Guia de Implementação do eIDAS 2.0: O que as Organizações Precisam de Fazer Antes de Dezembro de 2026

O prazo de 31 de dezembro de 2026 tende a surgir nas discussões sobre o eIDAS 2.0 como uma futura obrigação — algo num roteiro, anotado e adiado. Vale a pena ser preciso sobre o que é realmente. O Regulamento (UE) 2024/1183 entrou em vigor em 20 de maio de 2024. Todos os Estados-Membros da UE são legalmente obrigados a disponibilizar, até ao final deste ano, pelo menos uma Carteira de Identidade Digital Europeia certificada a cidadãos e empresas. Não se trata de uma aspiração política. É uma obrigação vinculativa com atos de execução já publicados e testes de interoperabilidade já concluídos entre vários Estados-Membros.

Para organizações em setores regulados — banca, seguros, saúde, telecomunicações, energia — as implicações práticas chegam um ano depois. Até ao final de 2027, esses setores terão de aceitar a EUDI Wallet como método de autenticação. Mas a preparação para a aceitação não começa em 2027. Começa agora, porque o trabalho de integração, a avaliação de conformidade e o redesenho do fluxo de trabalho de verificação de identidade necessários para aceitar uma credencial baseada em carteira levam tempo que as organizações em modo de recuperação não terão.

Temos vindo a construir middleware de identidade digital há mais de vinte anos. O middleware do Cartão de Cidadão Português, que a Caixa Mágica desenvolveu e tem mantido desde o início dos anos 2000, corre em todos os computadores em Portugal que lidam com autenticação do Cartão de Cidadão — uma implementação que acabou por abranger toda a população adulta. Essa experiência molda a forma como interpretamos o eIDAS 2.0: não como um projeto de conformidade regulatória, mas como uma transição de infraestrutura com requisitos técnicos e institucionais específicos que determinam se funciona na prática para as pessoas que dele dependem.

Maio 2024
O eIDAS 2.0 (Regulamento UE 2024/1183) entra em vigor
Abril 2026
Comissão publica Regulamento de Execução (UE) 2026/798 relativo à inscrição no 'wallet'
31 de dez de 2026
Todos os 27 Estados-Membros devem fornecer, pelo menos, uma Carteira EUDI certificada
Final de 2027
Os setores regulamentados (banca, saúde, telecomunicações, energia) devem aceitar a carteira

O que o eIDAS 2.0 altera e o que não altera

O regulamento eIDAS original de 2014 estabeleceu um quadro jurídico para a identificação eletrónica e os serviços de confiança em toda a UE. Teve êxito na harmonização das assinaturas eletrónicas qualificadas e no reconhecimento transfronteiriço das identidades eletrónicas nacionais, mas apresentava limitações estruturais: a cobertura era desigual entre os Estados-Membros, a adoção pelo setor privado era voluntária e o sistema não foi concebido para uma utilização "mobile-first". Para as organizações que procuravam implementar a identidade digital transfronteiriça na prática, o panorama do eIDAS 1.0 significava navegar num mosaico de sistemas nacionais com diferentes arquiteturas técnicas e diferentes níveis de garantia.

O eIDAS 2.0 altera isto de três formas importantes operacionalmente. Primeiro, impõe a disponibilidade universal — todos os cidadãos e residentes na UE terão acesso a uma carteira, não apenas aqueles nos estados membros que optaram por implementar um esquema nacional de eID robusto. Segundo, impõe a aceitação do setor privado — a natureza voluntária da participação do setor privado no eIDAS 1.0 é substituída pela obrigação para os setores regulados e plataformas online muito grandes. Terceiro, introduz a divulgação seletiva ao nível da arquitetura — os cidadãos podem provar atributos específicos (idade, qualificação profissional, morada) sem revelar dados pessoais não relacionados, o que altera significativamente os requisitos de design para os fluxos de trabalho de verificação de identidade.

O que o eIDAS 2.0 não altera

O eIDAS 2.0 não se limita a alargar o eIDAS 1.0. Substitui a suposição de que a identidade digital é opcional para o setor privado por um requisito legal para a aceitar.

O que não muda é o desafio fundamental de engenharia da identidade digital: fazer com que um sistema funcione de forma fiável para as pessoas que dele necessitam, nas condições em que o utilizam de facto, nos quadros institucionais e legais de múltiplas jurisdições. O projeto de middleware de Cabo Verde — onde construímos um sistema de identidade digital com prioridade para funcionamento offline para um arquipélago de dez ilhas — é um lembrete de que os problemas mais difíceis em identidade digital não estão na especificação. Estão na lacuna entre a especificação e a implementação em escala.

Quem precisa fazer o quê, e até quando

As obrigações ao abrigo do eIDAS 2.0 recaem sobre diferentes intervenientes em momentos distintos. Vale a pena mapeá-las com precisão, pois o enquadramento comum — "o prazo é 2026" — obscurece o facto de que diferentes organizações enfrentam diferentes obrigações em diferentes cronogramas.

Prazo: 31 de dezembro de 2026
Estados-Membros
Têm de fornecer pelo menos uma carteira EUDI certificada a cidadãos e empresas. A carteira deve suportar o Architecture Reference Framework (ARF), passar na avaliação de conformidade e ser interoperável com carteiras emitidas por outros estados-membros. Os estados pioneiros (Alemanha, Países Baixos, Itália) estão nas fases finais de entrega. A prontidão varia significativamente entre os 27.
Prazo: Final de 2027
Setores Regulados
Bancos, seguradoras, empresas de telecomunicações, prestadores de cuidados de saúde, empresas de energia e plataformas online muito grandes (mais de 45 milhões de utilizadores na UE) devem aceitar a Carteira EUDI para verificação de identidade. A aceitação requer o registo como parte confiante junto das autoridades nacionais e o suporte para ISO/IEC 18013-5 e Credenciais Verificáveis W3C.
Preparação imediata
Fornecedores de TIC
As organizações que desenvolvem middleware, sistemas de autenticação ou fluxos de trabalho de verificação de identidade para setores regulamentados precisam de avaliar a compatibilidade com o EUDI ARF agora. O trabalho de integração demora meses. As organizações que esperarem pelo lançamento das carteiras para iniciar a integração ficarão aquém do prazo de aceitação.
A decorrer a partir de 2026
Prestadores de Serviços de Confiança
Os Prestadores Qualificados de Serviços de Confiança (PQSC) têm de atualizar certificações e integrar autenticação de carteira. A transição afeta fluxos de trabalho de assinatura eletrónica, processos de KYC e qualquer serviço que dependa atualmente de esquemas nacionais de eID para verificação de identidade.
Organizações fora da UE que prestam serviços a utilizadores da UE em setores regulamentados ou que operam como plataformas online muito grandes também estão abrangidas.

A camada técnica que a maioria das discussões de implementação do eIDAS 2.0 ignora

A maior parte da conversa pública sobre o eIDAS 2.0 centra-se na estrutura política: que setores são obrigados, quais são os prazos, como funcionará o reconhecimento transfronteiriço. A camada técnica recebe menos atenção, sendo que é aqui que a maioria dos projetos de implementação encontra os problemas que os atrasam.

O ecossistema da Carteira EUDI é construído com base em três especificações técnicas que todas as partes confiantes precisam de suportar: ISO/IEC 18013-5 (o padrão para apresentação de documentos em dispositivos móveis, originalmente concebido para cartões de condução móveis), W3C Verifiable Credentials (o modelo de dados para divulgação seletiva de atributos de identidade) e o EUDI Architecture Reference Framework, que especifica como estes interagem com as implementações de carteiras nacionais, registos de confiança e interoperabilidade entre os Estados-Membros.

Para organizações cujos sistemas de autenticação foram desenvolvidos para o eIDAS 1.0 — que utilizava diferentes formatos de dados, diferentes níveis de garantia e diferentes modelos de interação — isto não é uma atualização. É uma remodelação do fluxo de verificação de identidade. A camada de middleware, que se situa entre a carteira (wallet) e a aplicação, necessita de gerir a apresentação de credenciais de diferentes carteiras de países membros, validar contra o registo de confiança relevante, impor a divulgação seletiva para que apenas os atributos necessários sejam acedidos e produzir um registo de auditoria da verificação.

O que um fluxo de verificação baseado em carteira requer
Apresentação da carteira
Cidadão apresenta credencial da Carteira EUDI via ISO/IEC 18013-5
Validação de confiança
O middleware valida as credenciais relativamente ao registo nacional de confiança e às especificações ARF
Divulgação seletiva
Apenas os atributos necessários para esta transação são acedidos — idade, não data de nascimento; estatuto profissional, não identidade completa
Registo de auditoria
Verificação registada para fins regulamentares, sem armazenamento central de dados de cidadãos
A camada de middleware deve tratar as credenciais de todas as carteiras dos 27 Estados-membros — cada um com detalhes de implementação potencialmente diferentes dentro das especificações ARF.

O que a experiência do Cartão de Cidadão português diz sobre o eIDAS 2.0

O middleware do Cartão de Cidadão português está em produção há mais de vinte anos. Passou por várias gerações de cartões, alterações de sistemas operativos, atualizações de navegadores e evoluções regulamentares. A lição mais consistente dessa experiência não é técnica – é institucional. Uma infraestrutura de identidade digital que funcione de forma fiável à escala nacional requer um alinhamento sustentado entre os organismos responsáveis pelo quadro legal, pelo documento em si e pelo software. Quando qualquer um destes três muda sem coordenação, o middleware avaria de formas que afetam todos os cidadãos que tentam usar o seu cartão.

O eIDAS 2.0 adiciona uma quarta dimensão que o Cartão de Cidadão nunca teve de gerir: a interoperabilidade entre 27 implementações nacionais independentes, cada uma construída com base na mesma especificação ARF, mas com escolhas de implementação que diferirão na prática. A ARF é detalhada e tecnicamente rigorosa. O que ela não pode especificar totalmente é o comportamento no mundo real de 27 implementações de carteiras no momento em que vão para produção simultaneamente, com milhões de utilizadores a tentar a verificação transfronteiriça pela primeira vez.

A especificação não é a implementação. A lacuna entre ambas é onde reside o verdadeiro trabalho de engenharia da identidade digital — e onde a experiência com implementações à escala nacional é mais importante.

Isto não é um argumento contra o eIDAS 2.0. É um argumento para abordar a implementação com a seriedade que ela merece, em vez de tratá-la como uma atualização de software que será tratada mais perto do prazo. As organizações que iniciaram o trabalho de integração agora — desenvolvendo com base no ARF, testando com implementações de carteira disponíveis e estabelecendo as relações institucionais necessárias para o registo de partes confiadoras — estão numa posição materialmente melhor do que aquelas que tratam o final de 2027 como o verdadeiro prazo.

A questão da soberania dos dados que a discussão política subestima

Uma das escolhas arquitetónicas mais consequentes no eIDAS 2.0 é uma que tende a ser descrita em termos de privacidade: a divulgação seletiva. Um cidadão pode provar que tem mais de 18 anos sem partilhar a sua data de nascimento. Pode comprovar a qualificação profissional sem partilhar a sua identidade completa. Isto é descrito como uma funcionalidade de privacidade, o que de facto é. Mas tem uma implicação estrutural para a forma como os sistemas de verificação de identidade precisam de ser concebidos, que vai além da privacidade.

Os sistemas criados para o eIDAS 1.0 e a verificação de identidade pré-eIDAS solicitavam e armazenavam tipicamente um conjunto definido de atributos de identificação — nome, data de nascimento, número de identificação — e os mantinham como parte do registo do utilizador. A divulgação seletiva no âmbito do eIDAS 2.0 significa que o atributo apresentado durante a verificação pode não ser o mesmo que o atributo armazenado e, em muitos casos, a aplicação não deve armazenar dados pessoais — apenas uma confirmação de que a verificação ocorreu. Isto requer um redesenho dos modelos de dados, arquiteturas de armazenamento e trilhos de auditoria, o que não é uma atualização menor dos sistemas existentes.

Implementação da eIDAS 2.0: o que as organizações devem fazer agora

A preparação prática para a aceitação do eIDAS 2.0 não é um projeto único. É uma sequência de decisões que se constroem umas sobre as outras, e quanto mais cedo uma organização estiver na sequência, mais tempo terá para corrigir o rumo antes que a obrigação de aceitação chegue.

Mapeie os seus fluxos atuais de verificação de identidade contra os requisitos da eIDAS 2.0. Identifique quais fluxos envolvem atributos que serão apresentados através da carteira e que alterações são necessárias para aceitar credenciais de divulgação seletiva.
Avaliar compatibilidade de middleware com a norma ISO/IEC 18013-5 e as Verifiable Credentials do W3C. Se a sua infraestrutura de autenticação foi construída para o eIDAS 1.0 ou para regimes nacionais de eID, esta é a parte mais morosa da preparação.
Registe-se como parte confiadora com a sua autoridade nacional. Este é um pré-requisito para aceitar credenciais de carteira e requer tempo — tanto para o processo de registo quanto para a integração técnica que desbloqueia.
Redesenhar os modelos de armazenamento e auditoria de dados para divulgação seletiva. A suposição de que receberá e armazenará um conjunto fixo de atributos de identidade precisa de ser revista para cada fluxo de verificação que aceite credenciais de carteira.
Testar contra implementações de carteira disponíveis antes do prazo de dezembro de 2026. Os Estados-Membros pioneiros têm implementações de carteiras em fase final de testes beta. Os testes identificam agora problemas de interoperabilidade antes que afetem os utilizadores em produção.

O que o eIDAS 2.0 não resolve por si só

Vale a pena ser honesto sobre o que o regulamento pode e não pode proporcionar. O eIDAS 2.0 estabelece um quadro jurídico que, quando totalmente operacional, dará a todos os cidadãos da UE acesso a uma identidade digital portátil e interoperável. Esse é um feito significativo no contexto do panorama fragmentado da Europa pré-2024. O que não garante é que as 27 implementações de carteira estarão todas funcionalmente completas até 31 de dezembro de 2026, que o registo da parte confiante será simples em todos os Estados-membros, ou que a experiência do utilizador na autenticação baseada em carteira será suficientemente fluida para uma adoção voluntária generalizada.

Uma avaliação independente publicada em abril de 2026 concluiu que três países parecem quase certos de cumprir o prazo de dezembro com plena funcionalidade, cinco são muito prováveis, oito são prováveis e os restantes onze enfrentam graus de risco variáveis. O lançamento será real, mas desigual. Para as organizações que planeiam a sua integração no eIDAS 2.0, isto significa que o ambiente de testes não será uniforme e a suposição de que a disponibilidade da carteira numa Estado-Membro implica a mesma funcionalidade noutro terá de ser verificada, em vez de assumida.

Nada disto é um argumento para esperar. É um argumento para construir a integração com tempo de antecedência suficiente para absorver a variabilidade que um lançamento paralelo em 27 Estados-membros irá inevitavelmente produzir. As organizações que tratarem o prazo de aceitação do final de 2027 como o início da sua preparação descobrirão que os seus concorrentes, que começaram em 2025 e 2026, já ultrapassaram a parte mais difícil.

Caixa Mágica Software
Caixa Mágica Team
A Caixa Mágica Software é uma empresa portuguesa de software com mais de 20 anos de experiência a fornecer software à medida, soluções de IA e equipas de desenvolvimento *nearshore* para empresas europeias.
eID Box · Caixa Mágica Software
Middleware de identidade digital construído com 20 anos de implementação à escala nacional
Do Cartão de Cidadão de Portugal para o sistema de eID offline-first de Cabo Verde. O eID Box integra autenticação por cartão inteligente e baseada em carteira para aplicações que precisam de funcionar no mundo real.