As Acusações Atacam o Coração do Modelo de Conformidade como Serviço
Uma postagem anônima detalhada no Substack levantou acusações sérias contra Delve, uma startup de conformidade apoiada por capital de risco que se comercializa como uma plataforma impulsionada por IA para alcançar e manter conformidade regulatória. A postagem alega que Delve tem estado convencendo falsamente centenas de clientes de que estavam em conformidade com regulações de privacidade, incluindo GDPR, CCPA e vários frameworks de segurança, quando na verdade sua postura de conformidade real não havia sido significativamente avaliada.
As acusações, se precisas, constituiriam fraude significativa contra clientes empresariais que dependem de certificações de conformidade para satisfazer requisitos regulatórios, passar em revisões de segurança de fornecedores e evitar multas substanciais. A má representação de conformidade não é meramente um risco de reputação — em indústrias reguladas como saúde e finanças, pode expor empresas a responsabilidade legal material.
Como a Conformidade como Serviço Funciona — e Onde Pode Dar Errado
Empresas como Delve operam em um segmento de mercado em expansão que promete automatizar o processo trabalhoso de alcançar conformidade com frameworks como SOC 2, ISO 27001, HIPAA e GDPR. A proposta central é atraente: em vez de contratar um time de conformidade em tempo integral ou pagar uma Big Four por engajamentos de vários meses, as empresas podem usar software para simplificar coleta de evidências, documentação de políticas e preparação de auditorias.
O modelo funciona bem quando a análise subjacente é rigorosa. O perigo emerge quando a automação se torna um substituto para avaliação real em vez de um acelerador. Gerar relatórios de conformidade que pareçam credíveis — com checkmarks, métricas de cobertura e templates de políticas — sem fazer o trabalho substancial de avaliar se controles realmente existem e funcionam é tecnicamente direto.
As Acusações em Detalhe
A postagem do Substack, escrita por alguém que afirma ter conhecimento interno das operações de Delve, descreve um padrão em que as ferramentas de IA da empresa geravam relatórios de conformidade baseados em autoavaliações de clientes com verificação independente mínima. Clientes que completaram questionários receberam indicadores de status de conformidade que foram posteriormente usados em materiais de vendas e revisões de segurança de fornecedores.
A postagem ainda alega que os times de sucesso do cliente de Delve estavam cientes de que certas lacunas de conformidade existiam, mas não as sinalizavam claramente para os clientes, focando em métricas projetadas para mostrar progresso em direção à conformidade em vez do status de conformidade atual.
Resposta de Delve e Reação da Indústria
Delve contestou as acusações, caracterizando-as como enganosas e observando que a plataforma da empresa é projetada para guiar clientes em direção à conformidade, não para certificar conformidade em seu nome. A distinção — entre uma ferramenta de gerenciamento de conformidade e um certificador de conformidade — é real, mas pode não ter sido claramente comunicada aos clientes que acreditavam ter alcançado conformidade regulatória.
O caso desencadeou discussão mais ampla sobre o mercado de conformidade como serviço, que atraiu investimento de risco significativo nos últimos anos. Vários fundadores e investidores em mercados adjacentes apontam que a pressão para mostrar onboarding rápido de clientes e altas taxas de conclusão cria incentivos estruturais para otimizar a aparência de conformidade sobre a substância.
Os órgãos reguladores na EU e Califórnia estão aparentemente observando a situação, dado o potencial de implicações para empresas que confiaram em certificações de Delve em divulgações regulatórias.
Este artigo é baseado em reportagens da TechCrunch. Leia o artigo original.
