eIDAS 2Uniao EuropeiaIdentity

eIDAS 2 e a carteira de identidade digital UE para KYC

eIDAS 2 e a carteira de identidade digital da UE mudam o KYC a partir do fim de 2026: o que verifica, regras e por que você precisa de um plano B.

Até o fim de 2026, cada Estado-Membro da UE deve oferecer aos seus cidadãos e residentes pelo menos uma carteira europeia de identidade digital certificada (a EUDI Wallet). Os países do EEE — Islândia, Liechtenstein, Noruega — têm mais um ano. Esse prazo vem do Regulamento (UE) 2024/1183, conhecido como eIDAS 2, que entrou em vigor em 20 de maio de 2024 e reescreveu o marco original do eIDAS de 2014.

Se você cuida do onboarding de clientes na Europa, isto não é um exercício normativo distante. Uma identidade apresentada pela carteira com nível de garantia «alto» equivale, por lei, a ter o cliente à sua frente. Se você verifica identidades para viver, espera-se que a aceite.

Aqui está a parte que os fornecedores ignoram: aceitar a carteira é necessário, não suficiente. A maioria das pessoas que você cadastrar em 2027 ainda não terá uma carteira utilizável. Este guia cobre as duas metades: o que a carteira obriga você a fazer e o que ela ainda não resolve por você.

Por que o eIDAS 2 cai diretamente sobre o KYC

O eIDAS 1 (2014) deu à UE assinaturas qualificadas e serviços de confiança. Quase não tocou no cadastro de clientes. O eIDAS 2 toca, por causa de uma ponte escrita em outra lei.

O Regulamento antibranqueamento da UE — AMLR, Regulamento (UE) 2024/1624 — reconhece de forma explícita a EUDI Wallet como meio válido para identificar e verificar um cliente durante a diligência devida. Logo, a carteira não é uma «alternativa simpática» ao seu fluxo de KYC. É um método de identificação chancelado pelo regulador para fazer o próprio passo de identificação. Quando a nova autoridade europeia antibranqueamento, a AMLA, iniciar a supervisão direta a partir de Frankfurt mais adiante na década, a identificação por carteira será uma expectativa básica, não um caso de exceção.

Se você cadastra clientes em setores regulados da UE — pagamentos, cripto sob a MiCA, crédito, jogos de azar —, o eIDAS 2 e o AMLR já são uma obrigação conectada. Tratá-los em separado é como as equipes acabam reconstruindo o onboarding duas vezes.

O que a EUDI Wallet permite verificar

A carteira carrega duas coisas que você pode solicitar como empresa:

  • Dados de identificação da pessoa (PID): o conjunto básico de identidade (nome, data de nascimento, nacionalidade, um identificador único) emitido e garantido pelo próprio Estado-Membro. É a espinha dorsal de alta garantia.
  • Atestações eletrônicas de atributos (EAA / QEAA): declarações verificáveis emitidas por partes de confiança: um diploma, uma conta bancária, uma licença profissional, um comprovante de endereço, um indicador de «maior de 18».

Três propriedades importam ao desenhar a verificação:

  • Nível de garantia «alto». A carteira atinge o nível de garantia mais rígido do eIDAS. Para a maioria dos fins de KYC, uma apresentação válida do PID elimina a captura de documento e a prova de vida para aquele usuário.
  • Divulgação seletiva. Um cliente pode provar um único atributo — «maior de 18», «residente na Espanha» — sem entregar o documento inteiro. É exatamente o que os regimes de verificação de idade exigem agora, e reduz os dados pessoais que você armazena.
  • Transfronteiriça por padrão. Uma carteira emitida em Portugal deve ser aceita por uma empresa na Alemanha. Uma única integração cobre os 27 Estados-Membros, a mesma lógica de passaporte que torna a MiCA atraente.

Falta base sobre os conceitos? Nosso guia sobre o que é KYC cobre os passos de identificação e verificação que a carteira foi desenhada para satisfazer.

Você tem de se registrar como parte utilizadora, e não pode pedir demais

Aceitar credenciais da carteira não é vale-tudo. Para solicitar dados a uma carteira, uma empresa deve se registrar como parte utilizadora junto ao órgão supervisor do seu Estado-Membro e declarar, com antecedência, quais atributos pretende pedir e por quê.

Duas consequências:

  • A minimização de dados é imposta pelo protocolo, não deixada à sua consciência. Se você se registra para checar «maior de 18», não pode puxar em silêncio a data de nascimento completa. A coleta excessiva é descumprimento do registro, não uma zona cinzenta.
  • O usuário pode recusar e ainda assim operar. O marco dá ao titular o controle de cada divulgação. Seu fluxo precisa lidar com elegância com uma apresentação parcial ou recusada, o que torna um caminho alternativo obrigatório, não opcional.

O banho de realidade: a carteira não vai substituir seu stack de KYC em 2027

Esta é a parte que vai na contramão, e a que protege seu roteiro.

Os fornecedores que vendem «KYC pronto para a carteira» insinuam que você pode aposentar a verificação documental e biométrica. Não pode, não por anos. Veja como o lançamento está chegando de verdade:

  • Os Estados-Membros começam com funcionalidade limitada. Várias carteiras sairão no prazo só com o PID, ou com PID mais uma habilitação de motorista no celular, e as atestações do setor privado virão depois. O ecossistema completo de atributos não acende de uma vez.
  • A adoção pelos cidadãos começa perto de zero. Ter direito legal a uma carteira não é o mesmo que uma população que a carrega e usa. Os esquemas de eID por cartão levaram uma década para chegar ao uso majoritário nos países que iam à frente.
  • Os clientes de fora da UE não têm carteira. Cada viajante, cada candidato expatriado e cada cliente fora da UE ainda precisa de verificação com documento e selfie. Para a maioria dos negócios transfronteiriços, isso é uma fatia enorme dos novos cadastros.

Por isso a arquitetura correta em 2027 é híbrida: aceite a EUDI Wallet quando um cliente a apresentar, e recorra à verificação de documento e biometria com IA para todos os demais, sem forçar o usuário a perceber por qual caminho está indo. As equipes que apostarem tudo na carteira não conseguirão cadastrar a maioria que ainda não a tem.

Como a Joinble se encaixa

A plataforma de identidade com IA da Joinble foi feita exatamente para essa divisão. Atua como camada de verificação e orquestração na frente do seu onboarding:

  • Aceita e valida as apresentações da EUDI Wallet como parte utilizadora registrada, pedindo apenas os atributos que você declarou.
  • Recorre automaticamente ao reconhecimento de documentos, prova de vida certificada e comparação biométrica quando não há carteira ou uma apresentação é recusada.
  • Executa triagem de sanções e PEP sobre a identidade verificada resultante, venha do caminho que vier.

A decisão de roteamento — carteira ou documento, o que pedir, quando escalar — é tomada pelos agentes de identidade da Joinble em vez de ficar fixada no código da sua aplicação. À medida que a adoção da carteira sobe em fintech e outros setores regulados, a mesma integração move mais tráfego para o caminho da carteira sem reconstruir nada do seu lado.

Como se preparar antes do prazo

  • Mapeie quais passos do seu onboarding uma apresentação de PID de alta garantia substituiria, e quais (triagem, monitoramento contínuo) ela nunca substituirá.
  • Decida o conjunto mínimo de atributos de que você realmente precisa e registre-se como parte utilizadora só para esse conjunto, nada mais.
  • Construa primeiro o caminho alternativo. Ele carrega a maior parte do seu volume em 2027 e é a parte que o eIDAS 2 não resolve.
  • Alinhe o trabalho da carteira com suas obrigações de diligência devida do AMLR para implementar a identificação uma vez, não duas.

FAQ

O eIDAS 2 obriga minha empresa a aceitar a carteira de identidade digital da UE?

O eIDAS 2 obriga os Estados-Membros a oferecer carteiras e exige que plataformas muito grandes e vários setores regulados as aceitem. Mesmo que a aceitação não seja estritamente obrigatória para o seu setor, o Regulamento antibranqueamento reconhece a carteira como método válido de diligência devida, de modo que recusá-la o deixa em desvantagem competitiva e supervisória.

Quando as carteiras de identidade digital da UE estarão disponíveis?

Cada Estado-Membro deve disponibilizar a cidadãos e residentes pelo menos uma EUDI Wallet certificada até o fim de 2026. Os países do EEE — Islândia, Liechtenstein e Noruega — têm até o fim de 2027. A funcionalidade vai se ampliar após o lançamento, em vez de chegar completa.

A EUDI Wallet pode substituir a verificação documental e biométrica?

Para usuários da UE que tenham carteira e apresentem um PID de alta garantia, ela pode substituir a captura de documento e a prova de vida nesse passo de identificação. Não cobre clientes de fora da UE, usuários sem carteira nem apresentações recusadas, por isso um respaldo documental e biométrico segue necessário muito além de 2027.

O que é uma parte utilizadora sob o eIDAS 2?

Uma parte utilizadora é qualquer empresa que solicita e se apoia em dados da carteira de um usuário. Você deve se registrar junto ao órgão supervisor do seu Estado-Membro e declarar com antecedência quais atributos vai pedir. O marco impõe a minimização de dados, então você não pode coletar atributos além da sua finalidade registrada.

Como o eIDAS 2 se relaciona com o Regulamento antibranqueamento da UE?

O Regulamento antibranqueamento (Regulamento (UE) 2024/1624) nomeia a EUDI Wallet como meio válido para identificar e verificar clientes durante a diligência devida. O eIDAS 2 cria a carteira; o AMLR torna a identificação por carteira uma via reconhecida para cumprir sua obrigação de KYC. Planeje os dois juntos.

Automatize a sua conformidade com AI Agents

A plataforma de Identidade Agentica da Joinble reduz as revisoes manuais de KYC ate 80%. Agende uma demo para ver em acao.

Agendar demo

Guias de conformidade relacionados

CBBBahrein

Requisitos KYC e AML para Criptomoedas no Bahrein (CBB)

Guia especializado sobre os requisitos de KYC e AML para empresas de criptomoedas no Bahrein, com foco nas regulamentacoes do Central Bank of Bahrain (CBB). Entenda como operar em conformidade.

BACEN/CVMBrasil

KYC e AML para Criptomoedas no Brasil (BACEN e CVM)

Guia detalhado sobre os requisitos de KYC e AML para empresas de criptomoedas no Brasil, abrangendo regulamentacoes do BACEN e da CVM. Entenda como operar em conformidade.

BSA/FinCENEstados Unidos

Requisitos KYC e AML para Criptomoedas nos Estados Unidos

Guia detalhado sobre requisitos de KYC e AML para empresas de criptomoedas nos Estados Unidos. Regulamentacoes da FinCEN, BSA, obrigacoes estaduais e federais para exchanges e VASPs.