Y Combinator talla amb Delve: quan el compliance-as-a-service és teatre de certificats
Hi ha una categoria d'startup que creix a l'ombra del pànic regulatori i que ningú vol escrutar massa: les que et venen el certificat de seguretat sense que ningú hagi mirat realment res. Delve era una d'elles. Ara és l'exemple de manual del que passa quan el model de negoci és, essencialment, generar papers.
Y Combinator ha eliminat Delve del seu directori de portfoli. El COO de la startup, Selin Kocalar, ho ha confirmat a X: "YC i Delve han pres camins separats." Insight Partners, un dels inversors, va esborrar els posts sobre la seva inversió a la companyia —una part els ha restaurat, però el gest ja estava fet. En el món de l'acceleració de startups, YC no fa mai un moviment com aquest per si sol. Alguna cosa ha d'estar molt malament perquè el màxim accelerador del món et tregui del catàleg.
Què és Delve i per què importa
Delve era una plataforma de compliance-as-a-service. En teoria: automatitzava el procés d'auditoria de seguretat per a empreses que necessiten certificacions com SOC 2 o ISO 27001. En pràctica, segons les acusacions documentades per un Substack anònim ("DeepDelver"): generava reports automàticament sense fer les auditories de debò, i treballava amb "certification mills" —empreses que validen sense revisar— per donar el segell a empreses que, sobre el paper, eren compliant i, en la realitat, tenien forats de seguretat sense tancar.
La crisi escala quan es descobreix que malware es va trobar en un projecte open source d'un client de Delve, LiteLLM, i que un investigador de seguretat va poder accedir a dades sensibles de la plataforma. No és una sèrie de malentesos; és una cadena de fallades que apunten al cor del model de negoci.
El CEO admet el que el comunicat intenta amagar
La resposta oficial de Delve és un clàssic de gestió de crisi corporativa: parlar d'un "atac coordinat", d'un "smear campaign" d'un whistleblower que, curiosament, hauria comprat la startup amb males intencions per exfiltrar dades i destruir la reputació de l'empresa. El problema és que el CEO Karun Kaushik, en un moment de lucidesa o cansament, ha escrit a X: "Vam créixer massa ràpid i no vam estar a l'alçada dels nostres propis estàndards."
Ningú que estigui sent víctima d'un atac coorderat s'excusa d'haver crescut massa ràpid. Ningú que no hagi fallat ofereix re-auditories gratuïtes a tots els clients actius ni neteja la seva xarxa d'auditors "que no compleixen els estàndards". Delve ha admès l'essencial entre línies: el producte no funcionava com prometia.
La pregunta que ningú fa sobre Vanta, Drata i Sprinto
Delve no és una excepció al sector; és el primer a caure. La premissa del compliance automatitzat per IA és la mateixa a tot el subsector: puja els teus documents, l'algoritme et genera el report, passes la certificació, el client gran et signa el contracte. El valor és la velocitat, no la profunditat. El problema és que SOC 2, GDPR o ISO 27001 no es dissenyen per ser "fast passes"; existeixen precisament perquè la seguretat és un procés continu, no un paper.
Si el model de Delve era fraudulent, la pregunta és estructural: quantes de les certificacions que circulen per l'ecosistema de startups internacionals —i per extensió, les que empreses catalanes accepten de proveïdors tecnològics— estan fonamentades en el mateix tipus de teatre documental?
El risc real per a una PIME catalana
Aquí és on el cas Delve deixa de ser una anècdota de San Francisco i es torna un problema pràctic per a qualsevol empresa catalana que es presenti a un concurs públic europeu, signi un contracte amb un client bancari o vulgui accedir a un programa d'ACCIÓ que requereixi certificació de seguretat.
Si el teu proveïdor de compliance us ha dit que sou compliant amb GDPR o ISO 27001 i ha generat el report automàticament sense una auditoria real, pots estar signant contractes amb una garantia falsa. En cas d'incident, la responsabilitat legal no és del proveïdor de software; és teva.
La lliçó no és "no automatitzis el compliance". La lliçó és que la certificació real requereix algú que entengui el teu sistema, no un formulari que l'IA omple per tu. Per a startups que construeixen producte i gestionen dades de clients —especialment en sectors regulats com fintech, salut o educació—, tenir un equip tècnic que entengui la base del que certifica és una condició de supervivència, no un luxe. Empreses com reddev.es treballen en aquest perfil: equips especialitzats que construeixen sobre arquitectures que aguanten l'escrutini real, no el que passa un formulari.
YC ha actuat. La pregunta és si l'ecosistema de compliance automatitzat aprendrà la lliçó o esperarà el pròxim Delve.