La guía del board sobre digital trust en la banca

Qué decidir en 2026 para eIDAS 2.0, la adopción de wallets y el cambio de video-ident a self-ident

La conversación en torno al European Digital Identity Wallet (EUDI Wallet) ya no gira en torno a si los wallets llegarán. Se trata de decidir y ejecutar. EI eIDAS 2.0 está pasando de la intención legislativa a la implementación concreta. En paralelo, el régimen europeo de lucha contra el blanqueo de capitales se está volviendo operativo a través del AMLR y de los correspondientes Regulatory Technical Standards (RTS), incluida la cuestión práctica de cómo debe realizarse la verificación remota de identidad. Al mismo tiempo, PSR y PSD3 establecen el marco para la ejecución de pagos y la autenticación fuerte del cliente (SCA), que sigue siendo central para el onboarding digital, la gestión de cuentas y los procesos de aprobación.

Desde el punto de vista operativo, estos marcos ahora convergen. eIDAS responde a la pregunta «¿quién es esta persona?». Las normas AML/CFT responden «¿podemos establecer o continuar esta relación?». PSR y PSD3 regulan «¿cómo aprobamos y autenticamos los pagos de forma segura?». En la práctica, la identidad, los controles contra el blanqueo y la seguridad de los pagos se están convirtiendo en una única cadena de confianza y de evidencias en lugar de tres pilas de cumplimiento separadas.

Lo que muchos equipos directivos aún subestiman no es la dirección normativa, sino la realidad operativa de la adopción.

• Riesgo de interoperabilidad. No habrá un único wallet. Habrá múltiples wallets respaldados por los Estados y, dependiendo del país, implementaciones privadas, distintos formatos de credenciales, políticas de emisores y regímenes de registro diferentes. Los bancos necesitan un modelo operativo independiente del wallet en lugar de un plan centrado en un solo wallet.
• Responsabilidad y auditabilidad. Aceptar un wallet no significa simplemente añadir otra opción de inicio de sesión. Cambia la forma en que se demuestra la identidad en el Customer Due Diligence (CDD) y la solidez de esa evidencia en auditorías, supervisión o disputas posteriores. El KYC tradicional basado en documentos físicos no desaparecerá. Pero cuando se utiliza la verificación remota basada en documentos físicos, el enfoque más sólido es cerrar ese proceso con una firma electrónica cualificada (QES) y apoyarse en procedimientos certificados por ETSI alineados con eIDAS 2.0, de modo que el banco construya una cadena de confianza digital jurídicamente sólida de extremo a extremo.
• La última milla entre cumplimiento y conversión. Un proceso de identificación remota que cumple con la normativa pero que es demasiado lento o demasiado complejo no representa una ventaja estratégica. Un proceso de alta garantía con una fuerte conversión supone al mismo tiempo reducción de riesgo y habilitación del crecimiento.

Estas cuestiones están en el centro de atención en 2026 porque las hojas de ruta de onboarding y de adopción de wallets se están discutiendo cada vez más en público y en todo el mercado. La presión no proviene solo de la regulación. También proviene de las expectativas de los clientes: los recorridos digitales deben ser rápidos, intuitivos y sin interrupciones entre canales, al tiempo que producen evidencias capaces de sostenerse ante supervisión, auditoría y disputas.

El cambio central en 2026: de video-ident a self-ident

Para muchos bancos, el verdadero punto de inflexión operativo no es solo el wallet. Es la cuestión de qué método de identificación remota se convertirá en el estándar a partir de ahora. La lógica emergente de los RTS del AMLR da prioridad a los métodos definidos por eIDAS: eID notificado, el EUDI Wallet y las firmas electrónicas cualificadas (QES). Solo cuando estas vías no estén disponibles o no puedan proporcionarse razonablemente se vuelve relevante otra forma de verificación remota basada en documentos de identidad físicos. Esto convierte a los métodos alternativos en una opción de respaldo con requisitos adicionales de control, documentación y justificación.

En términos prácticos, esto significa que los bancos deberían dejar de diseñar el onboarding futuro únicamente en torno a los métodos de identificación remota definidos en las actuales leyes AML nacionales, como las videollamadas asistidas por un operador, simplemente porque así se ha hecho durante los últimos diez años. Cuando los clientes todavía no utilizan una identidad digital, la vía recomendada con la entrada en vigor del AMLR en julio de 2027 será estructurar la verificación remota basada en el documento de identidad físico de manera alineada con eIDAS 2.0, protegida por controles basados en estándares ETSI y concluida con una QES. Esto crea un proceso continuo jurídicamente válido anclado en un nivel alto de la jerarquía regulatoria, en lugar de un proceso de menor nivel de garantía que posteriormente debe justificarse caso por caso.

Que la experiencia de identificación remota esté acompañada por un operador humano en una sesión de vídeo o que sea realizada por el propio usuario como un flujo de self-ident no asistido pasa a ser una decisión de diseño secundaria. La pregunta principal ya no es «¿operador o sin operador?», sino «¿cómo logramos el resultado de garantía preferido con la mejor experiencia de cliente, la mejor conversión y la cadena de evidencias más sólida?».

Por qué este cambio es importante

• Conversión y velocidad. Los tiempos de espera destruyen la conversión. El self-ident combinado con una QES inmediata elimina la fricción de las colas, comienza al instante y puede completarse las veinticuatro horas del día.
• Escalabilidad. La capacidad de los operadores humanos es limitada, costosa y en los modelos asistidos suele requerir soporte multilingüe. El self-ident se adapta más fácilmente a picos de demanda, campañas y estacionalidad.
• Resiliencia operativa. El modelo operativo pasa de la gestión de colas y personal al control de calidad y la gestión de alternativas: qué ocurre en casos críticos, cuando la calidad de las imágenes es deficiente, cuando aparecen señales de fraude o cuando los usuarios simplemente se pierden en el proceso.
• Adecuación regulatoria. Si los eID conformes con eIDAS, los wallets y las QES se convierten en los métodos preferidos, cualquier vía alternativa debe ser limitada, medible, documentada y defendible ante el supervisor financiero. Los procedimientos de identificación remota certificados por ETSI que permiten la emisión de una QES pueden desempeñar este papel incluso cuando se trata de procesos totalmente no asistidos basados en selfies.

Un onboarding inteligente hoy significa menos pasos, mejor orquestación y, sobre todo, no esperar a un operador salvo en casos verdaderamente excepcionales.

Las expectativas se consolidan: eIDAS se convierte en el estándar, el fallback debe justificarse

Si la identificación por vídeo asistida sigue siendo hoy el elemento principal de su stack AML/KYC, 2026 es el año para dejar de tratar la migración como algo opcional. La dirección es clara: la identificación electrónica alineada con eIDAS se convierte en el estándar para la identificación remota, mientras que los métodos alternativos siguen siendo posibles solo si están justificados, protegidos por controles, documentados y alineados con el perfil de riesgo de la institución.

Esto afecta a algo más que el onboarding minorista. También afecta a la reidentificación, la recuperación de cuentas, la gestión de actividades sospechosas, los productos de alto riesgo y los procesos de firma en los que la calidad de la prueba podría ser cuestionada posteriormente en tribunales o en revisiones del supervisor.

Estratégicamente, la pregunta no es solo «¿cómo integramos el uso del wallet?». Es «¿cuál es nuestro proceso KYC por defecto y cómo diseñamos procesos de fallback que sean a la vez centrados en el cliente y preparados para auditoría?».

En la práctica, el eID y el EUDI Wallet son la vía preferida para los clientes que ya disponen de estos medios y los utilizan. Para todos los demás, la alternativa más sólida es un proceso habilitado para QES basado en un procedimiento de identificación remota alineado con eIDAS 2.0 a partir del documento de identidad físico del usuario.

Un flujo de onboarding simplificado sin QES puede seguir siendo posible en ciertos casos, pero es el camino que exige mucha más confianza y justificación ante el supervisor. En cualquier caso, el servicio de identificación elegido debe poder demostrar certificación ETSI para el proceso de identificación remota correspondiente.

Consultas y RTS: influir ahora en lugar de rehacer más tarde

AMLA está trabajando en estándares técnicos durante 2026, mientras que las consultas sobre Customer Due Diligence siguen siendo muy relevantes para los bancos que quieren influir en la implementación práctica. Esta es una oportunidad real para reducir riesgos futuros. Las instituciones que aportan ahora experiencia operativa sobre fuentes de datos, métodos de verificación, proporcionalidad y lógica de fallback pueden reducir el trabajo posterior de revisión en controles, narrativas de auditoría y discusiones con supervisores. Esto es especialmente importante para los modelos de negocio transfronterizos.

Lo que los boards deben decidir en 2026: tres bloques de decisión

A. Target journeys: donde el wallet y la identidad digital se convierten en el plano de control por defecto

Un error habitual es tratar la adopción del wallet como un único proyecto con un único lanzamiento. Un enfoque más práctico es definir un portafolio de journeys, cada uno con requisitos explícitos de garantía, evidencia y canal.

Para la mayoría de los bancos, tres procesos principales deberían fijarse en 2026 para su ejecución en 2027.

• Onboarding minorista (initial KYC), incluyendo variantes transfronterizas y flujos para no ciudadanos.
• Procesos de reidentificación como recuperación de cuenta, cambio de dispositivo, actividad sospechosa y revisiones de límites de transacción.
• Procesos de firma con alto valor económico, como contratos de crédito, onboarding wealth y poderes de firma corporativos.

Para los bancos con un enfoque corporativo más fuerte puede añadirse un cuarto proceso clave: onboarding corporativo (KYB) y verificación de poderes de firma, donde las verificaciones digitales de certificaciones ya pueden reducir significativamente el trabajo manual de revisión y conciliación, mientras que en el futuro el próximo European Business Wallet promete procesos mucho más simples también en este ámbito.

Para cada journey el board debería decidir:

• Postura digital first. Utilizar eID o EUDI Wallet siempre que sea posible. Para los usuarios que ya disponen de estos medios suele ser el camino más simple para el cliente y el de menor coste para la relying party.
• Diseño del fallback. Para los clientes que siguen utilizando documentos físicos, utilizar procedimientos de identificación remota habilitados para QES. Los modelos self-ident no asistidos probablemente superarán a los modelos asistidos en escalabilidad y coste, aunque ambos puedan coexistir durante un tiempo.
• Cobertura de canales. Definir cómo funciona el journey en la app, web móvil, escritorio, canales asistidos y escenarios cross-device.

B. Estrategia de evidencias: «poder demostrarlo en 2027 y más allá» es el verdadero requisito

Las evidencias son algo más que almacenamiento de logs. Para supervisión, disputas, procedimientos transfronterizos e incidentes de seguridad, cada journey de cliente necesita un paquete de evidencias definido.

Los boards deberían exigir decisiones claras sobre qué se recopila, cómo se protegen la integridad y el momento temporal de los datos, cómo pueden los auditores revisar el material y cómo se aplican operativamente la retención, la minimización y la limitación de finalidad.

Este paquete de evidencias debería incluir los artefactos de proofing capturados, los resultados de verificación, las evaluaciones de riesgo, las decisiones, los consentimientos del cliente y las razones de cualquier tratamiento especial o de fallback.

Este punto se vuelve aún más importante si un banco quiere seguir utilizando flujos de video-ident sin QES en algunos casos excepcionales. El paquete de evidencias para estas excepciones debe seguir siendo sólido, revisable y defendible, no solo cuando el proceso funciona perfectamente, sino especialmente cuando no lo hace.

C. Modelo operativo y gobernanza: la introducción del wallet no es un proyecto puntual

La preparación para wallets afecta a compliance, canales digitales, prevención de fraude, seguridad IT, legal y operaciones. Por ello los boards deberían definir un modelo operativo duradero con un sponsor ejecutivo responsable, un product owner end to end para los journeys de identidad y confianza y responsabilidades explícitas para certificación y registro cuando sea necesario, gestión de incidentes, supervisión de proveedores de servicios, gobernanza de controles automatizados y modelos de riesgo e implementación de cambios impulsados por nuevos estándares y reglas.

La pregunta estratégica no es «¿wallet sí o no?». Es «¿qué modelo operativo nos lleva con seguridad hasta 2027 y nos mantiene escalables después?».

Cómo son las mejores decisiones en 2026

• Financiar los journeys principales de extremo a extremo: experiencia de usuario, controles, evidencias y operaciones juntos.
• Definir una política coherente de garantía de identidad y reducir el número de métodos paralelos utilizados en el día a día.
• Hacer del wallet y del eID el camino preferido cuando estén disponibles, pero sin esperar obtener todas las certificaciones necesarias únicamente desde allí.
• Ofrecer self-ident como alternativa estándar escalable para usuarios sin wallet ni eID.
• Mantener los procedimientos asistidos como fallback en lugar de modelo principal.
• Tratar la interoperabilidad como un riesgo de primer nivel entre múltiples wallets, formatos de credenciales y variantes nacionales.
• Definir la auditabilidad como requisito de producto para que los journeys puedan reconstruirse incluso años después.

Así es como la ventana 2026–2027 puede convertirse en una ventaja duradera de confianza digital: transfronteriza, independiente del wallet y más amigable para el cliente porque los usuarios ya no tienen que esperar a un operador para continuar su proceso.

---

Recomendaciones para profundizar la lectura

• Bitkom e.V. (with BMDS) – “Memorandum of Understanding zur erfolgreichen Einführung der EUDI-Wallet”
• Agence France Titres and signatories – “Mémorandum d’Entente pour la mise en œuvre et l’adoption du portefeuille européen d’identité numérique”
• Johannes Wirtz; Chantal Raab (Bird & Bird) – “Videoident nur noch als Fallback: Die EBA setzt auf eIDAS”
• AMLA – “Consultation on the draft RTS on Customer Due Diligence”
• European Commission – “European Commission adopts new round of EU Digital Identity Wallet implementing regulations”
• PwC Netherlands – “PSD3/PSR is coming: New regulations affect all parties within the payment sector”
• European Parliament Legislative Train – “Revision of EU rules on payment services”