La identidad digital ha entrado definitivamente en una nueva fase en Europa. Con la aprobación del Reglamento (UE) 2024/1183 se estableció el marco de identidad digital europea, pero es ahora, con la publicación del Reglamento de Ejecución (UE) 2026/798, cuando el modelo empieza a aterrizar de forma concreta en los sistemas tecnológicos. Este nuevo reglamento no es teórico: define exactamente cómo debe realizarse el onboarding remoto de usuarios a la cartera europea de identidad digital, y por tanto impacta directamente en cualquier software que gestione identidades.
Onboarding regulado
El punto clave es que el onboarding ya no es un proceso técnico libre, sino un proceso regulado. La incorporación de usuarios a las carteras europeas de identidad digital se define expresamente como un paso crítico para verificar la identidad, vincularla al usuario y asociarla a su dispositivo . Esto implica que cualquier error, debilidad o mala implementación en ese proceso puede comprometer la validez jurídica de todo el sistema.
Impacto para desarrolladores de software
Para las empresas de desarrollo de software, esto cambia completamente las reglas del juego. Hasta ahora, el onboarding era una cuestión de experiencia de usuario y seguridad básica. A partir de ahora, es un proceso auditado, estandarizado y con implicaciones legales directas.
El nuevo reglamento establece dos niveles claros de seguridad que marcarán el diseño de los sistemas. El nivel sustancial puede alcanzarse utilizando medios de identificación electrónica que ya tengan ese nivel y siguiendo un proceso remoto definido. Sin embargo, el nivel alto introduce requisitos adicionales mucho más exigentes, donde ya no basta con automatizar procesos. De hecho, se limita el uso exclusivo de mecanismos automáticos como la comparación facial sin controles adicionales, lo que obliga a rediseñar muchos sistemas actuales de verificación de identidad.
Esto tiene un impacto directo en todos los softwares que dependen de la identificación del usuario. El control horario de trabajadores es un ejemplo evidente. Muchas soluciones actuales permiten fichajes con mecanismos débiles que no garantizan la identidad real del trabajador. En un entorno eIDAS2, esto deja de ser aceptable. El sistema debe poder demostrar no solo que se registró una acción, sino que fue realizada por una persona correctamente identificada bajo un nivel de garantía determinado. Si no puede hacerlo, el registro pierde valor probatorio.
En el ámbito sanitario, la exigencia es aún mayor. Sistemas como la receta médica privada electrónica dependen de la identidad del médico y del paciente como elemento central. Con el nuevo reglamento, el onboarding del médico ya no puede basarse en procesos laxos o no verificables. La identidad debe acreditarse conforme a estándares definidos, con capacidad de verificación posterior, conservación de evidencias y cumplimiento de requisitos de seguridad. Esto es especialmente relevante en procesos automatizados o remotos, donde el reglamento exige controles adicionales y gestión de riesgos específicos.
Impacto en los ERP y el software empresarial es igualmente crítico
El impacto en los ERP y el software empresarial es igualmente crítico. Un ERP no solo gestiona información, sino que genera evidencias: aprobaciones, validaciones, registros contables, emisión de facturas o cambios en datos sensibles. Cada una de estas acciones debe poder vincularse de forma inequívoca a una identidad válida. En este nuevo contexto, la identidad ya no es un campo dentro de una base de datos, sino un elemento jurídico que debe poder sostenerse en una auditoría o en un procedimiento judicial.
Además, el reglamento introduce obligaciones muy relevantes en materia de ciberseguridad y gestión de evidencias. Se exige la aplicación de normas como ETSI EN 319 401 para la gestión de riesgos, control de incidentes, continuidad de negocio y recogida de pruebas . Esto significa que no solo hay que identificar correctamente al usuario, sino que todo el proceso debe estar respaldado por controles organizativos, técnicos y documentales.
Otro aspecto clave es la gestión de fallos en el onboarding. El reglamento obliga a que, si el proceso de identificación remota falla o se interrumpe, el usuario reciba explicaciones claras y disponga de vías de recurso para corregir la situación o impugnarla . Esto introduce un requisito completamente nuevo para muchos desarrolladores: los sistemas deben ser transparentes, auditables y defendibles también en escenarios de error.
La interoperabilidad transfronteriza es otro de los grandes cambios. Por primera vez, la identidad digital se diseña para funcionar de forma homogénea en toda la Unión Europea. Esto abre oportunidades enormes para el software, pero también implica que los sistemas deben adaptarse a especificaciones comunes, perdiendo la libertad que existía hasta ahora en el diseño de mecanismos de identificación.
Mayor carga regulatoria para los emisores de identidad
Además, la carga regulatoria ya no recae únicamente en los emisores de identidad. Cualquier empresa privada que decida aceptar la cartera europea de identidad digital como mecanismo de identificación tendrá que adaptar sus sistemas y procesos internos. Esto incluye bancos, aseguradoras, empresas tecnológicas y, por supuesto, fabricantes de software. Cuando intervienen diferentes actores en el proceso de identidad, como proveedores de acreditación y proveedores de cartera, la normativa exige acuerdos formales de cooperación, especialmente en aspectos como la conservación de evidencias o la gestión de incidentes.
En este nuevo escenario, el desarrollo de software entra en una dimensión distinta. Ya no basta con que el sistema funcione. Debe cumplir, debe demostrar y debe poder defenderse. La identidad digital se convierte en el eje que conecta cumplimiento normativo, ciberseguridad y valor probatorio.
Las empresas que no adapten sus soluciones a este nuevo marco corren un riesgo claro: ofrecer software operativo, pero jurídicamente débil. En cambio, aquellas que integren correctamente estos requisitos podrán diferenciarse, generar confianza y posicionarse como proveedores de soluciones seguras y conformes con el marco europeo.
Conclusión
Desde Legal Auditors ayudamos a empresas de desarrollo de software, fabricantes de ERP y soluciones SaaS a adaptarse a este nuevo entorno. Analizamos sus procesos de onboarding, autenticación e identidad, evaluamos el cumplimiento con eIDAS2 y sus reglamentos de ejecución, y diseñamos soluciones que no solo funcionan, sino que cumplen y pueden defenderse ante cualquier auditoría o procedimiento legal. Contáctanos.
