eIDAS Trust List — modelo regulatorio UE
La Trust List de eIDAS 2.0 es el catálogo público de proveedores de servicios de confianza reconocidos en la Unión Europea. Es el ejemplo más maduro de Trust Framework operativo a escala internacional, con casi una década de operación bajo eIDAS 1.0 (2014) y ahora extendido bajo eIDAS 2.0 (2024).
El modelo
Cada estado miembro de la UE mantiene una Trust List nacional. Esa lista federada con las otras 26 forma la eIDAS Trust List europea. Cualquier verificador en cualquier país miembro puede consultarla.
EU Trust List (federada)
├── Argentina (futuro: TSL Argentina vía Mesa Federal)
├── España (TSL España)
├── Francia (TSL Francia)
├── Italia (TSL Italia)
└── ... (27 países en total)
Cada TSL nacional es operada por el Estado, con autoridad reconocida en la regulación.
Qué contiene una Trust List
Una TSL incluye, por cada proveedor de servicios de confianza reconocido:
- Identificador del proveedor.
- DID o equivalente que firma las credenciales.
- Tipo de servicio (issuer de credenciales, autoridad de certificación, time-stamping authority, etc.).
- Nivel de assurance (Low / Substantial / High).
- Estado (operativo, suspendido, retirado).
- Auditoría / certificación referenciada.
- Período de validez de la inclusión.
La estructura técnica
Una eIDAS Trust List se publica en formato XML específico (ETSI TS 119 612), firmada con XML Signatures. Cada estado:
- Mantiene su TSL en una URL HTTPS pública.
- La firma con una clave nacional.
- La actualiza al menos mensualmente.
- Notifica updates a la Comisión Europea.
A 2026 se está evolucionando a formato JSON + W3C VC para alinearse con SSI moderno.
Cómo lo usa un verifier
Cuando un sistema en cualquier país miembro recibe una credencial:
- 1Identifica el emisor. Del DID en la credencial.
- 2Consulta la Trust List de su país (cacheada localmente, actualizada periódicamente).
- 3Confirma que el DID está listed y con qué nivel de assurance.
- 4Si el verifier necesita más assurance del que tiene el emisor, rechaza.
- 5Si todo OK, acepta la credencial.
Niveles de assurance en eIDAS 2.0
eIDAS 2.0 reconoce tres niveles:
| Nivel | Requisitos | Caso típico |
|---|---|---|
| Low | Identificación documental | Login en servicios no-críticos |
| Substantial | + verificación biométrica + dispositivo seguro | Banca, salud, gov |
| High | + presencia física + dispositivo high-security | Identidad ciudadana base |
Un proveedor de servicios puede emitir en cualquier nivel. La Trust List indica con qué nivel está reconocido.
El federation europeo
Cada país tiene su TSL. La federation se logra con un mecanismo de mutual recognition:
- País A acepta TSL de país B si confía en B.
- Confianza entre estados está mandatoria bajo eIDAS 2.0.
- Si una credencial emitida en España aparece en la TSL española y la TSL española tiene root certificate confiable, un verifier en Italia la acepta.
Este es el modelo que evita acuerdos bilaterales 27×27 = 729 pares. Cada estado federa con todos los demás vía un modelo de mutual recognition.
Implicancias para terceros países
eIDAS 2.0 tiene cláusulas para que países fuera de la UE se incorporen al esquema:
- Mediante acuerdos bilaterales (UE-Argentina, UE-Brasil, etc.).
- Mediante adhesión a estándares técnicos compatibles + reconocimiento.
Argentina puede negociar reconocimiento mutuo con eIDAS 2.0 una vez que tenga su Trust Framework federal operativo. Esto permitiría:
- Credenciales argentinas reconocidas en los 27 países UE.
- Credenciales UE reconocidas en Argentina.
- Sin acuerdos bilaterales 27×1.
La autoridad de aplicación
A nivel europeo, la European Commission mantiene la Trust List federada y la Trust List de Trust Lists. A nivel nacional, cada país tiene una autoridad designada:
| País | Autoridad |
|---|---|
| España | Ministerio de Asuntos Económicos y Transformación Digital |
| Italia | Agenzia per l'Italia Digitale (AgID) |
| Alemania | Bundesnetzagentur |
| Francia | Agence nationale de la sécurité des systèmes d'information (ANSSI) |
Para Argentina, una autoridad equivalente sería probablemente una institución de coordinación federal (la Mesa Federal misma, en consorcio con AAIP / ANSV / RENAPER).
El caso de SovraID
SovraID workspace, cuando emite credenciales gov en Argentina, puede en el futuro:
- Estar incluido en la Trust List Federal Argentina (asumiendo Mesa Federal operativa).
- Ser reconocido vía mutual recognition con eIDAS 2.0.
- Emitir credenciales reconocidas en los 27 países UE.
Esto convertiría a Sovra (y por extensión a las provincias argentinas que adopten su stack) en uno de los primeros proveedores LATAM con reconocimiento UE.
Referencias
Relacionados
- Trust Frameworks — qué son y para qué — el concepto general
- eIDAS 2.0 — qué aprender de la UE — el marco regulatorio completo
- Gobernanza federada — el modelo Mesa Federal — el equivalente argentino