EUDI certificada y que acepte esa cartera para inicio de sesión con alto nivel de garantía en banca, telecomunicaciones y servicios públicos clave dentro de un plazo fijo.

Para evitar 27 infraestructuras diferentes, la Comisión Europea y los Estados miembros han acordado una Caja de Herramientas Común. La pieza clave es el Marco de Arquitectura y Referencia, a menudo abreviado como ARF. Ese marco:

• Describe la arquitectura del ecosistema de la Cartera EUDI, incluidos los roles, los flujos de datos y los requisitos de seguridad.

• Se vincula directamente con el texto del Reglamento de Identidad Digital de la UE y sus actos de ejecución.

• Perfila estándares y protocolos existentes, como OpenID para la emisión y presentación de credenciales verificables.

Además, existe una implementación de referencia con código abierto para:

• Aplicaciones de cartera para iOS y Android.

• Servicios de emisores y verificadores.

• Bibliotecas auxiliares para funciones como SD-JWT y flujos de firma mediados por la cartera.

A finales de 2025, se actualizan con frecuencia a medida que entran en vigor nuevos actos sobre temas como la certificación de la cartera, la correspondencia de identidad transfronteriza y la gestión de incidentes.

Una Cartera Europea de Identidad Digital solo puede funcionar si otras partes confían en la identidad que contiene.

En primer lugar, el titular debe estar vinculado a una persona real de manera fiable. En segundo lugar, cada credencial dentro de la cartera debe ser verificablemente auténtica y no haber sido alterada cuando se presenta. Para estos fines, EUDI sigue un esquema sólido de tres partes, que ahora se considera estándar para las soluciones de identidad digital:

• Un emisor que crea y firma credenciales.

• Un titular que las almacena en una cartera digital.

• Un verificador que comprueba esas credenciales cuando es necesario.

Un emisor es cualquier parte confiable que afirma algo sobre el titular. En un contexto gubernamental, esto podría ser:

• Un ministerio o registro de población que emite una identificación digital.

• Una autoridad de licencias de conducir que emite una licencia de conducir móvil.

• Una universidad que emite un diploma o una credencial de inscripción.

El emisor crea una credencial con declaraciones sobre el sujeto (nombre, fecha de nacimiento, categorías de licencia, detalles del título) y la firma con su clave privada. La credencial también incluye datos que permiten a otros vincularla con el emisor; por ejemplo, un identificador y claves públicas publicadas en un registro o servicio de metadatos.

Una vez firmada, la credencial se entrega al titular. El emisor no necesita ver dónde se utiliza posteriormente, lo que constituye una gran diferencia en términos de privacidad en comparación con las consultas en bases de datos en tiempo real.

El titular es la persona u organización a la que se refiere la credencial. Conserva sus credenciales en una cartera de identidad digital, normalmente una aplicación segura en un teléfono inteligente.

Para el titular, esta cartera de identidad digital es tanto un almacenamiento como un panel de control. Usted puede:

• Ver qué credenciales tiene.

• Decidir cuáles presentar y a quién.

• En configuraciones más avanzadas, elegir compartir solo atributos seleccionados y no la credencial completa.

Debido a que la cartera está vinculada a claves bajo el control del titular, también puede demostrar que la persona que presenta una credencial es el sujeto legítimo y no alguien que simplemente copió un archivo.

El verificador es cualquier parte que necesita comprobar algo sobre el titular: un banco que abre una nueva cuenta, un operador de telecomunicaciones que verifica el registro de una SIM, una plataforma que comprueba la edad, una autoridad pública que concede acceso a un servicio, etc.

En este modelo, el verificador no consulta la base de datos del emisor cada vez. En su lugar:

1. Solicita una credencial o un subconjunto de sus datos desde la cartera del titular.

2. Verifica la firma digital de esa credencial frente a la clave pública del emisor.

3. Comprueba datos de estado como la expiración y la revocación.

4. Aplica sus propias reglas de negocio para decidir si lo que observa es suficiente para la acción en cuestión.

La confianza proviene de la criptografía y de registros controlados de emisores y claves, y no de consultas en bases de datos en tiempo real.

A finales de 2025, los principales actos jurídicos están en vigor: el Marco de Arquitectura y Referencia ha alcanzado varias versiones estables. Sin embargo, la implementación real no avanza con la rapidez esperada, principalmente debido al escepticismo de muchas de las partes involucradas.

Las razones del escepticismo son numerosas: complejidad técnica, financiación y riesgos, entre otras. Y aunque los documentos oficiales profundizan ampliamente en los protocolos y la supervisión, dicen poco sobre quién paga la construcción, el alojamiento y el mantenimiento de las carteras, o cómo se cobrará a emisores y partes usuarias en el uso diario.

Los actos de ejecución adoptados en 2024 y 2025 abarcan temas como:

• Protocolos e interfaces para las interacciones con la cartera.

• Certificación y registro de soluciones de cartera.

• Registro de partes usuarias de la cartera.

• Correspondencia transfronteriza de identidades.

• Gestión de brechas de seguridad que afecten a las Carteras Europeas de Identidad Digital.

• Normas para atestaciones electrónicas de atributos y certificados cualificados.

Los documentos del ARF hacen referencia a estos actos y traducen términos jurídicos como “solución de cartera”, “fuente auténtica” o “atestación cualificada” en requisitos a nivel de componentes. La misma documentación hace referencia a organismos de normalización y perfiles, de modo que los implementadores puedan alinearse en un conjunto común de bloques técnicos.

En el ámbito del código, la implementación de referencia de la Cartera de Identidad Digital de la UE incluye documentación, aplicaciones de cartera, servicios para la emisión y verificación de Datos de Identificación Personal y licencias de conducir móviles, así como bibliotecas auxiliares para los flujos principales. También existe una pila de referencia independiente para la verificación de edad que reutiliza las mismas ideas para un caso de uso más limitado.

Los integradores pueden desplegar estos componentes en entornos de prueba, conectar sus propios servicios de prueba y aprender cómo se comporta una Cartera EUDI estándar antes de trabajar con aplicaciones nacionales en producción.

Uno de los despliegues reales más claros es la “mini cartera” de verificación de edad creada para respaldar la Ley de Servicios Digitales. En julio de 2025, la Comisión Europea publicó un Plan de Verificación de Edad con una aplicación móvil, API y un modelo de gobernanza para controles de edad en plataformas en línea.

La Comisión describe explícitamente este software como una “mini cartera” basada en la misma arquitectura, marco de referencia y especificaciones técnicas que las futuras Carteras Europeas de Identidad Digital. Permite a una persona demostrar que supera un umbral de edad elegido, inicialmente 18 años, sin compartir su nombre, dirección ni fecha de nacimiento completa. El código y la documentación se publican abiertamente para que los Estados miembros puedan conectar la aplicación con sus fuentes nacionales de identidad.

Cinco Estados miembros (Dinamarca, Grecia, España, Francia e Italia) están probando este modelo. Las plataformas reciben un token compacto de “mayor de 18” o similar en lugar de datos de identidad en bruto. Para el programa EUDI, esto constituye una prueba en vivo de comprobaciones basadas únicamente en atributos, experiencia de usuario móvil e interacción entre cartera y plataforma bajo la aplicación de la DSA.

En paralelo, los proyectos piloto a gran escala en el marco del Programa Europa Digital (POTENTIAL, NOBID, DC4EU, EWC y los más recientes APTITUDE y WE BUILD) están probando una amplia gama de escenarios: inicios de sesión gubernamentales, registro de SIM, credenciales educativas, documentos de seguridad social, flujos de viaje, pagos y firmas. Algunos flujos utilizan datos sintéticos para las acciones más sensibles; otros utilizan personas reales en cohortes claramente definidas. El trabajo de firma de NOBID, por ejemplo, utilizó datos de prueba porque ninguna cartera había sido aún notificada en virtud de eIDAS, pero los flujos reflejan procesos reales de incorporación y firma.

Varios Estados miembros de la UE ya contaban con sistemas de identidad digital muy consolidados antes de la llegada de EUDI, y esos sistemas ahora se están ampliando o vinculando a proyectos de cartera. Veamos algunos de los más avanzados.

Dinamarca ya dispone de uno de los esquemas de identidad digital más consolidados de la Unión Europea. MitID es la identidad digital personal utilizada para la banca en línea, el principal portal gubernamental, impuestos, servicios de salud y muchas otras interacciones públicas y privadas.

MitID aún no está certificada como Cartera EUDI, pero en términos prácticos ya se comporta como una interfaz frontal de cartera nacional de identidad. Dinamarca también forma parte del proyecto de mini cartera de verificación de edad, lo que le proporciona experiencia adicional con comprobaciones de edad al estilo cartera y plataformas reguladas.

mObywatel de Polonia es otro ejemplo sólido de una cartera nacional que avanza hacia el estatus EUDI. La aplicación contiene un documento de identidad digital llamado mDowód, que incluye licencias de conducir, datos de vehículos y diversos certificados, y se utiliza ampliamente para interacciones con autoridades y algunos servicios privados.

La prensa polaca y los medios especializados informan que mObywatel 3.0 está previsto para noviembre de 2026, y que la actualización está impulsada por la necesidad de alinearse con eIDAS 2 y el concepto de Cartera Europea de Identidad Digital. Se espera que añada uso transfronterizo dentro de la UE y firmas cualificadas gratuitas, manteniendo al mismo tiempo la familiaridad de la aplicación para los usuarios existentes.

La aplicación ID Austria proporciona identificación digital de alto nivel de garantía para aproximadamente doscientos servicios en línea, tanto públicos como privados. Los ciudadanos pueden utilizarla para impuestos, registros empresariales, comunicación oficial y firmas cualificadas.

In parallel, the eAusweise allows people to present a digital driver's license and age proofs on their phones, which closely matches the type of mDL-style credential that an EUDI Wallet is expected to handle.

Bélgica utiliza un modelo mixto público-privado. La aplicación itsme, operada por un consorcio de bancos y operadores de telecomunicaciones, es una identidad digital ampliamente utilizada que funciona tanto para portales gubernamentales como para sitios comerciales. Permite a los usuarios iniciar sesión, compartir datos de identidad y firmar documentos, y cuenta con alrededor de siete millones de usuarios y más de mil partes usuarias.

Además, el gobierno federal ha lanzado MyGov.be, que actúa como portal y cartera de identidad digital para documentos y mensajes oficiales. Los ciudadanos pueden almacenar certificados, acceder a datos personales y leer mensajes oficiales en una sola aplicación. MyGov.be puede activarse utilizando una tarjeta eID o una cuenta itsme.

Por ahora, las identidades digitales solo son relevantes para Europa, no para todo el mundo. Lograr un sistema de identidad totalmente digital y aceptado globalmente en un futuro cercano implica desafíos significativos, incluida la necesidad de una amplia cooperación y confianza entre naciones. Pero ni siquiera todos los países cuentan todavía con documentos de identidad electrónicos.

A medida que avanzamos hacia un futuro en el que la identidad digital sea la norma y los usuarios demanden cada vez más identificación móvil, esta evolución no puede detenerse ni ralentizarse. La digitalización de los documentos de identidad es un paso lógico. Aun así, requiere una preparación muy cuidadosa.

A partir de finales de 2025, el desarrollo de EUDI gira principalmente en torno a la certificación y la escala.

En materia de certificación, las normas revisadas de eIDAS y el Reglamento de la Cartera Europea de Identidad Digital establecen que se espera que cada Estado miembro notifique al menos una Cartera EUDI que supere una evaluación de conformidad. El Reglamento de Ejecución 2025/849 establece la lista de la UE de Carteras Europeas de Identidad Digital certificadas, mientras que otros actos describen cómo se evalúan las soluciones de cartera, cómo se registran y supervisan las partes usuarias, cómo funciona la correspondencia transfronteriza y cómo deben notificarse los incidentes.

Para los equipos nacionales, esto significa que los proyectos de cartera de identidad digital deben alinearse con el Marco de Arquitectura y Referencia y cumplir sus requisitos. Para las partes usuarias, especialmente en banca y telecomunicaciones, esto implica obligaciones de registro y cumplimiento una vez que declaran aceptar una Cartera EUDI para inicio de sesión con alto nivel de garantía.

En cuanto a la escala, los proyectos piloto ya han demostrado que los patrones básicos funcionan para educación, seguridad social, viajes, firmas, registro de SIM y cuentas bancarias. Durante los próximos dos años, el enfoque se trasladará a llevar estos flujos a producción y a gestionar tasas reales de error, tickets de soporte e intentos de fraude. POTENTIAL, NOBID, DC4EU, EWC, APTITUDE y WE BUILD seguirán aportando lecciones prácticas a la caja de herramientas, especialmente en materia de interoperabilidad y experiencia de usuario.

Las Carteras Europeas de Identidad Digital enfrentan fuertes desafíos. La mayoría de los residentes de la UE verá la cartera como una versión digital de su documento de identidad, por lo que es poco probable que acepten pagar una tarifa por uso a un proveedor privado cada vez que se identifiquen. Y si las carteras se ofrecen “de forma gratuita” en el punto de uso, el costo debe aparecer en otro lugar: en los presupuestos públicos, en contratos con proveedores de carteras o en tarifas pagadas por bancos, operadores de telecomunicaciones y otras partes usuarias.

Incluso si la Cartera EUDI logra generar un cambio real en la verificación de identidad, hay algo que no cambiará: la necesidad de una verificación sólida en el nivel de emisión. Antes de que cualquier cartera pueda contener credenciales confiables, alguien debe comprobar que la persona, el documento y los datos del registro coincidan, y ahí es donde entra la tecnología de Regula.

Los procedimientos completos de verificación de identidad pueden llevarse a cabo mediante soluciones como Regula Document Reader SDK y Regula Face SDK, que pueden integrarse fácilmente con sus aplicaciones móviles o web existentes.

Para las Carteras EUDI, Regula Document Reader SDK puede validar pasaportes electrónicos y documentos de identidad electrónicos durante la incorporación y la recuperación, volver a verificar los datos del chip en el servidor y transferir atributos estructurados y verificados a los flujos de emisión de la cartera.

Regula Face SDK luego vincula esos atributos a una persona real mediante comprobaciones biométricas sólidas, de modo que emisores y partes usuarias puedan tener la certeza de que el titular de la cartera, el documento y el registro se refieren a la misma persona, incluso en escenarios completamente remotos.

¿Tiene alguna pregunta? No dude en ponerse en contacto con nosotros y le explicaremos con más detalle lo que nuestras soluciones pueden ofrecerle.