1. Naslov i uvod
Diskretni razlaz između Y Combinatora i Delvea nije samo još jedna drama iz Silicijske doline, već test izdržljivosti za cijeli val startupa koji prodaju “automatiziranu usklađenost”. Kada najpoznatiji akcelerator na svijetu tiho ukloni compliance startup iz javnog portfelja usred optužbi za zaobilaženje pravila i upitnu sigurnost, svaka tvrtka koja koristi takve alate trebala bi se zamisliti. U nastavku objašnjavam što se dogodilo, zašto je to važno i što ova priča znači za Europu, Hrvatsku i regiju jugoistočne Europe.
2. Vijest ukratko
Prema pisanju TechCruncha, Delve se više ne pojavljuje u javnom imeniku portfeljskih tvrtki Y Combinatora, a njegova stranica je uklonjena s YC‑ova weba. Operativna direktorica Delvea, Selin Kocalar, objavila je na X‑u da su se YC i Delve “razšli”, uz zahvalu zajednici akceleratora.
Do toga dolazi nakon tjedana kontroverzi. Anonimni autor na Substacku, pod nadimkom „DeepDelver“, optužio je Delve da je klijentima davao pogrešnu sliku o njihovoj usklađenosti s propisima o privatnosti i sigurnosti, preskačući ključne zahtjeve i automatski generirajući izvješća za navodno preblage revizore. Isti izvor tvrdi i da je Delve iskoristio open‑source alat bez odgovarajuće atribucije te je objavio navodne interne poruke i snimke.
Delveovo vodstvo sve optužbe odbacuje i tvrdi da je riječ o zlonamjernom napadu: netko je, navodno, kupio pristup sustavu, iznio interne podatke i pokrenuo koordiniranu kampanju blaćenja. Tvrtka navodi da je angažirala vanjsku sigurnosnu firmu, nudi besplatne ponovne revizije postojećim klijentima i pooštrava kriterije za partnerske revizore.
3. Zašto je to važno
Kada Y Combinator radije ukloni startup iz svog portfelja nego da ga javno brani, to je jasan signal o percepciji rizika. Ne radi se o sudskoj presudi, ali se radi o vrlo glasnoj poruci investitorskoj i startup zajednici.
Prvi gubitnici su očiti: Delve, njegovi zaposlenici i klijenti. Tvrtke koje prodaju “povjerenje” – sigurnost, usklađenost, certifikate – posebno su ranjive. Jednom kad se integritet dovede u pitanje, svaki sastanak s klijentom počinje objašnjavanjem i isprikom. Čak i ako bi se kasnije dokazala Delveova verzija priče o napadu, reputacijska šteta već je napravljena.
No postoje i dobitnici.
Konkurentske tvrtke u području automatizirane usklađenosti – od klasičnih GRC rješenja do novih SaaS‑ova za SOC 2, ISO 27001 ili GDPR – sada imaju primjer koji mogu suprotstaviti vlastitoj praksi: suradnja s neovisnim revizorima, jasna evidencija dokaza, transparentna ograničenja automatizacije.
Za kupce – CISO‑e, DPO‑e, pravnike, IT i nabavu – ovo je podsjetnik da se odgovornost prema regulatorima ne može prebaciti na alat. Automatizirani upitnici i kontrolne liste imaju smisla samo ako odražavaju stvarne procese, tehničke i organizacijske mjere te kulturu sigurnosti.
U pozadini se krije širi problem: posljednjih godina rizični kapital je snažno gurao narativ “compliance kao ubrzivač prodaje”. Obećanje: brzi certifikati, brži ulazak u korporativne tendere, manje papirologije. To stvara pritisak da se kompleksnost svede na predloške, a stvarno upravljanje rizikom pretvori u broj izdanih izvješća. Slučaj Delve – kakav god bude konačan rasplet – pokazuje koliko je taj model krhak kad netko krene detaljno kopati.
4. Šira slika
Priča o Delveu uklapa se u nekoliko većih trendova.
1. Erozija povjerenja u certifikate. Posljednjih godina SOC 2, ISO i slične oznake postale su gotovo pa marketinški rekviziti. Istovremeno smo svjedočili ozbiljnim sigurnosnim incidentima u tvrtkama koje su imale “sve papire”. Regulatori i kupci zato sve češće pitaju što ti certifikati doista garantiraju, posebno ako revizore plaća ili angažira upravo certificirana tvrtka.
2. Skepsa prema AI alatima za sigurnost. Mnogi novi proizvodi obećavaju da će umjetna inteligencija automatski popuniti 70–90 % sigurnosnih upitnika, održavati “stalnu usklađenost” i slično. Kada se koristi kao podrška, to ima smisla. No kada se AI prodaje kao zamjena za procese, stručnjake i organizacijsku kulturu, ulazimo u zonu koju će svaki ozbiljan regulator smatrati potencijalno obmanjujućom.
3. Upravljanje ugledom u akceleratorima i fondovima. YC, Techstars i drugi imaju sve više startupa iz financija, zdravstva i infrastrukture – područja gdje pogrešna usklađenost može imati ozbiljne posljedice. U takvom kontekstu nije iznenađenje da akceleratori počinju aktivnije upravljati reputacijskim rizikom, uključujući i tiho distanciranje od kontroverznih tvrtki.
Sve to ne znači da će automatizacija usklađenosti nestati. Naprotiv, potražnja za smanjenjem administrativnog tereta samo će rasti. Ali će standardi biti viši: više neovisnih provjera, više dokumentacije, manje “instant rješenja”.
5. Europski i regionalni kut
Za Hrvatsku i regiju, ovo je relevantno barem iz tri razloga.
Prvo, europski regulatorni okvir (GDPR, NIS2, Digital Services Act, nadolazeći EU AI Act) daleko je stroži od većine američkih. Tvrtke iz Hrvatske koje nude SaaS rješenja u inozemstvu ili obrađuju podatke građana EU odgovorne su pred AZOP‑om i drugim nadležnim tijelima, bez obzira na to kakva im izvješća isporučuje dobavljač iz SAD‑a.
Drugo, lokalno tržište tek ulazi u fazu ozbiljnije digitalizacije javnog sektora i korporacija. Startupi iz Zagreba, Splita ili Ljubljane koji ciljaju na banke, telekome ili države u regiji često doživljavaju compliance kao nužno zlo i traže najbrži put do “kvacice”. Delve je podsjetnik da “prečice” mogu kasnije postati vrlo skupe.
Treće, postoji i prilika. Europski i regionalni igrači koji su od početka gradili rješenja zajedno s respektabilnim revizorima, konzultantima i pravnicima – makar bili sporiji i skuplji – sada mogu naglasiti upravo tu razliku. Umjesto priče “mi smo brži”, mogu reći “mi smo provjerljiviji”.
6. Pogled unaprijed
U sljedećih 12–24 mjeseca realno je očekivati nekoliko pomaka.
1. Stroži due diligence dobavljača. Velike tvrtke i javni sektor vjerojatno će uvesti detaljnije sigurnosne upitnike za SaaS alate za usklađenost: tko su vaši partneri‑revizori, koliko je procesa automatizirano, gdje se čuvaju dokazi, jesu li izvješća djelomično ili u potpunosti generirana. U EU‑u se to može pretočiti i u formalne smjernice.
2. Veći interes regulatora. Europska i nacionalna tijela već nadziru kako se AI koristi u osjetljivim područjima. Nije teško zamisliti da će nadzorne institucije (poput AZOP‑a ili drugih EU DPA‑ova) početi izdavati preporuke ili čak pokretati postupke u slučajevima gdje se tvrtke pretjerano oslanjaju na automatizirane izjave o usklađenosti.
3. Nova praksa u akceleratorima i VC fondovima. Primjer YC‑a i Delvea vjerojatno će potaknuti fondove da u ugovore dodaju jasne odredbe kojima si osiguravaju pravo javnog distanciranja u slučaju ozbiljnih optužbi vezanih uz sigurnost i usklađenost. Posljedično, pritisak na osnivače da rano uspostave ozbiljnu internu kontrolu bit će veći.
Za same Delveove osnivače eventualan oporavak moguć je samo kroz radikalnu transparentnost: objavu rezultata neovisnih istraga, potpuno objašnjenje kako njihova platforma funkcionira i spremnost da priznaju pogreške. Nije jasno hoće li tržište imati strpljenja za taj proces.
Za hrvatske i regionalne startupe koji razvijaju fintech, healthtech ili sigurnosna rješenja, lekcija je jednostavna: potražnja za alatima koji olakšavaju usklađenost je ogromna, ali tolerancija na “compliance teatar” rapidno pada. Tko sada uloži u transparentnost, provjerljivost i suradnju s ozbiljnim revizorima, imat će konkurentsku prednost.
7. Zaključak
Razlaz Y Combinatora i Delvea jasno pokazuje da doba “instantne usklađenosti” bez stvarne podloge prolazi. Alati za automatizaciju ostat će važni, ali svaka zelena kvačica morat će biti potkrijepljena dokazima. Ako gradite ili kupujete takva rješenja, vrijedi si postaviti jedno neugodno pitanje: bi li vaš model usklađenosti izdržao da sutra anonimni zviždač objavi vaše interne prakse – ili bi se pokazalo da se radi tek o dobro upakiranom teatru?
