EUDI Wallet: la Cartera Europea de Identidad Digital en España

La Cartera Europea de Identidad Digital (EUDI Wallet) es una aplicación móvil oficial, gratuita y voluntaria, que permitirá a cualquier ciudadano y residente legal de la UE identificarse electrónicamente, firmar documentos con valor legal y compartir credenciales verificadas con organismos públicos y privados, desde un único punto de acceso.

Fue creada por el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.º 910/2014 (eIDAS) en lo que respecta al establecimiento del Marco Europeo de Identidad Digital. Se publicó en el DOUE el 30 de abril de 2024 y entró en vigor el 20 de mayo de 2024.

Es comúnmente conocida como eIDAS 2 o eIDAS 2.0, ya que modifica y amplía el reglamento eIDAS original de 2014 (que regulaba la identificación electrónica y los servicios de confianza). El primer eIDAS no contemplaba una identidad digital móvil unificada para toda la UE.

La EUDI Wallet permite almacenar y compartir múltiples tipos de credenciales: el DNI digital, permiso de conducir, tarjeta sanitaria europea, certificados académicos, certificados profesionales, datos bancarios para pagos, y cualquier otra credencial certificada por un emisor reconocido. El ciudadano controla qué información comparte y con quién (principio de "selective disclosure" o divulgación selectiva).

El despliegue de la EUDI Wallet sigue un calendario estricto regulado por el Reglamento 2024/1183 y los actos de ejecución técnicos:

La fecha más importante para los ciudadanos es el 24 de noviembre de 2026: a partir de esa fecha cada Estado miembro debe ofrecer al menos una EUDI Wallet oficial (gratuita) a sus ciudadanos. La obligación de aceptación por parte del sector privado (bancos, telcos, plataformas) llega un año después, el 24 de noviembre de 2027.

Antes de esas fechas, la Comisión Europea publica especificaciones técnicas (Architecture Reference Framework — ARF), actos de ejecución sobre estándares de seguridad y certificación, y los Estados miembros desarrollan las wallets concretas. España ya tiene una versión beta operativa.

Consulta el timeline visual más abajo con todos los hitos.

La EUDI Wallet es un contenedor seguro para credenciales digitales verificables (Verifiable Credentials, VC). El estándar técnico se basa en especificaciones abiertas del W3C VC y del consorcio OpenID4VC.

Credenciales de identidad ciudadana (Person Identification Data — PID). Datos básicos del DNI: nombre, apellidos, fecha de nacimiento, DNI/NIE, foto. Emitidos por la autoridad nacional (en España, presumiblemente la DGP a través del Ministerio del Interior y la SGAD).

Atestaciones electrónicas de atributos (Electronic Attestations of Attributes — EAA). Cualquier credencial verificada emitida por un emisor reconocido: permiso de conducir, titulación académica, certificado profesional, certificado de nacimiento, datos médicos básicos, datos fiscales, certificado de residencia, etc.

Datos bancarios. Permite almacenar credenciales financieras: titularidad de cuenta bancaria, identificación de pago, verificación de fondos. Sustituye al PSD2/PSD3 en algunos flujos.

Firma electrónica cualificada. La wallet integra capacidad de firma electrónica cualificada (QES) con plena validez jurídica equivalente a la firma manuscrita, según eIDAS.

La diferencia con almacenar PDFs o capturas: las credenciales en la wallet están firmadas criptográficamente por el emisor, son verificables instantáneamente por el receptor, no pueden ser modificadas y permiten compartir solo lo necesario (ej. "soy mayor de 18 años" sin revelar fecha exacta de nacimiento).

El principio de selective disclosure (divulgación selectiva) es la novedad más importante de la EUDI Wallet desde la perspectiva del usuario. Permite compartir solo el atributo necesario para una operación concreta, sin revelar el resto de datos.

Ejemplo 1. Para entrar en una discoteca te piden demostrar ser mayor de 18 años. Con DNI físico tienen que ver todos tus datos (nombre, dirección, fecha exacta, foto, DNI). Con EUDI Wallet, la wallet emite una credencial firmada criptográficamente que solo dice "esta persona es mayor de 18 años" — sin revelar nada más.

Ejemplo 2. Una financiera necesita confirmar que tienes una nómina mensual de al menos 1.000 €. Con EUDI Wallet, tu banco emite una credencial cifrada que solo confirma "ingresos mensuales ≥ 1.000 €", sin revelar el importe exacto, el pagador o el resto de movimientos.

Ejemplo 3. Para verificar tu titularidad de cuenta bancaria antes de un microcrédito, la wallet comparte un atributo verificado por tu banco ("esta persona es titular de la cuenta IBAN X") sin revelar saldos, movimientos ni otras cuentas.

Tecnológicamente esto se logra con criptografía avanzada: zero-knowledge proofs y signatures con divulgación selectiva. El receptor verifica la firma del emisor sin acceder a los datos no necesarios. Es uno de los avances de privacidad por diseño más importantes de la última década.

El artículo 5b del Reglamento eIDAS modificado (introducido por el Reglamento 2024/1183) establece la obligación de aceptación de la EUDI Wallet por parte de determinados actores, a partir del 24 de noviembre de 2027.

Sector público. Toda la administración pública (estatal, autonómica, local) que ofrezca servicios online debe aceptar EUDI Wallet como medio de identificación y autenticación. En España: AEAT, Seguridad Social, DGT, Carpeta Ciudadana, sedes electrónicas autonómicas y municipales.

Operadores de sectores esenciales. Bajo NIS2 y normativa sectorial: banca, telecomunicaciones, energía (electricidad, gas), agua, transporte (aeronáutico, ferroviario), salud. Por ejemplo, Banco Santander, Telefónica, Iberdrola y Renfe deberán aceptar EUDI Wallet para identificación de clientes en operaciones online.

Plataformas grandes (VLOPs). Las plataformas designadas como "Very Large Online Platforms" bajo la DSA (Reglamento UE 2022/2065) que tienen más de 45 millones de usuarios mensuales en la UE: Google, Meta (Facebook/Instagram), TikTok, Amazon, X, LinkedIn, Booking, Apple. Deben aceptar EUDI Wallet para identificación opcional de usuarios.

Sector privado regulado en general. Operadores que ofrezcan servicios donde la regulación nacional o europea exija identificación robusta (KYC en finanzas, identificación en salud, etc.). Aquí entran las financieras de microcréditos.

La obligación es de aceptación, no de uso exclusivo: la financiera o el banco siguen pudiendo aceptar otros métodos (videoidentificación, certificado digital, Cl@ve, DNIe). Pero si el cliente quiere identificarse con EUDI Wallet, la entidad NO puede rechazarlo.

España ha sido uno de los Estados miembros más proactivos en el despliegue de la EUDI Wallet. La Secretaría General de Administración Digital (SGAD), dependiente del Ministerio para la Transformación Digital y de la Función Pública, lidera el proyecto.

La aplicación se denomina Cartera Digital Beta (anteriormente conocida como "Identidad Digital del Ciudadano"). Está disponible en versión beta para iOS y Android desde finales de 2024 y participa en pilotos europeos de interoperabilidad. Está siendo desarrollada en colaboración con la Fábrica Nacional de Moneda y Timbre (FNMT) y los organismos competentes en identidad digital.

Coexistencia con Cl@ve y DNIe digital. La EUDI Wallet no sustituirá inmediatamente a Cl@ve (sistema actual de identificación) ni al certificado digital de la FNMT ni al DNIe. Durante un periodo de transición, los tres convivirán. La intención de la Administración es que progresivamente la EUDI Wallet se convierta en el método preferente, pero los anteriores seguirán funcionando.

Las funcionalidades en la versión beta española incluyen: identificación electrónica con la administración pública, firma electrónica cualificada, almacenamiento de certificados emitidos por la FNMT, y compatibilidad con el modelo PID (Person Identification Data) europeo.

El despliegue masivo está previsto para antes del 24 de noviembre de 2026 para cumplir con el plazo del Reglamento. Antes hay actos de ejecución técnicos pendientes y una fase de pruebas a gran escala (Large Scale Pilots) en la que España participa activamente.

Para el ecosistema de microcréditos y préstamos rápidos online en España, la EUDI Wallet representa una transformación estructural del proceso de identificación y verificación de clientes (KYC).

Antes (situación actual 2026). El KYC en un microcrédito online típico requiere: foto del DNI, selfie con prueba de vida (videoidentificación), verificación contra ASNEF, verificación de titularidad de cuenta (microtransferencia o conexión PSD2), verificación de ingresos (subida de nómina o conexión PSD2). Tiempo total: 5-15 minutos. Tasa de fraude residual: medible.

Después (desde 2027). El cliente abre la EUDI Wallet, comparte con la financiera las credenciales necesarias: identidad verificada (PID), titularidad de cuenta bancaria (verificada por su banco emisor), verificación de ingresos mínimos (atributo verificado), confirmación de no inclusión en ASNEF si el deudor lo permite. Tiempo total: 10-30 segundos. Tasa de fraude: drásticamente reducida porque las credenciales están firmadas criptográficamente por emisores reconocidos.

Coste reducido para las financieras. El proceso actual de KYC tiene un coste por solicitud (videoidentificación, verificación manual, consultas a ASNEF). La EUDI Wallet reduce este coste a casi cero porque la verificación es instantánea y automatizada.

Mayor inclusión financiera. Personas con dificultades para realizar videoidentificación (problemas técnicos, condiciones del entorno, discapacidad visual) tendrán acceso simplificado. Es probable que aumente la tasa de aprobación de solicitudes legítimas.

Riesgos a vigilar. (1) Brecha digital: personas mayores o no familiarizadas con smartphones quedan fuera. La regulación obliga a mantener canales alternativos. (2) Concentración tecnológica: la wallet emitida por el Estado es única, lo que plantea cuestiones de gobernanza y resiliencia. La regulación permite también wallets privadas certificadas. (3) Privacidad: aunque selective disclosure mitiga, el ecosistema de credenciales genera nuevos vectores de riesgo si los emisores no cumplen estándares.

Conexión con otras regulaciones del cluster: EUDI Wallet + CCD2 (evaluación de solvencia con datos verificados) + AI Act (scoring transparente sobre datos verificados) + PSD3 (pagos instantáneos con identidad verificada) configuran el nuevo marco operativo de las financieras europeas a partir de 2026-2027.

Autoridades responsables en España. La Secretaría General de Administración Digital (SGAD) del Ministerio para la Transformación Digital y de la Función Pública lidera la implantación. La AEPD supervisa los aspectos de protección de datos personales. El supervisor nacional de servicios de confianza (en España, también SGAD) certifica a los emisores y mantiene la lista de prestadores cualificados.

Coordinación a nivel UE. La Comisión Europea coordina el despliegue a través del European Digital Identity Wallet Cooperation Group. Las ESAs (EBA, ESMA, EIOPA) participan en el ámbito financiero. La Agencia de Ciberseguridad de la UE (ENISA) define los estándares de seguridad.

Sanciones. El Reglamento permite a cada Estado miembro establecer sanciones efectivas, proporcionadas y disuasorias para los incumplimientos. En España, el régimen sancionador específico se incorporará a la Ley 6/2020 de servicios electrónicos de confianza tras transposición/adaptación. Las cuantías son comparables a las de servicios de confianza cualificados (cientos de miles a millones de euros).

Reclamaciones del ciudadano. Si una entidad obligada (banco, telco, plataforma grande) rechaza la identificación vía EUDI Wallet desde noviembre 2027, el ciudadano puede reclamar a SGAD y a Consumo. Si hay vulneración de datos, también a AEPD.