Afera Delve: ko se skladnost spremeni v rastni trik, ne v varnost

1. april 2026
5 min branja
Ilustracija nadzorne plošče startup podjetja z varnostnimi certifikati in opozorilnimi ikonami

Afera Delve: ko se skladnost spremeni v rastni trik, ne v varnost

Primer Delve bo zabolel marsikaterega evropskega CTO‑ja ali ustanovitelja. Ne zato, ker bi šlo za še eno ameriško dramo, temveč zato, ker zadeva najšibkejši del sodobnega SaaS posla: zaupanje, ki ga najemate pri drugih. Če so obtožbe o »lažni skladnosti« vsaj delno resnične, ne bo pod vprašajem le en YC startup, ampak celoten model avtomatizirane skladnosti. V nadaljevanju analiziramo, kaj ta zgodba pomeni za startup ekosisteme od Silicijeve doline do Ljubljane ter za podjetja, ki že danes živijo od certifikatov tipa »SOC 2 ready«.

Novica na kratko

Kot poroča TechCrunch, se ameriški startup Delve sooča z novim valom obtožb anonimnega žvižgača z vzdevkom DeepDelver. Dan po tem, ko je ustanovitelj in izvršni direktor Karun Kaushik na X objavil dolgo zanikanje očitkov, da naj bi podjetje prirejalo dokaze za revizije skladnosti svojih strank, je žvižgač objavil nov niz trditev – tokrat z domnevnimi »dokazi« v obliki videa in posnetkov Slack sporočil.

Delve je diplomant Y Combinatorja iz leta 2023. Ustanovili so ga 21‑letni odpadniki z MIT‑a, produkt pa avtomatizira pridobivanje varnostnih certifikatov in dokazovanje skladnosti z regulativo, kot je GDPR. Lani poleti je podjetje zbralo 32 milijonov dolarjev serije A (vodilni sklad Insight), nekaj mesecev po 3‑milijonskem semenskem krogu.

TechCrunch dodaja, da je ena od bolj izpostavljenih strank, projekt LiteLLM, nedavno doživela odmeven incident z zlonamerno kodo v odprtokodnem repozitoriju, čeprav je z Delve pridobila dva varnostna certifikata. Žvižgač napoveduje dodatna razkritja.

Zakaj je to pomembno

Delve zadene v živo rano, ker se dotika vprašanja izposojenega zaupanja. Večina mladih podjetij nima časa niti kadrov za resno vzpostavitev varnostnih programov. Namesto tega se oprejo na mešanico revizorjev, standardov in orodij za »compliance«. Če eden ključnih členov tega sistema manipulira z dokazi, se zamaje veriga od prve do zadnje pogodbe.

Kdo tukaj največ izgubi?

  • Stranke: če se izkaže, da del dokazov ni bil zakonito pridobljen, se lahko veljavnost certifikatov ter nanje vezani posli znajdejo pod lupo kupcev in regulatorjev.
  • Investitorji in revizorji: prisiljeni bodo priznati, da je bil del skrbnega pregleda (DD) na področju »compliance‑as‑a‑service« precej papirnat in površinski. Serija A v višini 32 milijonov dolarjev nekaj mesecev po semenu pomeni tudi ogromen pritisk rasti.
  • Trg certifikatov: že danes veliko varnostnih strokovnjakov meni, da SOC 2, ISO 27001 ipd. pogosto pomenijo »gledališče varnosti«. Afera, povezana z orodjem za avtomatizacijo, lahko to nezaupanje še poglobi.

Paradoksalno so prvi oškodovanci najverjetneje prav startupi iz iste kategorije kot Delve. Tudi tisti, ki delajo pošteno, bodo morali zdaj dokazovati, da niso »še en Delve«. Kratkoročni zmagovalci so lahko bolj konservativni akterji – uveljavljene revizijske hiše in interni varnostni oddelki, ki so že leta opozarjali na pretirano zanašanje na »checkbox« orodja.

Še pomembnejši pa je kulturni signal. Ko postane skladnost predvsem prodajni argument in ne notranja disciplina, ustanovitelje nagrajujemo za KPI »uspešno opravljen audit« in ne za »dejansko zmanjšanje tveganja«. Od tod do rezanja ovinkov ni daleč.

Širši kontekst

Afera Delve se dogaja na presečišču več trendov.

Prvič, zadnja leta smo priča eksploziji orodij za avtomatizacijo skladnosti. V ZDA so na valu SOC 2 in ISO certifikatov zrasla podjetja, kot so Vanta, Drata in Secureframe; v Evropi imamo vrsto lastnih igralcev na področju zasebnosti in compliance‑a. Obljuba je podobna: enkrat izpolnite vprašalnik, povežete cloud račune, orodje samodejno generira dokaze in komunicira z revizorjem.

Drugič, industrija je v veliki meri začela outsourcati presojo na predloge in avtomatiko. Politike pišejo generatorji besedil, kontrolne sezname prevajamo v različne standarde s klikom, vprašalniki so copy–paste. To je učinkovito – dokler nekdo ne začne optimizirati predvsem na hitrost in videz.

Nekaj podobnega smo že videli. V financah je primer Wirecard pokazal, kaj se zgodi, ko rast in hype zasenčita osnovna vprašanja revizorjev in vlagateljev. V kibernetski varnosti smo imeli več odmevnih vdorov v podjetja, ki so bila formalno »certificirana«, pa to ni preprečilo incidentov.

Tretjič, razmah umetne inteligence hkrati povečuje kompleksnost in dviguje pričakovanja. AI infrastruktura prodaja v podjetja, ki zahtevajo stroge garancije glede varovanja podatkov in skladnosti z regulativo. Tu se rodi plodna zemlja za obljube tipa »SOC 2 v nekaj tednih«. Primer LiteLLM – zlonamerna koda v projektu, ki se je ponašal z dvema certifikatoma – to protislovje lepo ilustrira.

V primerjavi s tradicionalnimi revizorji delujejo startupi, kot je Delve, v »silicijevski hitrosti«. Ta je privlačna, dokler ne trči ob dejstvo, da je resno upravljanje tveganj po definiciji počasno in pedantno. Kriptografije ali letalske varnosti ne gradimo po načelu »move fast and break things« – compliance orodja, ki posegajo v regulirana področja, pa tudi ne bi smeli.

Evropski in slovenski kot

Za evropska podjetja to ni zgolj ameriški problem, ampak ogledalo lastne prakse outsourcanja skladnosti.

GDPR, prihajajoča uredba EU o umetni inteligenci (EU AI Act), direktiva NIS2 in na finančnem področju DORA jasno določajo, da organizacije ostajajo polno odgovorne za varnost in zasebnost, tudi če uporabljajo zunanje ponudnike. Če orodje prireja dokaze in to prispeva k šibkim kontrolam ali incidentu, se uprave ne bodo mogle skriti za izgovor »startup je rekel, da smo compliant«.

Slovenska in širša CEE podjetja – od SaaS ekip v Ljubljani do fintechov v Varšavi – vedno pogosteje kupujejo ameriške storitve za lažje pridobivanje SOC 2/ISO certifikatov in lažji vstop na globalne trge. Hkrati pa so podvržena strogim evropskim pravilom glede obdelave in prenosa osebnih podatkov.

Možne posledice afere Delve v evropskem prostoru:

  • strožji pregled orodij za avtomatizacijo skladnosti pri korporativnih IT nabavah in pri skladnostnih oddelkih,
  • vprašanja regulatorjev, kako točno takšna orodja generirajo in hranijo dokaze, posebej ko gre za dokazovanje »accountability« po GDPR,
  • priložnost za evropska podjetja z DNA varovanja zasebnosti in varnosti, ki se lahko jasno distancirajo od »compliance teatra«.

Za slovenske ponudnike IT storitev – od večjih sistemskih integratorjev do manjših varnostnih svetovalcev – je to tudi priložnost, da ponudijo hibridne modele: kombinacijo orodij in resne strokovne presoje.

Pogled naprej

Nadaljnji razvoj bo odvisen predvsem od teže dokazov, ki jih bo žvižgač še predstavil, in od reakcije trga.

Če se pojavijo jasno kontekstualizirani dokazi, da so zaposleni v Delve zavestno ponarejali dokaze, lahko pričakujemo:

  • interne preiskave in morebitno zanimanje regulatorjev v državah, kjer imajo Delveove stranke sedež ali uporabnike,
  • ponovno oceno pogodb in certifikatov; nekateri kupci bodo želeli dodatne revizije ali izhod iz razmerja,
  • neprijetna vprašanja za upravo in investitorje o upravljanju tveganj, pravu in etiki.

Če bo gradivo kazalo bolj na površnost in slabo procesno vodenje kot na namerno prevaro, bo zgodba verjetno končala kot opozorilo in povod za zaostritev praks v celotni panogi.

Na kaj bi morali biti pozorni vi, kot bralec iz tehnološkega okolja?

  • obnašanje strank: ali vidnejše stranke javno zahtevajo pojasnila ali prekinjajo sodelovanje,
  • odziv revizorjev: ali bodo bolj jasno definirali, katera avtomatizirana orodja priznavajo in pod kakšnimi pogoji,
  • signal regulatorjev: ali nadzorni organi (npr. evropski nadzorni organi za varstvo podatkov) začnejo komentirati vlogo takšnih platform pri dokazovanju skladnosti.

Za slovenske startupe je ključno sporočilo jasno: orodja za compliance naj bodo pripomoček, ne nosilec odgovornosti. Investirajte v dejanske procese – od upravljanja dostopov do odzivnih načrtov – in preverjajte, kaj se dogaja »pod pokrovom« platform, ki vam prodajajo certifikate.

Bistvo

Afera Delve ni le problem enega ameriškega startup‑a, temveč simptom sistema, v katerem so se certifikati spremenili v marketinške značke. Ne glede na to, kako se bodo obtožbe razpletle, je to opomnik, da skladnost ni funkcija, ki jo lahko preprosto »outsourcate« in pozabite nanjo. Kot vodstvo ali ustanovitelji: ali res veste, kako je bil pridobljen vaš naslednji »SOC 2«, ali pa ste zadovoljni z logotipom na spletni strani?

Komentarji

Pustite komentar

Še ni komentarjev. Bodite prvi!

Povezani članki

Ilustracija poslovneža, ki stoji nad svetlečo mrežo sistemov umetne inteligence
Novice

Ko je na čelu umetne inteligence: sam Altman ali naš občutek za zdravo pamet?

Kaj Altmanova afera razkriva o zaupanju v AI, zakaj je to ključno za Evropo in Slovenijo ter kakšne alternative moramo začeti graditi.

5 min branja
Industrijski robotski roki v tovarni z digitalnim AI vmesnikom
Novice

Eclipse in »fizični AI«: zakaj se tvegan kapital spet seli v svet atomov

Sklad Eclipse z 1,3 mrd USD stavi na »fizični AI« v robotiki, energetiki in infrastrukturi. Analiza pomena za Evropo in priložnosti za slovenske startupe.

5 min branja
Majhna ekipa razvijalcev v pisarni dela na odprtokodnem AI modelu
Novice

Arcee s Trinity: majhen ameriški igralec, ki meri na evropsko tehnološko suverenost

Trinity podjetja Arcee kaže, kako lahko odprtokodni, Apache 2.0 modeli okrepijo evropsko tehnološko suverenost in zmanjšajo odvisnost od AI velikanov.

5 min branja

Ostani na tekočem

Prejemaj najnovejše novice iz sveta AI in tehnologije.