UE — eIDAS / eIDAS 2

seed

Regulamento (UE) nº 910/2014electronic IDentification, Authentication and trust Services. Em vigor desde 2016, base do mercado único digital europeu pra identidade e assinatura. eIDAS 2 (Reg. 2024/1183) adiciona a EUDI Wallet (carteira de identidade europeia) e mandatório até 2026.

Os 3 níveis de assinatura

Nível Definição (Art. 3 + Anexos IIIIII) Reconhecimento legal
SES — Simple Electronic Signature Qualquer dado em forma eletrônica anexado a outros dados, usado pelo signatário pra assinar Não pode ser rejeitada apenas por ser eletrônica, mas valor probatório é caso-a-caso
AdES — Advanced Electronic Signature (a) ligada unicamente ao signatário; (b) capaz de identificá-lo; (c) criada sob controle exclusivo; (d) ligada aos dados de tal forma que qualquer alteração subsequente é detectável Reconhecida em todos os 27 estados-membros
QES — Qualified Electronic Signature AdES + criada por dispositivo qualificado (QSCD) + baseada em certificado qualificado emitido por QTSP (Qualified Trust Service Provider) credenciado Equivalência legal a assinatura manuscrita (Art. 25 §2). Reconhecimento mútuo obrigatório em toda UE

QTSPs — quem pode emitir QES

Lista oficial: EU Trusted List Browser. Cada estado-membro mantém sua Trusted List assinada digitalmente.

Exemplos: D-Trust (DE), InfoCert (IT), AC Camerfirma (ES), Buypass (NO), Skaityk (LT).

Pra virar QTSP:

  1. Notificação ao supervisory body nacional (BSI na Alemanha, ANSSI na França, etc.)
  2. Auditoria de conformidade (CAB — Conformity Assessment Body) — ETSI EN 319 401411421
  3. Inclusão na Trusted List nacional
  4. Atualização da EU LOTL (List of Trusted Lists)

Formatos técnicos exigidos

ETSI normatizou perfis "AdES" sobre os formatos genéricos (ver 02-standards/):

Cada um tem subníveis BTLT/LTA:

Subnível Adiciona
B (Baseline) Assinatura crua
T (with Time) + timestamp RFC 3161 da assinatura
LT (Long Term) + revogação de cada cert da cadeia embarcada (OCSP responses + CRLs)
LTA (Long Term with Archive) + timestamp do conjunto LT, renovável periodicamente — permite validar daqui a 50 anos

eIDAS 2 — o que muda

Regulamento 2024/1183, em vigor 2024-05-20.

Principais novidades:

  1. EUDI Wallet — todo estado-membro deve oferecer uma carteira digital ao cidadão até 2026-12-21. Carteira armazena identidade + atributos verificáveis + chaves de assinatura.
  2. Qualified Web Authentication Certificates (QWAC) — certificados qualificados pra TLS de sites públicos; uso ainda controverso (tensão com root programs dos browsers).
  3. Electronic Attestation of Attributes (EAA) — credenciais verificáveis assinadas por TSPs, base do modelo SSI.
  4. Ledger-based registries — reconhece registros distribuídos como serviço de confiança qualificado.
  5. Cross-border interop — wallet de qualquer país UE tem que funcionar em qualquer outro.

Tech stack: ISOIEC 18013-5 (mDL), W3C Verifiable Credentials, OpenID4VPVCI, ARF (Architecture & Reference Framework).

Implicações pra Koder

Se algum produto Koder vier a operar na UE com assinatura juridicamente plena:

  • Cliente de QES (aceitar certs qualificados emitidos por QTSPs) — mesmo padrão do A1/A3 brasileiro mas com TSP europeu.
  • Suporte a PAdES B-T-LT no mínimo pra PDF (cobre maioria dos casos B2B).
  • Integração com EUDI Wallet quando shipar (2026+) — relevante pra Koder ID e futuro Koder Sign.
  • Vale o estudo do ARF desde já — define o stack que vai dominar identidade europeia.

Referências