Startupul Delve, acuzat că ar fi mințit sute de clienți despre respectarea GDPR și HIPAA, folosind „dovezi fabricate” și auditări formale

Un articol anonim publicat pe Substack în această săptămână acuză startupul de conformitate Delve că ar fi „convins în mod fals sute de clienți că erau în conformitate” cu reglementările de confidențialitate și securitate, expunându-i astfel „la răspundere penală în baza HIPAA și la amenzi substanțiale conform GDPR”.

Delve este un startup susținut de Y Combinator, care anul trecut a anunțat o rundă de finanțare Serie A de 32 de milioane de dolari, la o evaluare de 300 de milioane de dolari. Vineri, compania a încercat să respingă acuzațiile pe blogul său, numind articolul de pe Substack „înșelător” și susținând că acesta „conține o serie de afirmații inexacte”.

Postarea de pe Substack este semnată de „DeepDelver”, care se descrie ca lucrând la un fost client Delve. În răspunsul trimis pe email către jurnalistii care i-au contactat, DeepDelver a explicat că ei și colaboratorii lor „au ales să rămână anonimi de teamă de represalii din partea Delve”.

În textul său, DeepDelver povestește că, în decembrie, a primit un email prin care se anunța că startupul ar fi „scurs un fișier Excel cu rapoarte confidențiale ale clienților”. Deși CEO-ul Delve, Karun Kaushik, și-ar fi liniștit clienții ulterior printr-un email în care afirma că aceștia sunt în continuare conformi și că nicio parte externă nu a accesat date sensibile, DeepDelver spune că el și alți clienți au devenit suspicioși.

„Având experiența comună de a fi dezamăgiți de colaborarea cu Delve și senzația generală că ceva nu este în regulă, am decis să ne unim resursele și să investigăm împreună”, au scris ei.

Concluzia lor a fost că Delve „își atinge promisiunea de a fi cea mai rapidă platformă producând dovezi false, generând concluzii de auditor în numele unor fabrici de certificări care aprobă rapoarte în masă și sărind peste cerințe majore ale cadrului de conformitate, în timp ce le spune clienților că au atins o conformitate de 100%”.

DeepDelver intră în detalii substanțiale despre aceste acuzații, susținând că startupul oferă clienților „dovezi fabricate ale unor ședințe de consiliu, teste și procese care nu au avut loc niciodată”, forțându-i apoi să „aleagă între a adopta dovezile false sau a efectua în mare parte muncă manuală, cu foarte puțină automatizare reală sau inteligență artificială”.

De asemenea, DeepDelver afirmă că aproape toți clienții Delve par să fi trecut prin două firme de audit, Accorp și Gradient, descrise ca făcând „parte din aceeași operațiune”, una care operează în principal în India și are doar o prezență nominală în Statele Unite.

Potrivit acestor acuzații, firmele respective nu fac decât să aplice un „ștampilat” formal unor rapoarte generate de Delve. În consecință, DeepDelver susține că startupul „inversează” structura normală a procesului de conformitate: „Prin faptul că generează concluzii de auditor, proceduri de testare și rapoarte finale înainte de orice revizuire independentă, Delve se poziționează simultan ca implementator și examinator. Nu este un simplu detaliu tehnic. Este o fraudă structurală care invalidează întreaga atestare.”

Pe lângă acuzația că induce în eroare clienții, DeepDelver susține că Delve îi ajută pe aceștia „să inducă în eroare publicul prin găzduirea unor pagini de încredere ce enumeră măsuri de securitate care nu au fost niciodată implementate”.

DeepDelver mai povestește că, în timp ce compania lor discuta problemele cu Delve, startupul „ne-a trimis mai multe cutii cu gogoși [...] pentru a ne ține mulțumiți”. Cu toate acestea, angajatorul lui DeepDelver ar fi decis să își retragă pagina de încredere și să nu mai utilizeze Delve pentru conformitate.

În fața acuzațiilor, Delve a răspuns că nu emite deloc rapoarte de conformitate. În schimb, spune că este o „platformă de automatizare” care colectează date despre conformitate și oferă apoi auditorilor acces la aceste informații.

„Rapoartele și opiniile finale sunt emise exclusiv de auditori independenți, autorizați, nu de Delve”, a declarat compania.

Delve mai arată că clienții „pot alege să lucreze cu un auditor la libera lor alegere sau să colaboreze cu unul din rețeaua de firme independente și acreditate de audit a Delve”. Aceste firme de audit, susține startupul, sunt „companii consacrate, utilizate pe scară largă în industrie, inclusiv de alte platforme de conformitate”.

Ca replică la acuzația că ar furniza clienților „dovezi false”, Delve răspunde că oferă doar „șabloane care ajută echipele să își documenteze procesele în conformitate cu cerințele de conformitate, așa cum fac și alte platforme”.

„Șabloanele de lucru nu sunt același lucru cu ‘dovezi precompletate’”, susține compania.

Delve adaugă că „investighează activ orice potențială scurgere de informații” și că „încă analizează articolul de pe Substack”.

Întrebat despre reacția Delve, DeepDelver a declarat că este „uluit de lenea, stângăcia și obrăznicia ei”.

„Ei încearcă să se strecoare pentru a evita să fie trași la răspundere, negând că oferă ‘dovezi precompletate’, dar numindu-le ‘șabloane’ în schimb, mutând de fapt vina asupra clienților pentru că adoptă ‘șabloanele’ ca atare”, a spus DeepDelver. „Pretind că nu ei sunt cei care ‘emit’ raportul, ceea ce este ușor de susținut dacă definești emiterea raportului strict ca aplicarea ștampilei finale.”

DeepDelver adaugă că există „un număr de acuzații foarte serioase” la care Delve nu a răspuns deloc: „Acuzația legată de India, lipsa AI (ei vorbesc doar despre ‘automatizări’) și pagina de trust (lol) care conținea controale ce nu au fost niciodată implementate.”

Potrivit autorului anonim, criticile nu se opresc aici, deoarece a promis: „Partea a II-a va urma în curând.”

După publicarea inițială a articolului de pe Substack, un utilizator al platformei X, pe nume James Zhou, a susținut că a reușit să obțină acces la informații sensibile din sistemele Delve, precum verificări de antecedente ale angajaților și programe de vesting pentru pachetele de acțiuni. Fondatorul Dvuln, Jamieson O’Reilly, a oferit mai multe detalii din ceea ce spune că a fost o discuție cu Zhou despre „mai multe breșe grave în suprafața de atac externă a Delve”.

Un email trimis la adresa de contact media listată pe site-ul Delve a fost respins, însă, după publicarea articolului, autorul a primit o invitație în calendar pentru un „Delve demo” programat mai târziu în cursul săptămânii.

Acest material a fost publicat inițial pe 21 martie 2026 și a fost ulterior actualizat cu răspunsuri primite pe email de la DeepDelver, cu informații suplimentare despre vulnerabilitățile de securitate semnalate de Jamieson O’Reilly și cu detalii noi despre reacția Delve la solicitările de clarificare.