O que a LisbonID 2026 nos disse sobre o estado da identidade digital na Europa

Dois dias. Dezenas de conversas. Um tema constante: a distância entre a ambição política e a realidade operacional continua a ser significativa e as organizações que preenchem essa lacuna são as que merecem atenção.

Chegámos a LisbonID Conferência 2026 com uma questão clara em mente: onde se encontra, na prática, a implementação da identidade digital na Europa? Não onde a regulamentação diz que deveria estar. Não onde os planos prometem que estará. Onde está neste momento, nos sistemas que as organizações estão a construir, nas integrações que as equipas de TI estão a gerir e nas decisões que os líderes tecnológicos estão a tomar sob pressão do mundo real? Dois dias de conversações deram-nos uma imagem mais honesta do que qualquer relatório poderia. Eis o que se destacou.

27 identidades nacionais — um continente, nenhuma camada operacional comum ainda
Ciente ≠ Pronto A maioria das organizações sabe que o eIDAS 2.0 está a chegar. Poucas têm um plano de implementação concreto.
A carteira está ativa antes da arquitetura estar Os prazos das políticas e os prazos operacionais não são a mesma coisa.

A lacuna de eIDAS 2.0 é real e a maioria das organizações sabe disso

O Carteira Europeia de Identidade Digital A estrutura tem sido descrita como um ponto de viragem na forma como os cidadãos interagem com serviços públicos e privados em toda a Europa. E, em princípio, é. A ambição está correta: uma camada de identidade portátil, interoperável e que respeita a privacidade, que funciona além-fronteiras e setores. O problema é que a ambição e a implementação estão a decorrer em prazos muito diferentes. A maioria dos diretores de TI com quem falámos em LisbonID está a trabalhar com organizações que, nominalmente, estão conscientes de eIDAS 2.0 requisitos mas ainda não traduziram essa consciencialização num plano de implementação concreto. A regulação é entendida como algo que está para vir. As implicações operacionais ainda estão a ser resolvidas. Isto não é negligência. É o ritmo normal de uma mudança regulatória complexa, especialmente quando as normas técnicas que fundamentam a implementação ainda estão a ser finalizadas a nível europeu. Mas cria uma janela de risco real para as organizações que esperam demasiado tempo para começar a construir.

As equipas que estão à frente neste momento não são as que começaram depois do quadro geral ter ficado claro. São as que começaram a construir com o que existia, mantiveram-se próximas dos padrões em evolução e incorporaram flexibilidade na sua arquitetura desde o início.

A interoperabilidade é o verdadeiro problema difícil

Um dos temas mais consistentes ao longo dos dois dias foi a lacuna entre as soluções de identidade que funcionam isoladamente e a infraestrutura de identidade que funciona em múltiplos sistemas. Uma credencial de identidade digital que é confiável por uma autoridade pública, mas não por uma instituição financeira. Um sistema de gestão de identidade empresarial que funciona a nível nacional, mas falha na fronteira. Uma aplicação voltada para o cidadão que lida com um tipo de documento de identidade, mas não com outro. 

O que a infraestrutura de identidade interoperável tem realmente a ver
Credencial emitida
Por autoridade nacional, carteira ou IdP empresarial
Confiança validada
Em todos os tipos de autoridade, setores e fronteiras
Ponte normal
Middleware traduz entre frameworks em tempo de execução
Legado alcançado
Sistemas existentes recebem identidade verificada sem reconstrução
Serviço concedido
Cidadão ou funcionário acede ao que necessita, de forma integrada
A camada de abstração no meio é a parte difícil. A interoperabilidade não é uma funcionalidade a acrescentar mais tarde — é a arquitetura.

Estes não são casos extremos. São a realidade operacional quotidiana da identidade digital na Europa — um continente com 27 quadros nacionais distintos, infraestrutura legada significativa e variação genuína na forma como a identidade é definida legalmente e gerida administrativamente. As conversas mais interessantes em LisbonID A resposta é, cada vez mais, parar de tratar a interoperabilidade como um problema futuro a ser resolvido quando tudo o resto estiver no lugar e começar a tratá-la como um requisito de design fundamental. Esta mudança de pensamento tem consequências práticas. Significa escolher middleware e camadas de integração que são construídos explicitamente para lidar com a variação entre padrões de identidade, em vez de otimizados para um único framework. Significa investir em abstração — a capacidade de se situar entre a credencial que existe hoje e a carteira que existirá amanhã, sem reconstruir a integração sempre que algo muda. É o tipo de pensamento arquitetural que nem sempre é reconhecido ao nível das funcionalidades, mas que faz uma diferença enorme no custo a longo prazo e na resiliência da infraestrutura de identidade.

O desafio de aquisição de que ninguém fala alto o suficiente

Para além da conversa técnica, havia uma linha mais calma, mas igualmente importante, a decorrer LisbonIDa aquisição e a seleção de fornecedores não estão a acompanhar a velocidade do cenário dos padrões de identidade.
Muitas organizações estão presas a contratos com fornecedores que fizeram compromissos sobre eIDAS 2.0 prontidão que se têm revelado difíceis de cumprir. Os padrões mudaram. O roteiro do fornecedor não avançou rápido o suficiente. E a organização encontra-se agora na posição desconfortável de ter investido em infraestrutura que poderá necessitar de reformulações significativas antes do lançamento da Carteira Europeia de Identidade Digital.

Isto não é uma crítica a nenhum fornecedor em particular. É um problema estrutural na forma como a tecnologia de identidade está a ser adquirida. As organizações estão a avaliar soluções com base em requisitos que foram escritos antes de existir a versão atual das especificações técnicas. Quando o ciclo de aquisição é concluído e um contrato é assinado, a especificação poderá já ter mudado novamente.

As organizações que navegam bem neste sentido estão a construir critérios de avaliação de fornecedores que vão além de listas de funcionalidades. Estão a perguntar quão próximo um fornecedor está envolvido com os órgãos de normalização. Estão a pedir provas de participação em programas piloto e em testes de interoperabilidade transfronteiriços. Estão a tratar a proximidade com a conversa sobre políticas em evolução como um critério de seleção por direito próprio, não apenas como algo bom de ter, mas como um indicador genuíno de se uma solução permanecerá adequada ao propósito daqui a dois anos.

Esta é uma mudança significativa na forma como as decisões de infraestrutura de identidade são tomadas. E é algo que esperamos que acelere à medida que o lançamento da carteira se aproxima e as organizações percebem que a conformidade é um alvo em movimento, não um destino fixo.

Critério de avaliação do fornecedorLista de verificação típica de aquisiçõesO que a LisbonID nos ensinou a perguntar
compromisso de conformidade com o eIDAS 2.0Caixa de seleção Sim / Não✓ Apresente evidências, não afirmações
Proximidade de organismos de normalizaçãoNão avaliado✓ Participação ativa obrigatória
Testes de interoperabilidade transfronteiriçosNão avaliado✓ Resultados de testes, não promessas de roteiro
Flexibilidade da arquitetura à medida que as especificações evoluemNão avaliado✓ Critério de seleção, não um extra agradável
Compatibilidade com sistemas legadosVerificado ao nível da funcionalidade✓ Middleware + profundidade de integração
Adequado para o propósito em 2 anosAssumido✓ Testado sob stress em relação a normas em evolução
A conformidade é um alvo em movimento. O fornecedor que estava pronto para o rascunho do ano passado pode não estar pronto para a versão que entra em vigor.

Os sistemas legados são a verdadeira conversa que ninguém quer ter

Se houve um tema que surgiu mais em conversas informais do que em sessões formais, foi o *legacy*. A maioria das organizações europeias, especialmente nos setores público e de serviços financeiros, os dois setores onde a identidade digital mais importa, não estão a começar num ambiente *greenfield*. Possuem sistemas que funcionam há dez, quinze, vinte anos. Têm bases de dados, camadas de autenticação e fluxos de trabalho de gestão de documentos que foram concebidos antes da identidade digital ser uma prioridade política e antes de existirem as gerações atuais de normas de identidade. A integração com infraestruturas de identidade modernas não significa a substituição desses sistemas.

Na maioria das organizações, isso não é realista, nem em termos de orçamento, nem em termos de risco, nem em termos de continuidade operacional exigida pelos serviços públicos e indústrias reguladas. O que significa é construir a interface certa entre o que existe e o que está para vir. As organizações que acertam neste ponto tratam o legado não como um bloqueador, mas como uma restrição à volta da qual projetar, e investem em soluções de integração que podem colmatar a lacuna sem exigir um programa de modernização completo como pré-requisito. É aqui que o valor prático de middleware de identidade construído para o efeito se torna mais claro. Não como um substituto da infraestrutura existente, mas como uma camada de tradução – algo que permite a um sistema legado comunicar com padrões de identidade modernos sem ter de ser reconstruído de raiz.

Trate o legado como uma restrição, não um impedimento
As organizações que estão a fazer isto corretamente não estão a tentar substituir sistemas que funcionam de forma fiável há quinze anos. Estão a projetar em torno deles — construindo a interface entre o que existe e o que está por vir, sem exigir um programa de modernização completo como pré-requisito.
Invista na camada de tradução, não na substituição
Meio de autenticação desenvolvido para um fim específico demonstra o seu valor não ao substituir a infraestrutura existente, mas ao permitir que esta comunique com normas modernas. Um sistema de autenticação legado que consegue comunicar com uma carteira eIDAS 2.0 sem ser reconstruído representa continuidade operacional, não dívida técnica.
Desenvolva flexibilidade desde o início
As normas técnicas que sustentam a Carteira Europeia de Identidade Digital ainda estão em evolução. Arquiteturas que são construídas rigidamente em torno de uma única versão de especificação necessitarão de reestruturações significativas. As organizações que lideram neste momento escolheram a abstração deliberadamente — para que, quando a especificação mudar, a integração não tenha de o fazer.

A questão da confiança é mais importante do que a questão da tecnologia.

Talvez a coisa mais importante que ouvimos em LisbonID não teve nada a ver com normas técnicas ou prazos regulamentares. Foi uma observação direta de um diretor de TI a trabalhar no setor público: “Os cidadãos não se importam com a norma que usamos. Importam-se se podem confiar que a sua identidade está a ser tratada corretamente.” Parece óbvio. Mas tem implicações reais na forma como as organizações abordam a implementação da identidade digital e como a comunicam internamente. As decisões tecnológicas são importantes. Mas estão ao serviço de um objetivo mais amplo: a construção de sistemas em que os cidadãos, funcionários e parceiros possam confiar sem terem de compreender os mecanismos. A confiança é o produto. A infraestrutura é o que a torna possível.

O que isso também significa, na prática, é que a camada de experiência do utilizador da identidade digital merece tanta atenção quanto a camada técnica subjacente. Organizações que investem fortemente em infraestrutura compatível e interoperável, mas negligenciam o momento da interação, o cidadão a abrir uma aplicação de carteira pela primeira vez, o funcionário a autenticar-se através de uma fronteira, o cliente a verificar a sua identidade para aceder a um serviço regulamentado, arriscam-se a minar a confiança que trabalharam arduamente para construir. Interações de identidade transparentes, sem falhas e claramente comunicadas não são uma reflexão posterior à experiência do utilizador. Elas fazem parte daquilo que torna a infraestrutura digna de confiança.

Na Caixa Mágica, é assim que pensamos sobre Caixa eID. Não como uma ferramenta de conformidade ou uma camada de integração técnica, embora seja ambas as coisas, mas como uma forma de tornar a infraestrutura de identidade algo em que as pessoas podem realmente confiar. Confiável, interoperável, construída para evoluir à medida que os padrões evoluem.

Cadeia de Evidências de Auditoria — Construída para DORA, Solvency II, PSD2
Requisito
ID Jira/ALM, versão, proprietário
Teste gerado
Script + hash, modelo + prompt
Execução
Timestamp, ambiente, operador
Resultado
Aprovado/Reprovado, registos, rastos
Arquivo
Assinado, retenção, a pedido
Projetado contra Artigos 6.º e 9.º da DORA, Solvência II Pilar 2, e Artigo 95.º da PSD2. A sua prova perante o regulador está a uma consulta de distância.

A Qualigentic também implementa onde os dados regulados devem residir:

No local
O seu centro de dados
  • Modelos de código aberto auto-hospedados (Llama, Mistral)
  • Ajuste fino PEFT / LoRA dentro do perímetro do cliente
  • Sem saída de dados em nenhuma circunstância
  • Cadeia de auditoria no armazenamento de clientes
Nuvem Privada
O seu inquilino
  • Azure AI Foundry, AWS, GCP — propriedade do cliente
  • Traga o seu próprio modelo e chaves
  • Fixação de região (UE, EUA, JP)
SaaS
A Caixa Mágica gere
  • Gerido na UE, tempo de rentabilização mais rápido
  • Controlos no estilo SOC 2, cadeia de evidências assinada
  • Anthropic / OpenAI / Azure OpenAI selecionáveis
A classificação é por capacidade, não por implementação. Os clientes regulados podem começar no local a partir do primeiro dia.

O que vem a seguir

As conversas em LisboaID 2026 reforçou algo em que já acreditávamos, mas que ouvimos confirmado de várias fontes: as organizações que estarão bem posicionadas à medida que a Carteira Europeia de Identidade Digital se tornar operacional não estão à espera de clareza. Estão a construir agora, com os padrões existentes, e a manterem-se suficientemente próximas da conversa política para se adaptarem. A lacuna entre a ambição política e a realidade operacional é real. Mas é também uma lacuna que as organizações podem colmatar se tratarem a identidade digital como infraestrutura em vez de conformidade, e começarem a construir com essa mentalidade hoje.

Para as equipas que navegam nisto: as questões que valem a pena colocar são menos sobre qual a regulação aplicável e mais sobre do que a sua arquitetura de identidade precisa de ser capaz daqui a três anos. Trabalhe para trás a partir daí. Construa flexibilidade desde o início. E encontre parceiros que estejam tão próximos da conversa sobre normas quanto estão dos seus desafios de implementação.

É este o trabalho que estamos a fazer. E se LisboaID 2026 não houve qualquer indicação, é o trabalho que mais importa neste momento.

Caixa Mágica Software
Caixa Mágica Team
A Caixa Mágica Software é uma empresa portuguesa de software com mais de 20 anos de experiência a fornecer software à medida, soluções de IA e equipas de desenvolvimento *nearshore* para empresas europeias.
eID Box · Caixa Mágica Software
Veja como é a infraestrutura de identidade criada para o eIDAS 2.0 na prática
Projetado para o setor público, serviços financeiros e indústrias regulamentadas.
Construído para evoluir à medida que os padrões evoluem.