La startup tecnologica Delve, sostenuta da Y Combinator e valutata circa 300 milioni di dollari dopo un round di Serie A da 32 milioni guidato da Insight Partners nel 2025, si trova al centro di una grave controversia. Un post anonimo pubblicato su Substack, firmato "DeepDelver", accusa l'azienda di aver fraudolentemente indotto “centinaia di clienti” a credere di essere conformi ai regolamenti su privacy e sicurezza, come HIPAA e GDPR. Questa presunta condotta esporrebbe le aziende clienti a «responsabilità penali e pesanti sanzioni».
Il post di DeepDelver sostiene che Delve avrebbe fornito ai propri clienti prove fabbricate, inclusi verbali di riunioni del consiglio, risultati di test e descrizioni di processi mai avvenuti.
I clienti avrebbero avuto la scelta tra adottare queste false evidenze o eseguire un lavoro prevalentemente manuale con scarsa automazione. L'accusa più grave riguarda l'inversione della tradizionale struttura di compliance: Delve avrebbe generato le conclusioni degli auditor e i rapporti finali prima che qualsiasi revisione indipendente potesse aver luogo, configurando quella che l’autore definisce una “frode strutturale” che invaliderebbe l'intera attestazione.
Le accuse: auditor "fantasma" e report standardizzati
A supporto delle accuse, un foglio di calcolo trapelato, contenente centinaia di bozze di report riservati, rivelerebbe che il 99,8% dei report SOC 2 presentava testo identico, inclusi gli stessi errori grammaticali; solo nome, logo e firma sarebbero stati modificati.
Viene inoltre contestato l'uso di partner di certificazione come Accorp e Gradient. Queste aziende, presentate come studi CPA statunitensi, opererebbero in realtà principalmente in India o attraverso entità nominali negli Stati Uniti, limitandosi ad approvare i rapporti generati da Delve senza condurre verifiche indipendenti.
Impatto legale e reputazionale
Le conseguenze per i clienti coinvolti sono significative: si profilano responsabilità penali ai sensi dell'HIPAA e multe che potrebbero raggiungere il 4% del fatturato globale per violazioni del GDPR. La vicenda ha sollevato interrogativi sull'operato degli investitori, tra cui Insight Partners e Y Combinator, e sull'intero ecosistema fintech, evidenziando come un'offerta di "compliance rapida e a basso costo" possa generare danni sistemici se basata su pratiche ingannevoli.
La risposta di Delve
In risposta alle accuse, Delve ha negato di emettere direttamente report di compliance, definendosi una "piattaforma di automazione" che raccoglie informazioni e le rende accessibili ad auditor indipendenti. L'azienda ha precisato che i rapporti finali e le opinioni sono emessi esclusivamente da auditor esterni e autorizzati. Delve ha inoltre affermato di fornire "template per aiutare i team a documentare i loro processi", distinguendoli da "evidenze pre-compilate", e ha garantito un'indagine attiva su qualsiasi fuga di dati. Tuttavia, DeepDelver ha giudicato la replica di Delve "goffa" e "sfrontata", accusando l'azienda di tentare di eludere le responsabilità negando l'esistenza di "evidenze pre-compilate" e spostando l'onere sui clienti.
DeepDelver ha sottolineato come la risposta di Delve non abbia affrontato diverse gravi accuse, tra cui la questione degli auditor in India, il presunto scarso utilizzo dell'intelligenza artificiale e le pagine di fiducia contenenti controlli mai implementati.
Le reazioni della community tech
La community tecnologica ha reagito con preoccupazione. Un utente ha segnalato il potenziale coinvolgimento di 493 aziende. Esperti di Governance, Risk e Compliance (GRC) hanno avvertito che la compliance fittizia può causare "danni reali", con la possibilità che i responsabili aziendali possano incorrere in accuse di frode intenzionale. Il caso mette in risalto i rischi associati a un'automazione della compliance che si affida a intelligenza artificiale e template senza un'adeguata supervisione umana.
Al cuore di questo scandalo si delinea una profonda crisi di fiducia: quando la compliance si riduce a un mero gioco di apparenze, le aziende che hanno affidato la propria sicurezza a strumenti superficiali si trovano ora a dover affrontare gravi conseguenze, con un impatto negativo sulla reputazione dell'intero settore.
