O que é o eIDAS 2.0?

O que significa eIDAS?

eIDAS significa electronic IDentification, Authentication and trust Services (Identificação, Autenticação e Serviços de Confiança Eletrônicos). O Regulamento eIDAS original (UE 910/2014) estabeleceu o quadro legal para o reconhecimento mútuo de esquemas de identificação eletrônica entre os Estados-Membros da UE, juntamente com serviços de confiança como assinaturas eletrônicas, selos e carimbos de tempo.

O eIDAS 2.0 (Regulamento (UE) 2024/1183) é a revisão que altera o regulamento original. Foi adotado para abordar as limitações do eIDAS 1.0 — em particular, a baixa adoção transfronteiriça dos esquemas nacionais de eID e a ausência de uma carteira de identidade digital controlada pelo cidadão. A revisão introduz a Carteira Europeia de Identidade Digital, novas categorias de serviços de confiança e requisitos mais rigorosos de interoperabilidade em toda a UE.

O que é uma Carteira Europeia de Identidade Digital?

A Carteira Europeia de Identidade Digital (EUDIW) é um aplicativo móvel que permite a cidadãos e residentes armazenar, gerenciar e apresentar credenciais digitais — incluindo documentos nacionais de identidade, carteiras de habilitação, diplomas, qualificações profissionais e certificados de saúde. A carteira coloca o indivíduo no controle de seus dados por meio da divulgação seletiva: os usuários decidem exatamente quais atributos compartilhar em cada interação.

Características principais da Carteira Europeia de Identidade Digital:

• Disponibilidade obrigatória — cada Estado-Membro da UE deve oferecer pelo menos uma carteira a seus cidadãos e residentes até 2026
• Gratuita — as carteiras devem ser gratuitas para pessoas físicas
• Interoperabilidade transfronteiriça — uma carteira emitida em qualquer Estado-Membro deve ser reconhecida e aceita em toda a UE
• Divulgação seletiva — os usuários podem comprovar atributos específicos (por exemplo, ser maior de 18 anos) sem revelar sua identidade completa ou data de nascimento
• Architecture and Reference Framework — as especificações técnicas são baseadas no ARF desenvolvido pelo Grupo de Especialistas eIDAS, garantindo uma implementação consistente em todos os Estados-Membros
• Alto Nível de Garantia — as carteiras devem atender ao nível "alto" de garantia conforme definido pelo eIDAS, assegurando robustez na comprovação de identidade e autenticação

A carteira foi projetada para funcionar tanto em cenários online quanto offline — desde o login em portais governamentais e a abertura de contas bancárias até a apresentação de uma carteira de habilitação em uma fiscalização de trânsito ou a comprovação de qualificações profissionais a um novo empregador no exterior.

O que são Credenciais Verificáveis?

Credenciais Verificáveis são declarações digitais à prova de violação, assinadas criptograficamente, emitidas por uma parte confiável. Podem representar virtualmente qualquer coisa — um diploma universitário, comprovante de endereço, uma licença profissional, um atestado de idade ou um certificado de registro de empresa. O que as torna "verificáveis" é que qualquer parte verificadora pode verificar independentemente a prova criptográfica de autenticidade e integridade sem precisar contatar o emissor original.

O modelo de Credenciais Verificáveis envolve três papéis:

• Emissor — uma entidade confiável (universidade, governo, empregador) que cria e assina a credencial
• Titular — o indivíduo ou organização que armazena a credencial em sua carteira e decide quando e a quem apresentá-la
• Verificador — a parte que solicita e verifica a credencial (por exemplo, um agente de fronteira, banco ou serviço online)

As Credenciais Verificáveis são baseadas em padrões W3C (o Verifiable Credentials Data Model) e são um bloco de construção central tanto do eIDAS 2.0 quanto da SSI (Identidade Auto-Soberana). Sob o eIDAS 2.0, o novo serviço de confiança QEAA (Atestado Eletrônico Qualificado de Atributos) fornece uma forma juridicamente reconhecida e de alta garantia de Credenciais Verificáveis emitidas por QTSPs.

O que é Identidade Auto-Soberana?

SSI (Identidade Auto-Soberana) é um modelo em que os indivíduos possuem e controlam sua identidade digital sem depender de uma autoridade central. Em vez de depender de uma plataforma, banco de dados governamental ou provedor de identidade para mediar o acesso a dados pessoais, a SSI coloca o indivíduo no centro de cada interação de identidade.

A SSI é construída sobre duas tecnologias complementares:

• DIDs (Identificadores Descentralizados) — identificadores globalmente únicos que os indivíduos criam e controlam por si mesmos, sem necessidade de uma autoridade de registro centralizada. Os DIDs podem ser resolvidos para chaves criptográficas e endpoints de serviço, possibilitando comunicação segura ponto a ponto.
• Credenciais Verificáveis — atestações digitais assinadas criptograficamente que podem ser armazenadas em uma carteira, divulgadas seletivamente e verificadas independentemente (ver a seção acima)

O resultado prático é que as pessoas podem comprovar reivindicações — como sua idade, qualificações, cidadania ou status de emprego — sem revelar mais informações do que o necessário. Este princípio de minimização de dados alinha-se diretamente com o GDPR e é central para a abordagem privacy-by-design.

O eIDAS 2.0 incorpora os princípios da SSI à legislação da UE. A Carteira Europeia de Identidade Digital é, com efeito, uma carteira SSI com reconhecimento legal em toda a UE — combinando o modelo descentralizado e controlado pelo usuário da SSI com a certeza jurídica e o reconhecimento transfronteiriço do regulamento da UE. Leia mais em nosso blog sobre SSI e privacidade.

Como o eIDAS 2.0 se relaciona com os Passaportes Digitais de Produto?

DPPs (Passaportes Digitais de Produto) e o eIDAS 2.0 abordam domínios diferentes — informação de produto e identidade digital — mas se cruzam em um ponto crítico: confiança. Os dados do DPP são tão confiáveis quanto a identidade dos operadores econômicos e atores da cadeia de suprimentos que os criaram, verificaram e atestaram.

A conexão funciona de várias maneiras:

• Identidade confiável para operadores econômicos — fabricantes, importadores e organismos de avaliação de conformidade precisam de identidade verificável e transfronteiriça para assinar declarações de desempenho, certificados de conformidade e entradas de dados de DPP
• Credenciais empresariais em carteiras — as carteiras eIDAS 2.0 podem carregar credenciais organizacionais como registros de empresas, atestações LEI, licenças comerciais e autorizações setoriais específicas
• Integridade de dados por meio de serviços de confiança qualificados — Selos Eletrônicos Qualificados e Carimbos de Tempo Qualificados do eIDAS 2.0 podem garantir que os dados do DPP não foram violados e podem ser rastreados até uma fonte verificada
• Verificação da cadeia de suprimentos — cada ator em uma cadeia de suprimentos pode usar credenciais baseadas em carteira para comprovar sua identidade e autorizações ao contribuir com dados para um DPP

A Regen Studio escreveu o position paper Trusted DPP para o FIDES e a Dutch Blockchain Coalition, explorando exatamente como o eIDAS 2.0 e a infraestrutura de DPP devem convergir para criar ecossistemas confiáveis de dados de produto. O demo da Carteira EDI ilustra esses conceitos na prática.

Quando o eIDAS 2.0 entra em vigor?

O Regulamento (UE) 2024/1183 entrou em vigor em 20 de maio de 2024. A implementação segue um cronograma faseado, com os Estados-Membros, a Comissão Europeia e o Grupo de Especialistas eIDAS trabalhando em paralelo em especificações técnicas, atos de implementação e pilotos em larga escala.

Marcos principais:

• 20 de maio de 2024 — Regulamento (UE) 2024/1183 entra em vigor
• 2026 — os Estados-Membros devem oferecer Carteiras de Identidade Digital da UE a seus cidadãos e residentes
• Em andamento — atos de implementação estão sendo desenvolvidos para especificações técnicas da carteira, esquemas de certificação, requisitos de serviços de confiança e protocolos de interoperabilidade
• Em andamento — o conjunto de ferramentas da carteira e o ARF (Architecture and Reference Framework) estão sendo finalizados pelo Grupo de Especialistas eIDAS

Quatro LSPs (Pilotos em Larga Escala) já estão testando implementações de carteira em casos de uso reais:

• POTENTIAL — verificação de identidade, viagens, pagamentos e serviços governamentais em 19 países da UE
• DC4EU — credenciais educacionais e segurança social entre Estados-Membros
• NOBID — casos de uso de pagamento e identidade nos países nórdico-bálticos
• EWC — viagens, identidade organizacional e pagamentos

Esses pilotos estão fornecendo feedback crítico do mundo real que molda os atos de implementação e a arquitetura técnica. As organizações que desejam estar prontas devem se engajar agora — a infraestrutura está sendo construída, e as decisões de design tomadas hoje definirão o ecossistema por anos.

O que são Serviços de Confiança Qualificados sob o eIDAS 2.0?

Os Serviços de Confiança Qualificados são os serviços juridicamente reconhecidos e de alta garantia que sustentam as transações digitais em toda a UE. Sob o eIDAS 2.0, a lista de serviços de confiança qualificados foi expandida para incluir novas categorias que dão suporte ao ecossistema da carteira e aos fluxos de trabalho digitais modernos.

O conjunto completo de Serviços de Confiança Qualificados sob o eIDAS 2.0:

• QES (Assinaturas Eletrônicas Qualificadas) — o equivalente digital de uma assinatura manuscrita, com o mais alto reconhecimento legal na UE. Pode ser criada usando a carteira.
• Selos Eletrônicos Qualificados — usados por organizações (pessoas jurídicas) para garantir a origem e integridade de documentos e dados
• Carimbos de Tempo Qualificados — prova criptográfica de que os dados existiram em um momento específico no tempo
• QWACs (Certificados Qualificados de Autenticação de Sítio Web) — certificados que verificam a identidade de sites, fornecendo aos usuários garantia sobre quem opera um site
• QEAA (Atestado Eletrônico Qualificado de Atributos) — novidade no eIDAS 2.0. Atestações juridicamente reconhecidas sobre atributos de uma pessoa ou organização (qualificações, autorizações, associações), emitidas por QTSPs e apresentáveis por meio da carteira
• Arquivamento Eletrônico — serviços qualificados para a preservação de longo prazo de documentos e dados eletrônicos, garantindo sua integridade ao longo do tempo
• Livros-razão Eletrônicos — novidade no eIDAS 2.0. Serviços qualificados para o registro de dados em uma sequência à prova de violação e cronologicamente ordenada

QTSPs (Prestadores de Serviços de Confiança Qualificados) devem atender a rigorosos requisitos de segurança, auditoria e supervisão estabelecidos por seu organismo nacional de supervisão. Eles passam por avaliações regulares de conformidade e são listados na Lista Confiável da UE, tornando seu status verificável em todos os Estados-Membros. A adição do QEAA é particularmente significativa — fornece a base legal para credenciais digitais de alta garantia em carteiras, preenchendo a lacuna entre Credenciais Verificáveis técnicas e atestações juridicamente vinculativas.

Como a Regen Studio pode ajudar com o eIDAS 2.0?

A Regen Studio oferece consultoria independente sobre o eIDAS 2.0, identidade digital e a intersecção com os Passaportes Digitais de Produto. Não vendemos software de carteira, plataformas de identidade ou infraestrutura de serviços de confiança — nossa orientação é moldada pelas suas necessidades, não por um produto que precisamos vender.

Nossa experiência e histórico em identidade digital:

• Demo da Carteira EDI — projetamos e construímos o demo da Carteira EDI (teste ao vivo), demonstrando como as Carteiras Europeias de Identidade Digital funcionam na prática para emissão, armazenamento e divulgação seletiva de credenciais
• Position paper Trusted DPP — lideramos o position paper Trusted DPP para o FIDES e a Dutch Blockchain Coalition, mapeando como o eIDAS 2.0 e a infraestrutura de DPP devem convergir
• SSI e privacy-by-design — profunda experiência em arquitetura de Identidade Auto-Soberana, engenharia de privacidade e o design prático de ecossistemas de credenciais verificáveis (leia nosso blog sobre SSI e privacidade)
• Navegação regulatória — ajudamos as organizações a entender o que o eIDAS 2.0 significa para seu setor, avaliar a prontidão e projetar arquiteturas de identidade alinhadas com os requisitos da UE

Seja você um órgão governamental se preparando para emitir credenciais de carteira, um QTSP se adaptando ao eIDAS 2.0, uma marca explorando como a identidade digital apoia sua estratégia de DPP, ou uma associação setorial coordenando uma abordagem setorial — podemos ajudá-lo a navegar no cenário.