Ανώνυμη καταγγελία κατηγορεί τη startup Delve ότι παραπλάνησε εκατοντάδες πελάτες ως προς τη συμμόρφωσή τους με κανονισμούς ασφάλειας και ιδιωτικότητας. Η εταιρεία απορρίπτει τις αιτιάσεις, όμως το ζήτημα ανοίγει σοβαρή συζήτηση για την αξιοπιστία των πλατφορμών κανονιστικής συμμόρφωσης.
Στο στόχαστρο βρίσκεται η αμερικανική startup κανονιστικής συμμόρφωσης Delve, μετά από ανώνυμη ανάρτηση στο Substack που την κατηγορεί ότι «ψευδώς έπεισε εκατοντάδες πελάτες ότι ήταν συμμορφωμένοι» με κανονισμούς προστασίας δεδομένων και ασφάλειας. Σύμφωνα με την καταγγελία, η πρακτική αυτή θα μπορούσε να εκθέσει πελάτες σε ποινικές ευθύνες υπό το HIPAA στις ΗΠΑ και σε υψηλά πρόστιμα βάσει του GDPR στην Ευρώπη.
Οι καταγγελίες για «κατασκευασμένα στοιχεία» και εικονική συμμόρφωση
Ο συντάκτης της ανώνυμης καταγγελίας, με το ψευδώνυμο «DeepDelver» και ιδιότητα πρώην πελάτη της Delve, υποστηρίζει ότι η εταιρεία επιτυγχάνει τον ισχυρισμό της πως είναι «η ταχύτερη πλατφόρμα συμμόρφωσης» παράγοντας «ψεύτικα αποδεικτικά στοιχεία». Κατά την περιγραφή του, η Delve παράγει συμπεράσματα ελεγκτών εκ των προτέρων, σε συνεργασία με μικρά ελεγκτικά γραφεία, τα οποία φέρονται να «σφραγίζουν» τις αναφορές χωρίς ουσιαστικό ανεξάρτητο έλεγχο.
Η ανάρτηση κάνει λόγο για «κατασκευασμένα πρακτικά συνεδριάσεων διοικητικών συμβουλίων, δοκιμές και διαδικασίες που δεν συνέβησαν ποτέ», τα οποία παρουσιάζονται ως αποδεικτικά συμμόρφωσης. Οι πελάτες, σύμφωνα με τις καταγγελίες, βρίσκονται μπροστά στο δίλημμα είτε να αποδεχθούν αυτά τα «πλαστά στοιχεία» είτε να αναλάβουν εκτεταμένη χειροκίνητη δουλειά με ελάχιστη πραγματική αυτοματοποίηση ή χρήση τεχνητής νοημοσύνης.
Ιδιαίτερη κριτική ασκείται και στη σχέση της Delve με δύο ελεγκτικές εταιρείες, τις Accorp και Gradient, που –κατά τον καταγγέλλοντα– λειτουργούν ουσιαστικά ως ένα σχήμα με κύρια δραστηριότητα στην Ινδία και μόνο τυπική παρουσία στις ΗΠΑ. Αυτό, υποστηρίζει ο DeepDelver, «αντιστρέφει» τη δομή της συμμόρφωσης, καθώς η Delve εμφανίζεται ταυτόχρονα ως υλοποιητής και εξεταστής, κάτι που χαρακτηρίζεται «δομική απάτη» που ακυρώνει την αξία των σχετικών πιστοποιήσεων.
Η απάντηση της Delve και το μήνυμα προς την αγορά
Η Delve, η οποία πέρυσι συγκέντρωσε 32 εκατ. δολάρια σε γύρο Series A με αποτίμηση 300 εκατ. δολαρίων και τη στήριξη του Y Combinator, απάντησε μέσω εταιρικού blog ότι οι ισχυρισμοί είναι «παραπλανητικοί» και περιέχουν «πολλές ανακρίβειες». Η εταιρεία υποστηρίζει ότι δεν εκδίδει η ίδια εκθέσεις συμμόρφωσης, αλλά λειτουργεί ως πλατφόρμα αυτοματοποίησης που συγκεντρώνει δεδομένα και τα θέτει στη διάθεση ανεξάρτητων, αδειοδοτημένων ελεγκτών.
Σύμφωνα με τη Delve, οι πελάτες μπορούν είτε να επιλέξουν δικό τους ελεγκτή είτε να συνεργαστούν με κάποιον από το δίκτυο ανεξάρτητων, διαπιστευμένων ελεγκτικών εταιρειών της πλατφόρμας. Ως προς την κατηγορία για «ψεύτικα στοιχεία», η εταιρεία απαντά ότι παρέχει απλώς «πρότυπα» (templates) για την τεκμηρίωση διαδικασιών, όπως κάνουν και άλλες πλατφόρμες συμμόρφωσης, επιμένοντας ότι τα πρότυπα δεν συνιστούν «προ-συμπληρωμένα αποδεικτικά».
Παράλληλα, η Delve δηλώνει ότι ερευνά ενεργά τυχόν διαρροές δεδομένων, ενώ βρίσκεται ακόμη σε διαδικασία αξιολόγησης του περιεχομένου της ανώνυμης ανάρτησης. Ωστόσο, ο DeepDelver χαρακτηρίζει την απάντηση της εταιρείας «τεμπέλικη και κυνική», κατηγορώντας τη Delve ότι επιχειρεί να μετακυλίσει την ευθύνη στους πελάτες που κάνουν χρήση των προτύπων, ενώ αποφεύγει να τοποθετηθεί σε σοβαρές αιτιάσεις, όπως η πραγματική χρήση τεχνητής νοημοσύνης ή η ακρίβεια των «trust pages» με μέτρα ασφαλείας που –κατά τους ισχυρισμούς– δεν έχουν υλοποιηθεί.
Κίνδυνοι για πελάτες και μήνυμα για την αγορά compliance-as-a-service
Η υπόθεση Delve έχει ιδιαίτερη βαρύτητα, καθώς αγγίζει τον πυρήνα της ταχύτατα αναπτυσσόμενης αγοράς «compliance-as-a-service» που χρησιμοποιούν χιλιάδες επιχειρήσεις διεθνώς για να αποδεικνύουν συμμόρφωση με GDPR, HIPAA και άλλα ρυθμιστικά πλαίσια. Αν οι καταγγελίες ευσταθούν, εταιρείες που βασίστηκαν σε τέτοιες υπηρεσίες μπορεί να βρεθούν εκτεθειμένες, πιστεύοντας ότι πληρούν τις απαιτήσεις ενώ στην πράξη δεν διαθέτουν επαρκή τεκμηρίωση ή ουσιαστικούς ελέγχους.
Επιπλέον, μετά τη δημοσιοποίηση της ανάρτησης, ερευνητές ασφαλείας ισχυρίστηκαν μέσω της πλατφόρμας X ότι εντόπισαν «πολλαπλές τρύπες» στην εξωτερική επιφάνεια επίθεσης της Delve και πρόσβαση σε ευαίσθητα δεδομένα, όπως ελέγχους ιστορικού εργαζομένων και προγράμματα κατοχύρωσης μετοχών. Αν επιβεβαιωθούν, τα ευρήματα αυτά θα επιβαρύνουν ακόμη περισσότερο την εικόνα μιας εταιρείας που υπόσχεται ακριβώς ασφάλεια και κανονιστική συμμόρφωση.
Για τις ελληνικές και ευρωπαϊκές επιχειρήσεις, η υπόθεση λειτουργεί ως προειδοποίηση: η ανάθεση κρίσιμων λειτουργιών συμμόρφωσης σε τρίτες πλατφόρμες δεν απαλλάσσει από την τελική ευθύνη έναντι αρχών και πελατών. Η διαφάνεια στις μεθοδολογίες, η ανεξαρτησία των ελεγκτών και η πραγματική, όχι μόνο τυπική, εφαρμογή ελέγχων είναι πλέον κεντρικά κριτήρια επιλογής συνεργατών.
Σχόλιο 
: Η υπόθεση Delve δείχνει πόσο εύκολα το «κουτάκι συμμόρφωσης» μπορεί να γίνει προϊόν προς γρήγορη πώληση, χωρίς ουσία. Για επιχειρήσεις που διαχειρίζονται δεδομένα, η τυφλή εμπιστοσύνη σε αυτοματοποιημένες πλατφόρμες χωρίς διαφάνεια και ανεξάρτητο έλεγχο είναι πλέον πολυτέλεια που δεν αντέχεται. Η πραγματική συμμόρφωση παραμένει ευθύνη της διοίκησης – όχι του marketing μιας startup.
#Delve #συμμόρφωση #GDPR #ασφάλεια #startups
