Uma postagem anônima da Substack publicada esta semana acusa a startup de conformidade Delve de “falsamente” convencer “centenas de clientes de que estavam em conformidade” com os regulamentos de privacidade e segurança, potencialmente expondo esses clientes a “responsabilidade criminal sob HIPAA e multas pesadas sob GDPR”.
Delve é uma startup apoiada pela Y Combinator que no ano passado anunciou levantar uma Série A de US$ 32 milhões com uma avaliação de US$ 300 milhões. (A rodada foi liderada pela Insight Partners.) Na sexta-feira, a startup tentou refutar as acusações em seu blog, chamando a postagem do Substack de “enganosa” e dizendo que “contém uma série de afirmações imprecisas”.
A postagem do Substack é creditada a “DeepDelver”, que se descreveu como trabalhando em um (agora antigo) cliente Delve.
DeepDelver relatou ter recebido um e-mail em dezembro alegando que a startup havia “vazado uma planilha com relatórios confidenciais de clientes”. Embora o CEO da Delve, Karun Kaushik, aparentemente tenha garantido aos clientes em um e-mail subsequente que eles estavam em conformidade e que nenhuma parte externa obteve acesso a dados confidenciais, a DeepDelver disse que eles e outros clientes ficaram desconfiados.
“Tendo a experiência compartilhada de não estar impressionados com a experiência Delve e tendo a sensação geral de que algo suspeito estava acontecendo, decidimos reunir recursos e investigar juntos”, escreveram eles.
A conclusão deles? Que a Delve “alcança sua pretensão de ser a plataforma mais rápida ao produzir evidências falsas, gerar conclusões de auditoria em nome de fábricas de certificação que carimbam relatórios e ignorar os principais requisitos da estrutura, ao mesmo tempo em que informa aos clientes que eles alcançaram 100% de conformidade”.
A DeepDelver entrou em detalhes consideráveis sobre essas alegações, acusando a startup de fornecer aos clientes “evidências fabricadas de reuniões de conselho, testes e processos que nunca aconteceram”, forçando então esses clientes a “escolher entre adotar evidências falsas ou realizar trabalho principalmente manual com pouca automação real ou IA”.
Evento Techcrunch
São Francisco, Califórnia
|
13 a 15 de outubro de 2026
A DeepDelver também afirmou que praticamente todos os clientes da Delve parecem ter passado por duas empresas de auditoria, a Accorp e a Gradient, que descreveram como “parte da mesma operação”, uma que opera principalmente na Índia, com presença apenas nominal nos Estados Unidos.
Essas empresas, disseram eles, são apenas relatórios de carimbo que foram gerados pela Delve. Como resultado, a DeepDelver disse que a startup “inverte” a estrutura normal de conformidade: “Ao gerar conclusões de auditores, procedimentos de teste e relatórios finais antes de ocorrer qualquer revisão independente, a Delve se coloca no papel de implementador e examinador. Isso não é um detalhe técnico. É uma fraude estrutural que invalida todo o atestado”.
Além de acusar a Delve de enganar seus clientes, a DeepDelver disse que a startup está ajudando esses clientes a “enganar o público ao hospedar páginas confiáveis que contêm medidas de segurança que nunca foram implementadas”.
Quanto ao seu próprio relacionamento com a Delve, a DeepDelver disse que sua empresa cancelou a publicação de sua página de confiança e não depende mais da startup para conformidade.
A Delve respondeu às acusações dizendo que não emite nenhum relatório de conformidade. Em vez disso, é uma “plataforma de automação” que ingere informações sobre conformidade e, em seguida, fornece aos auditores acesso a essas informações.
“Os relatórios e opiniões finais são emitidos exclusivamente por auditores independentes e licenciados, não pela Delve”, disse a empresa.
A Delve também disse que seus clientes “podem optar por trabalhar com um auditor de sua escolha ou optar por trabalhar com um da rede de empresas de auditoria terceirizadas independentes e credenciadas da Delve”. Essas empresas, disse a startup, são “empresas estabelecidas e amplamente utilizadas em todo o setor, inclusive por outras plataformas de conformidade”.
Em resposta à acusação de que está fornecendo “evidências falsas” aos clientes, a Delve respondeu que está simplesmente oferecendo “modelos para ajudar as equipes a documentar seus processos de acordo com os requisitos de conformidade, assim como outras plataformas de conformidade”.
“Modelos de rascunho não são a mesma coisa que ‘evidências pré-preenchidas’, disse a empresa.
Delve acrescentou que está “investigando ativamente qualquer vazamento” e “ainda revisando o Substack”.
O TechCrunch enviou um e-mail solicitando comentários adicionais ao endereço de contato da mídia listado no site da Delve; o e-mail foi devolvido. Também entramos em contato com DeepDelver para comentários adicionais.
