Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Orientaciones de IA del CBUAE: Cumplimiento esencial para instituciones financieras de los EAU

Orientaciones de IA del CBUAE: Cumplimiento esencial para instituciones financieras de los EAU

by Marc ten Eikelder updated marzo 6, 2026 Cumplimiento Regulatorio
Reading Time: 9 minutes

El Banco Central de los EAU no publicó sugerencias el 11 de febrero de 2026. Publicó una Nota de orientación sobre protección al consumidor y adopción responsable de IA y aprendizaje automático que redefine de manera fundamental las obligaciones de gobernanza, seguridad y cumplimiento de toda institución financiera autorizada que opere en los EAU. Bancos, aseguradoras, casas de cambio, compañías financieras y proveedores de servicios de pago están dentro del alcance.

Aspectos clave

  1. El CBUAE acaba de convertir la gobernanza de IA en una obligación a nivel de junta directiva para toda institución financiera autorizada en los EAU. La Nota de orientación del CBUAE sobre protección al consumidor y adopción responsable de IA y aprendizaje automático, publicada el 11 de febrero de 2026, exige que todas las instituciones financieras autorizadas (LFI)—bancos, aseguradoras, casas de cambio, compañías financieras y proveedores de servicios de pago—establezcan marcos documentados de gobernanza de IA proporcionales a su tamaño, integren los riesgos de IA en la administración de riesgos a nivel empresarial y hagan que las juntas directivas y la alta dirección sean directamente responsables de los resultados de la IA. Esto no es una orientación aspiracional. Es una obligación de cumplimiento con consecuencias de examen.
  2. La seguridad desde el diseño ya no es una buena práctica—es un mandato del CBUAE. Las LFI deben incorporar seguridad desde el diseño y privacidad desde el diseño en cada sistema de IA, integrando protecciones contra accesos no autorizados, uso indebido, ciberataques y fallos de sistema. La guía exige explícitamente pruebas de estrés, medidas de redundancia y planificación de respuesta a incidentes. Las instituciones financieras que ejecutan cargas de trabajo de IA en infraestructuras que tratan la seguridad como una simple configuración y no como una capacidad integrada están asumiendo una exposición que no podrán justificar ante un examinador.
  3. Los proveedores externos de IA no asumen tu responsabilidad regulatoria—y el CBUAE lo ha dejado claro. Los contratos de IA externalizada deben incluir derechos de auditoría, garantías de ciberseguridad y capacidad de cese inmediato. El CBUAE hace responsables a las LFI de los resultados de gobernanza de IA sin importar quién haya construido u opere el modelo. Con un 19% de organizaciones de Oriente Medio reportando fallos de cumplimiento de terceros en los últimos 12 meses y un 22% enfrentando investigaciones regulatorias, la era de asumir que el cumplimiento de tu proveedor es tu propio cumplimiento ha terminado.
  4. Las pruebas anuales de sesgo en IA son obligatorias—y «anual» significa documentado, auditable y defendible. El CBUAE exige que las LFI prueben sus modelos de IA para detectar sesgos al menos una vez al año—o tras cualquier actualización—utilizando datos de entrenamiento representativos. Los modelos implementados sin pruebas documentadas de sesgo, sin registros de cadena de custodia de los datos de entrenamiento o sin evidencia de resultados no discriminatorios están asumiendo un riesgo de cumplimiento que se intensifica con cada interacción con clientes que procesan.
  5. La distancia entre la velocidad de implementación de IA y la madurez de la gobernanza de IA es el riesgo principal. Las instituciones financieras de los EAU están implementando IA rápidamente en detección de fraude, calificación crediticia, incorporación de clientes y AML. El Informe de Pronóstico Kiteworks 2026 encontró que el 60% de las organizaciones de servicios financieros a nivel global aún carecen de una puerta de enlace de datos IA centralizada—y el 5% no tiene controles dedicados de IA en absoluto. La guía del CBUAE ha hecho que ponerse al día en gobernanza ya no sea opcional. La pregunta es si las LFI cerrarán la brecha antes de que los examinadores la documenten por ellas.

La directiva es integral. Las LFI deben establecer marcos documentados de gobernanza de IA proporcionales a su tamaño, naturaleza y complejidad. Deben integrar los riesgos de IA en la administración de riesgos a nivel empresarial en dimensiones de conducta, crédito, operacionales y de ciberseguridad. Las juntas directivas y la alta dirección asumen responsabilidad directa por los resultados de IA, la implementación de modelos y el monitoreo continuo—con reportes regulares sobre desempeño y riesgos. Es obligatorio un inventario integral de todos los modelos de IA—incluyendo nombre, propósito, nivel de riesgo y metadatos—alineado con los Estándares de Gestión de Modelos del CBUAE de 2022.

La guía se suma a la Ley de Protección de Datos Personales de los EAU (Decreto-Ley Federal N.º 45/2021), que regula cómo se recopilan, almacenan y procesan los datos personales. Juntas, estas normativas crean un entorno de cumplimiento multinivel donde las LFI deben demostrar tanto controles específicos de IA como madurez en gobernanza de datos más amplia. Esto no es una aspiración a futuro. Es una obligación actual con consecuencias de examen.

El momento es intencionado. Los EAU se han posicionado como líderes globales en adopción de IA—la Estrategia Nacional de IA 2031 y el Marco de Gobernanza de IA de Dubái reflejan la ambición nacional. Pero la ambición sin límites claros crea riesgo sistémico. El CBUAE marca la pauta: adopta IA de forma agresiva, pero gobiérnala rigurosamente. Para las LFI que han implementado herramientas de IA más rápido de lo que han construido infraestructura de gobernanza, la pista regulatoria acaba de acortarse considerablemente.

La seguridad desde el diseño ahora es un estándar regulatorio—no una frase de marketing

La guía del CBUAE es explícita sobre lo que significa seguridad en el contexto de IA: las LFI deben incorporar seguridad desde el diseño y privacidad desde el diseño en los sistemas de IA, integrando protecciones contra accesos no autorizados, uso indebido, ciberataques y fallos de sistema. El desarrollo de IA requiere medidas de resiliencia operativa y validación bajo escenarios diversos para evitar resultados inseguros.

Aquí es donde la distancia entre lo que la mayoría de las instituciones financieras tienen y lo que el CBUAE ahora exige se vuelve evidente. La mayoría de las implementaciones de IA en banca se ejecutan en infraestructuras en la nube donde la seguridad depende de decisiones de configuración tomadas por el equipo de TI del banco. Si la configuración es incorrecta, la protección es incorrecta. Si la infraestructura subyacente es multi-tenant, los datos de IA del banco comparten entornos de ejecución con otros clientes—y las vulnerabilidades entre tenants se convierten en un problema del banco.

El CBUAE está prescribiendo algo fundamentalmente diferente: seguridad arquitectónica, no solo de configuración. Las pruebas de estrés, la redundancia y la planificación de respuesta a incidentes no son mejoras opcionales—son requisitos explícitos. Para IA externalizada, los contratos deben incluir derechos de auditoría, garantías de ciberseguridad y capacidad de cese inmediato. Este último requisito merece énfasis: el CBUAE espera que las LFI puedan apagar de inmediato un sistema de IA externalizado si no se cumplen los requisitos de gobernanza. Las instituciones financieras que no puedan demostrar esta capacidad tienen un problema de cumplimiento específico y documentable.

Gobernanza de datos en la era de la IA: dónde están expuestas las instituciones financieras de los EAU

La guía del CBUAE convierte la calidad, privacidad y seguridad de los datos en la base del cumplimiento de IA. Los datos utilizados en sistemas de IA y aprendizaje automático deben cumplir con los requisitos de la PDPL de los EAU—garantizando que la recopilación, almacenamiento y uso sean legítimos, proporcionales, precisos, relevantes y se actualicen regularmente. Las LFI no pueden implementar IA discriminatoria. Los modelos requieren pruebas anuales de sesgo con datos de entrenamiento representativos para evitar resultados injustos.

El reto práctico es que los datos financieros sensibles no permanecen estáticos. Fluyen por correo electrónico, uso compartido de archivos, servidores SFTP, servidores MFT, APIs, formularios web y—cada vez más—integraciones de IA. Cada uno de estos canales representa una posible brecha de gobernanza. La mayoría de las instituciones financieras gestionan estos canales con herramientas separadas, cada una con sus propias políticas, registros y postura de seguridad. El resultado: visibilidad fragmentada, controles inconsistentes y puntos ciegos de cumplimiento que un examinador puede identificar más rápido de lo que el banco puede explicarlos.

El Informe de Soberanía de Datos Kiteworks 2026 cuantifica lo que está en juego para Oriente Medio. El 44% de los encuestados de Oriente Medio experimentó un incidente relacionado con la soberanía en los últimos 12 meses—la tasa más alta de cualquier región encuestada. El 93% afirma que las regulaciones de soberanía de datos impactan directamente en sus operaciones. Y el 22% reporta investigaciones regulatorias y auditorías como el tipo de incidente más común. Para las LFI que implementan sistemas de IA que procesan datos financieros de clientes, la convergencia de los requisitos de gobernanza de IA y las obligaciones de soberanía de datos crea una superficie de cumplimiento que las herramientas fragmentadas simplemente no pueden cubrir.

Proveedores externos de IA: la brecha de responsabilidad que el CBUAE está cerrando

La guía del CBUAE no permite que las instituciones financieras traten la IA de terceros como un problema de cumplimiento ajeno. Las LFI deben realizar la debida diligencia sobre los proveedores de IA externos, cubriendo gobernanza, protección de datos y revisiones independientes anuales de ciberseguridad. Los contratos de IA externalizada deben incluir derechos de auditoría, garantías de ciberseguridad y capacidad de cese inmediato. El cumplimiento se extiende a los proveedores externos—no como una mejora opcional, sino como una expectativa regulatoria con requisitos de evidencia documentada.

Esto es relevante porque la dependencia de IA de terceros en servicios financieros está acelerándose. Los bancos externalizan cada vez más el desarrollo, implementación y mantenimiento de modelos a proveedores externos. Cada una de estas relaciones genera un intercambio de datos—datos de entrenamiento que salen, resultados de modelos que regresan, datos de monitoreo que se mueven entre sistemas. Sin visibilidad unificada sobre estos intercambios, una LFI no puede demostrar la gobernanza que exige el CBUAE.

Los datos de soberanía de Oriente Medio hacen que el riesgo sea concreto: el 19% de las organizaciones de Oriente Medio reportaron fallos de cumplimiento de terceros en el último año. Cuando tu proveedor externo falla en un requisito de cumplimiento, el CBUAE no envía la carta de cumplimiento a la sede del proveedor. La envía a la tuya.

Cómo Kiteworks ayuda a las instituciones financieras de los EAU a cumplir los requisitos de gobernanza de IA del CBUAE

La guía de IA del CBUAE exige capacidades que las herramientas de seguridad fragmentadas no fueron diseñadas para ofrecer. Gobernanza documentada en todos los canales de intercambio de datos. Registros de auditoría inmutables que pueden presentarse bajo demanda. Seguridad desde el diseño que no depende de la configuración. Controles de proveedores externos que son aplicables y verificables. Soberanía de datos que opera a nivel arquitectónico, no solo de almacenamiento.

Kiteworks es el plano de control para el intercambio seguro de datos. Consolida los flujos de datos sensibles—correo electrónico, uso compartido seguro de archivos, SFTP, transferencia de archivos gestionada, APIs, formularios web e integraciones de IA—bajo un único motor de políticas, registro de auditoría y arquitectura de seguridad. Para las instituciones financieras de los EAU que navegan los requisitos de gobernanza de IA del CBUAE, esta arquitectura se alinea directamente con lo que los examinadores esperan encontrar:

  • Gobernanza de IA unificada: Un solo motor de políticas aplica controles RBAC y ABAC consistentes en cada canal por el que los sistemas de IA acceden a datos financieros. Se acabó conciliar políticas separadas para correo electrónico, SFTP, APIs y uso compartido de archivos.
  • Registros de auditoría inmutables: Cada evento de intercambio de datos se captura en un registro único y consolidado—sin limitaciones, sin entradas omitidas y entrega SIEM en tiempo real. Cuando el CBUAE examine tu gobernanza de IA, presentas un único conjunto integral de evidencia.
  • Arquitectura de seguridad desde el diseño: Kiteworks se implementa como un dispositivo virtual reforzado con firewalls integrados, WAF, detección de intrusiones, cifrado doble en reposo y arquitectura de confianza cero—todo gestionado por Kiteworks, no por tu equipo de infraestructura.
  • Aislamiento de tenencia única: Cada implementación es de tenencia única por diseño. Sin bases de datos, sistemas de archivos ni entornos de ejecución compartidos. Los ataques entre tenants que comprometen plataformas de IA multi-tenant no pueden ocurrir.
  • Gobernanza de proveedores externos: Gestión completa del ciclo de vida de usuarios externos con aplicación de ABAC, registros de auditoría completos para cada intercambio de datos con proveedores y controles de cese que cumplen el requisito de apagado inmediato del CBUAE.
  • Aplicación de la soberanía de datos: Geoperimetraje, custodia de claves de cifrado en la jurisdicción y controles IP configurables aseguran que los datos financieros sensibles permanezcan dentro de los límites de los EAU a nivel arquitectónico.
  • Integración lista para IA: El servidor Kiteworks Secure MCP permite que los sistemas de IA interactúen con datos financieros respetando las políticas de gobernanza existentes—extendiendo controles compatibles con el CBUAE a los flujos de trabajo de IA sin necesidad de construir infraestructura separada.

El resultado: las instituciones financieras de los EAU pueden demostrar el cumplimiento de la gobernanza de IA del CBUAE a través de la arquitectura y la evidencia, no solo con documentación y expectativas. Una plataforma que los equipos de cumplimiento pueden gestionar, los equipos de seguridad pueden confiar, los examinadores del CBUAE pueden verificar y las juntas directivas pueden reportar con confianza.

Qué significa la guía de IA del CBUAE para el programa de seguridad y cumplimiento de tu institución

La guía del CBUAE no describe un entorno regulatorio futuro. Describe el actual. Las LFI que traten esto como un marco aspiracional en vez de un requisito operativo de cumplimiento están acumulando riesgo de examen que se multiplica con cada modelo de IA implementado sin gobernanza documentada, cada proveedor externo operando sin controles auditables y cada intercambio de datos que fluye por canales que no pueden producir evidencia bajo demanda.

Cinco ajustes concentran el mayor impacto según los requisitos de la guía:

Primero, establece una gobernanza de datos unificada en todos los intercambios de datos relacionados con IA. El CBUAE exige gobernanza que abarque todo el ciclo de vida de los datos de IA—recopilación, procesamiento, entrenamiento, inferencia y salida. Las instituciones financieras que gestionan estos flujos con herramientas fragmentadas no pueden demostrar los controles consistentes que esperan los examinadores.

Segundo, construye el inventario de modelos de IA que exige el CBUAE—ahora. Cada modelo de IA debe estar documentado con nombre, propósito, nivel de riesgo y metadatos. Las instituciones que no puedan presentar este inventario durante un examen están demostrando una deficiencia de gobernanza, no solo una brecha de documentación.

Tercero, implementa la seguridad desde el diseño como una decisión arquitectónica, no como un proyecto de configuración. Los requisitos del CBUAE para protecciones integradas, pruebas de estrés y resiliencia operativa no se cumplen añadiendo herramientas de seguridad a la infraestructura existente. Se cumplen con infraestructura que ofrece la seguridad como capacidad integrada.

Cuarto, formaliza la gobernanza de proveedores externos de IA con derechos de auditoría documentados, garantías de ciberseguridad y controles de cese. El 19% de tasa de fallos de terceros en Oriente Medio significa que esto no es un riesgo teórico—es una probabilidad estadística para instituciones con relaciones significativas con proveedores.

Quinto, pasa de la documentación reactiva de cumplimiento a la gobernanza continua y demostrable. El CBUAE espera reportes regulares sobre desempeño y riesgos de IA, monitoreo continuo y evidencia lista para auditoría. Las instituciones que se preparan solo para los exámenes, en vez de mantener la preparación continua para el cumplimiento, siempre estarán a un examen de distancia de una observación.

Las instituciones financieras que cierren estas brechas en 2026 estarán en posición de adoptar IA más rápido, de forma más segura y con la confianza regulatoria que brinda una gobernanza comprobable. Las que pospongan descubrirán que el CBUAE ha documentado las mismas brechas que ellas—con mucha menos paciencia para las explicaciones.

Para leer las 5 principales razones por las que las instituciones financieras de los EAU necesitan Kiteworks para el cumplimiento de IA del CBUAE, haz clic aquí.

Preguntas frecuentes

La Nota de orientación del CBUAE sobre protección al consumidor y adopción responsable de IA exige que las instituciones financieras autorizadas en los EAU mantengan un marco documentado de gobernanza de IA, un inventario integral de modelos de IA, responsabilidad a nivel de junta directiva por los resultados de IA, protecciones de seguridad desde el diseño y pruebas anuales de sesgo. Las instituciones también deben integrar los riesgos de IA en la administración de riesgos a nivel empresarial y producir evidencia lista para auditoría bajo demanda. El registro de auditoría unificado y el motor de políticas de Kiteworks ayudan a las LFI a demostrar estos requisitos ante los examinadores del CBUAE.

La guía de IA del CBUAE exige que los contratos de IA externalizada incluyan derechos de auditoría, garantías de ciberseguridad y capacidad de cese inmediato. Las LFI asumen plena responsabilidad regulatoria por los resultados de IA de terceros sin importar quién opere el modelo. Con un 19% de organizaciones de Oriente Medio reportando fallos de cumplimiento de terceros, Kiteworks proporciona gobernanza documentada de proveedores mediante gestión del ciclo de vida de usuarios externos, aplicación de políticas ABAC y registros de auditoría completos de terceros.

La guía del CBUAE se suma directamente al Decreto-Ley Federal N.º 45/2021 (PDPL) de los EAU. Los sistemas de IA que procesan datos personales deben garantizar que la recopilación, almacenamiento y uso sean legítimos, proporcionales y precisos. Los modelos requieren pruebas anuales de sesgo utilizando datos representativos. Kiteworks refuerza el cumplimiento de la PDPL a nivel arquitectónico mediante controles de acceso granulares, custodia de claves de cifrado en la jurisdicción y geoperimetraje—asegurando que la residencia de los datos sea comprobable, no solo una promesa.

El CBUAE exige seguridad desde el diseño y privacidad desde el diseño integradas en los sistemas de IA—no añadidas después de la implementación. Esto incluye protecciones contra accesos no autorizados, pruebas de estrés, redundancia y planificación de respuesta a incidentes. La seguridad perimetral estándar no es suficiente. Kiteworks ofrece seguridad como capacidad de producto a través de su dispositivo virtual reforzado con firewalls integrados, WAF, cifrado doble, arquitectura de confianza cero y aislamiento de tenencia única—todo gestionado automáticamente.

Los examinadores del CBUAE esperan un marco documentado de gobernanza de IA, un inventario completo de modelos con metadatos, reportes de junta directiva sobre desempeño y riesgos de IA, registros de pruebas de sesgo, documentación de gobernanza de proveedores externos y registros de auditoría integrales que cubran los intercambios de datos de IA. La Red de Contenido Privado de Kiteworks genera artefactos de evidencia inmutables y exportables en todos los canales de intercambio de datos—permitiendo a las LFI demostrar gobernanza bajo demanda en vez de armar evidencia bajo presión de examen.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks