O escândalo da Delve expõe o ponto cego mais perigoso da tecnologia: quando a pressa por crescer transforma compliance em teatro e risco jurídico em produto.
Uma startup do Vale do Silício que prometia facilitar o cumprimento de leis de privacidade agora enfrenta acusações de ter transformado auditoria, evidência e certificação em uma engrenagem de fachada.
A empresa é a Delve, apoiada pela Y Combinator e avaliada em 300 milhões de dólares, denunciada por supostamente entregar certificações enganosas a centenas de clientes.
A denúncia surgiu em um post anônimo no Substack assinado por “DeepDelver”, que se apresenta como ex-funcionário de uma empresa cliente e afirma temer retaliação.
Segundo o relato, a Delve estaria expondo seus clientes a processos criminais e multas milionárias por violações do Regulamento Geral de Proteção de Dados da Europa e da legislação de saúde dos Estados Unidos. O ponto central da acusação é que a empresa teria invertido por completo a lógica da auditoria independente.
De acordo com o denunciante, a startup produziria previamente conclusões de auditoria, procedimentos de teste e relatórios finais antes de qualquer revisão externa real. Em vez de apenas automatizar a coleta de evidências para auditores, a Delve estaria atuando ao mesmo tempo como implementadora e examinadora.
Essa sobreposição é descrita como uma quebra grave da independência exigida nesse mercado. Em setores regulados, a separação entre quem prepara a documentação e quem valida o processo não é detalhe técnico, mas condição básica de credibilidade.
A acusação vai além da forma e atinge o conteúdo do que era entregue aos clientes.
Segundo o post, a Delve produziria “evidências fabricadas de reuniões de diretoria, testes e processos que nunca aconteceram”. Os clientes, então, teriam de escolher entre aceitar esse material ou fazer manualmente quase todo o trabalho que a startup dizia automatizar.
A promessa de automação e inteligência artificial, principal chamariz comercial da empresa, também é questionada. Na prática, afirma o denunciante, a velocidade vendida ao mercado viria menos de tecnologia avançada e mais de atalhos incompatíveis com uma auditoria séria.
O caso se amplia quando entram em cena as firmas de auditoria associadas ao processo. Quase todos os clientes da Delve, segundo a denúncia, usariam duas empresas, Accorp e Gradient, descritas como parte da mesma operação, com base principal na Índia e presença apenas nominal nos Estados Unidos.
Na versão apresentada pelo denunciante, essas firmas funcionariam como meros carimbos de borracha. Em vez de conduzir revisão independente e rigorosa, apenas endossariam relatórios pré-fabricados pela própria Delve.
A Delve respondeu publicamente em seu blog e classificou o texto do Substack como enganoso e repleto de afirmações imprecisas. A empresa afirma que é apenas uma plataforma de automação e nega emitir relatórios de compliance.
Segundo a startup, os auditores recebem acesso às informações coletadas pela plataforma, mas as conclusões finais são emitidas exclusivamente por profissionais independentes e licenciados. Sobre as evidências pré-preenchidas, a empresa diz que oferece apenas modelos para ajudar equipes a documentar processos, algo que descreve como prática comum no setor.
A companhia rejeita de forma categórica a acusação de fabricar evidências falsas. A defesa, porém, não encerrou a controvérsia.
Procurado pela TechCrunch, veículo que serviu de base para esta reportagem, DeepDelver considerou a resposta da empresa “preguiçosa, desastrada e descarada”. Para ele, a Delve tenta escapar da responsabilidade ao trocar a expressão “evidência pré-preenchida” por “modelo” e empurrar para o cliente a culpa pelo uso do material.
O denunciante sustenta ainda que a empresa deixou sem resposta as alegações mais graves. Entre elas estão a suposta operação centralizada na Índia, a alegada ausência real de inteligência artificial e a manutenção de páginas públicas de segurança com controles que, segundo ele, nunca foram implementados.
A crise ganhou outra camada quando surgiram alegações de falhas de segurança. Um usuário da rede X afirmou ter obtido acesso a informações sensíveis da Delve, incluindo verificações de antecedentes de funcionários.
Especialistas em segurança relataram conversas sobre “várias brechas gigantes na superfície de ataque externa da Delve”. A empresa declarou que está investigando ativamente qualquer possível vazamento.
O episódio não parece apenas um problema isolado de uma startup que cresceu rápido demais. Ele expõe uma distorção mais profunda do ecossistema tecnológico, onde valuation elevado e expansão acelerada muitas vezes valem mais do que a substância do produto.
Esse modelo cria incentivos perversos. A pressão para escalar, captar novas rodadas e justificar avaliações infladas pode empurrar empresas a venderem confiança antes de construí-la de fato.
No setor de compliance e segurança da informação, esse desvio é especialmente perigoso. Empresas de saúde, fintechs e grandes plataformas dependem dessas certificações para operar dentro da lei e para sustentar sua reputação diante de clientes, investidores e reguladores.
Quando há fraude nesse tipo de serviço, o dano ultrapassa a esfera comercial. O risco passa a ser sistêmico, com potencial para expor dados médicos, informações financeiras e segredos industriais de milhares ou até milhões de pessoas.
As alegações também reacendem o debate sobre a terceirização global de funções críticas. Se auditorias sensíveis estiverem sendo validadas por estruturas que operam como carimbo remoto, a discussão deixa de ser apenas técnica e passa a envolver soberania, controle e responsabilidade jurídica.
Nesse contexto, o fortalecimento de marcos regulatórios no Sul Global ganha ainda mais relevância. O Brasil, com a Lei Geral de Proteção de Dados, faz parte de um movimento que busca reduzir a dependência de soluções opacas vendidas como padrão universal por empresas do Vale do Silício.
O caso Delve mostra, mais uma vez, os limites perigosos da autorregulação no setor de tecnologia. Quando o produto vendido é confiança, qualquer fraude no processo corrói a base inteira do mercado.
Para startups brasileiras e empresas latino-americanas que buscam inserção global, a lição é direta. Soluções milagrosas de compliance podem esconder um passivo jurídico e reputacional devastador.
Em áreas reguladas e baseadas em dados pessoais, robustez processual e transparência não são luxo nem burocracia excessiva. São a única defesa real contra multas, litígios e destruição de credibilidade.
DeepDelver promete publicar uma segunda parte da investigação em breve. Até lá, o mercado deve observar com atenção se novas evidências confirmarão ou enfraquecerão as acusações.
Enquanto isso, clientes da Delve, possivelmente incluindo grandes nomes da tecnologia, têm motivos concretos para revisar contratos, certificados e controles internos. Se a denúncia se sustentar, a conta não será medida apenas em dólares perdidos, mas em confiança destruída e em uma longa fila de disputas judiciais.
O Vale do Silício volta, assim, a esbarrar em seu velho mantra de crescer rápido e consertar depois. A diferença, neste caso, é que o que pode ter sido quebrado não é apenas um produto, mas a própria legalidade do processo que sustentava o negócio.
Nenhum comentário ainda, seja o primeiro!