UN post anonimo nel Substack pubblicato questa settimana accusa l’avvio di conformità Approfondire di aver “falsamente” convinto “centinaia di clienti che erano conformi” alle norme sulla privateness e sulla sicurezza, esponendo potenzialmente tali clienti a “responsabilità penale ai sensi dell’HIPAA e a pesanti multe ai sensi del GDPR”.
Delve è una startup sostenuta da Y Combinator che lo scorso anno ha annunciato di aver raccolto una serie A da 32 milioni di dollari con una valutazione di 300 milioni di dollari. (Il spherical è stato condotto da Perception Companions.) Venerdì, la startup ha tentato di confutare le accuse sul suo blogdefinendo il put up di Substack “fuorviante” e affermando che “contiene una serie di affermazioni inesatte”.
Il put up di Substack è attribuito a “DeepDelver”, che si è descritto come se lavorasse presso un (ora ex) cliente Delve. In risposta alle domande inviate through electronic mail da TechCrunch, DeepDelver ha affermato che loro e i loro collaboratori “hanno scelto di rimanere anonimi per paura di ritorsioni da parte di Delve”.
Nel suo put up, DeepDelver ha raccontato di aver ricevuto un’e-mail a dicembre in cui si sosteneva che la startup aveva “fatto trapelare un foglio di calcolo con rapporti riservati sui clienti”. Mentre il CEO di Delve Karun Kaushik apparentemente assicurava ai clienti in una successiva e-mail che erano in regola e che nessuna parte esterna aveva avuto accesso ai dati sensibili, DeepDelver ha affermato che loro e altri clienti si erano insospettiti.
“Avendo l’esperienza condivisa di essere delusi dall’esperienza Delve e avendo la sensazione generale che stesse succedendo qualcosa di sospetto, abbiamo deciso di unire le risorse e indagare insieme”, hanno scritto.
La loro conclusione? Che Delve “raggiunge la sua affermazione di essere la piattaforma più veloce producendo show false, generando conclusioni di revisori per conto degli stabilimenti di certificazione che timbrano i rapporti e ignorando i principali requisiti quadro dicendo ai clienti che hanno raggiunto la conformità al 100%”.
DeepDelver è entrato molto nel dettaglio di tali affermazioni, accusando la startup di fornire ai clienti “show fabbricate di riunioni del consiglio, check e processi mai avvenuti”, costringendo poi i clienti a “scegliere tra l’adozione di show false o l’esecuzione di un lavoro prevalentemente manuale con poca automazione reale o intelligenza artificiale”.
Evento Techcrunch
San Francisco, California
|
13-15 ottobre 2026
DeepDelver ha inoltre affermato che praticamente tutti i clienti di Delve sembrano essere passati attraverso due società di revisione, Accorp e Gradient, che hanno descritto come “parte della stessa operazione”, una che opera principalmente in India, con una presenza solo nominale negli Stati Uniti.
Quelle aziende, hanno detto, sono solo rapporti stampati generati da Delve. Di conseguenza, DeepDelver ha affermato che la startup “inverte” la normale struttura di conformità: “Generando conclusioni del revisore, process di check e rapporti finali prima che avvenga qualsiasi revisione indipendente, Delve si pone nel ruolo sia di implementatore che di esaminatore. Questo non è un tecnicismo. È una frode strutturale che invalida l’intera attestazione. “
Oltre advert accusare Delve di ingannare i propri clienti, DeepDelver ha affermato che la startup sta aiutando questi clienti a “ingannare il pubblico ospitando pagine attendibili che contengono misure di sicurezza che non sono mai state implementate”.
DeepDelver ha affermato che mentre la loro azienda discuteva dei suoi problemi con Delve, la startup “ci ha inviato various scatole di ciambelle […] per renderci felici.” Ciononostante, il datore di lavoro di DeepDelver presumibilmente non ha pubblicato la sua pagina di fiducia e non si affida più alla startup per la conformità.
Delve ha risposto alle accuse affermando che non rilascia alcun rapporto di conformità. Si tratta invece di una “piattaforma di automazione” che acquisisce informazioni sulla conformità e fornisce quindi ai revisori l’accesso a tali informazioni.
“I rapporti finali e i pareri sono rilasciati esclusivamente da revisori indipendenti e autorizzati, non da Delve”, ha affermato la società.
Delve ha inoltre affermato che i suoi clienti “possono scegliere di lavorare con un revisore di loro scelta o scegliere di lavorare con uno della rete Delve di società di revisione di terze parti indipendenti e accreditate”. Tali revisori, ha affermato la startup, sono “aziende affermate utilizzate ampiamente in tutto il settore, anche da altre piattaforme di conformità”.
In risposta all’accusa di fornire ai clienti “show false”, Delve ha ribattuto che offre semplicemente “modelli per aiutare i workforce a documentare i propri processi in conformità con i requisiti di conformità, come fanno altre piattaforme di conformità”.
“I modelli di bozza non sono la stessa cosa di ‘show precompilate'”, ha affermato la società.
Delve ha aggiunto che sta “indagando attivamente su eventuali fughe di notizie” e sta “ancora rivedendo il Substack”.
Alla domanda sulla risposta di Delve, DeepDelver ha detto a TechCrunch di essere “sconcertati dalla pigrizia, goffaggine e sfacciataggine”.
“Stanno cercando di scappare [of] essere ritenuto responsabile negando di avere “show precompilate” ma chiamandole invece “modelli”, spostando di fatto la colpa sui clienti per aver adottato i “modelli” così come sono”, ha affermato DeepDelver. “Stanno sostenendo che non sono loro a “emettere” il rapporto, il che è facile da affermare se si definisce l’emissione di un rapporto come la fornitura del timbro finale.”
Hanno aggiunto che ci sono “una serie di accuse molto gravi” che Delve non ha affrontato affatto: “L’accusa dell’India, la mancanza di intelligenza artificiale (parlano solo di ‘automazioni’) e la pagina di fiducia (lol) contenente controlli che non sono mai stati implementati.”
Apparentemente DeepDelver non ha finito con le sue critiche, come ha promesso, “La Parte II seguirà presto”.
Inoltre, dopo il put up iniziale di Substack, un utente X di nome James Zhou disse sono stati in grado di accedere a informazioni sensibili da Delve, come controlli dei precedenti dei dipendenti e programmi di maturazione delle azioni. Il fondatore di Dvuln Jamieson O’Reilly condiviso maggiori dettagli da ciò che O’Reilly ha detto period una conversazione con Zhou su “various falle di sicurezza aperte nella superficie di attacco esterna di Delve”.
TechCrunch ha inviato un’e-mail in cerca di ulteriori commenti all’indirizzo di contatto dei media elencato sul sito Internet di Delve. L’e-mail è tornata indietro, ma dopo la pubblicazione di questo articolo ho ricevuto un invito sul calendario per una “demo Delve” più avanti questa settimana.
Questo put up è stato inizialmente pubblicato il 21 marzo 2026. È stato aggiornato con le risposte inviate through electronic mail da DeepDelver, ulteriori informazioni sulle presunte vulnerabilità della sicurezza fornite da Jamieson O’Reilly e ulteriori dettagli sulla risposta di Delve a TechCrunch.
