La migliore alternativa a Delve dopo lo scandalo compliance (2026)
A marzo 2026, il settore dell'automazione della compliance e stato scosso da gravi accuse contro Delve, una startup sostenuta da Y Combinator che aveva raccolto $32 milioni con una valutazione di $300 milioni. Un informatore anonimo ha pubblicato prove che suggeriscono che quasi 500 report di audit SOC 2 generati attraverso la piattaforma di Delve erano essenzialmente testo standard identico - con il 99,8% del testo copiato tra i clienti, false evidenze di processi di sicurezza mai avvenuti e audit instradati attraverso una rete ristretta di societa accusate di approvare i risultati senza controlli adeguati.
Se siete clienti di Delve - o stavate considerando di diventarlo - questo articolo illustra cosa e successo, cosa significa per la vostra organizzazione e come appare realmente una piattaforma di compliance affidabile.
Cosa e successo a Delve
Delve si posizionava come una piattaforma di compliance AI-native in grado di rendere le aziende pronte per l'audit in giorni anziche mesi. Fondata da due ricercatori di AI del MIT, l'azienda e cresciuta da circa 100 clienti all'inizio del 2025 a oltre 500 nel 2026.
I problemi sono emersi quando un dataset trapelato di 494 bozze di report SOC 2 ha mostrato un linguaggio quasi identico in tutti - lo stesso testo standard, gli stessi errori grammaticali, la stessa struttura. Solo i nomi dei clienti, i loghi e le firme erano stati sostituiti. I report sarebbero stati generati prima ancora che le aziende avessero presentato i propri dati di compliance.
Oltre ai report stessi, l'informatore ha affermato che Delve forniva evidenze fabbricate: verbali di riunioni del consiglio mai avvenute, risultati di penetration test mai condotti e documentazione di processi di sicurezza per controlli mai implementati. Quasi tutti gli audit passavano attraverso due societa - Accorp e Gradient - descritte come parte della stessa operazione con supervisione indipendente minima.
Delve ha da allora disabilitato la sua pagina di prenotazione demo. Insight Partners, che ha guidato la Series A da $32 milioni, ha rimosso il proprio annuncio di investimento. Non sono ancora state emesse conclusioni normative formali, ma l'AICPA, la SEC e le autorita per la protezione dei dati stanno probabilmente osservando da vicino.
Perche questo va oltre Delve
Lo scandalo Delve non riguarda solo un'azienda. Espone un rischio strutturale nello spazio dell'automazione della compliance: la tentazione di privilegiare la velocita rispetto alla sostanza.
Quando una piattaforma promette la certificazione SOC 2 in pochi giorni, la domanda che ogni acquirente dovrebbe porsi e: cosa viene esattamente automatizzato? C'e una differenza fondamentale tra automatizzare la raccolta delle evidenze e il monitoraggio dei controlli (legittimo e prezioso) e automatizzare l'apparenza della compliance senza il lavoro sottostante (pericoloso e potenzialmente criminale).
Per le aziende che si sono affidate ai report di Delve, le conseguenze sono reali:
- I report SOC 2 potrebbero essere privi di valore. Se il vostro auditor faceva parte di una fabbrica di certificazioni, il vostro report potrebbe non reggere allo scrutinio di clienti enterprise o regolatori.
- Esposizione penale ai sensi dell'HIPAA. Le aziende sanitarie che si sono affidate a documentazione di compliance fabbricata rischiano responsabilita penale.
- Sanzioni GDPR e NIS2. Le aziende europee con artefatti di compliance generati da Delve potrebbero non essere conformi a normative che prevedono sanzioni fino a 10 milioni di euro o il 2% del fatturato globale.
- Danno alla fiducia dei clienti. Se avete condiviso una pagina di fiducia alimentata da Delve con i prospect, quelle affermazioni sulla sicurezza potrebbero ora essere messe in discussione.
Cosa cercare in una piattaforma di compliance dopo Delve
La situazione Delve crea una checklist chiara per valutare le alternative:
1. Trasparenza nel processo di audit
La vostra piattaforma di compliance dovrebbe facilitare audit reali con auditor accreditati e indipendenti - non instradare tutto attraverso una rete chiusa. Dovreste poter scegliere il vostro auditor e avere piena visibilita sulle evidenze che vengono presentate.
2. Evidenze reali, non evidenze generate
L'automazione della compliance dovrebbe aiutarvi a raccogliere e organizzare evidenze dai vostri sistemi reali - infrastruttura cloud, provider di identita, strumenti HR, sistemi di ticketing. Non dovrebbe mai fabbricare evidenze per processi che non esistono.
3. La vostra postura di compliance deve riflettere la realta
Una buona piattaforma vi mostra dove siete conformi e dove avete lacune. Se un controllo non e implementato, la piattaforma dovrebbe segnalarlo come una lacuna - non compilarlo con finzione generata dall'AI.
4. Residenza dei dati e allineamento normativo
Specialmente per le aziende europee soggette a DORA, NIS2 o GDPR, la vostra piattaforma di compliance deve essa stessa soddisfare i requisiti di residenza dei dati e sicurezza che state cercando di dimostrare.
5. Supporto multi-framework con profondita reale
La copertura superficiale di 25 framework non significa nulla se il lavoro sottostante e testo standard. Cercate piattaforme che supportino i framework con profondita normativa reale - mapping dei controlli reali, requisiti specifici per giurisdizione e supporto linguistico per il vostro mercato.
Come Matproof e diversa
Matproof e una piattaforma di gestione della compliance costruita per i settori regolamentati europei. Anziche ottimizzare per la velocita al certificato, Matproof si concentra sulla costruzione e il mantenimento di una postura di compliance genuina.
Compliance reale, non teatro della compliance
Matproof si connette alla vostra infrastruttura reale - provider cloud, sistemi di identita, piattaforme HR - per raccogliere evidenze reali. Quando un controllo non e implementato, la piattaforma ve lo dice. Non esiste l'opzione di generare automaticamente evidenze false perche quella funzionalita non esiste e non esistera mai.
Relazioni con auditor indipendenti
Matproof non gestisce una fabbrica di audit. Le organizzazioni che utilizzano Matproof lavorano con i propri auditor scelti o selezionano da una rete di societa accreditate e indipendenti. La piattaforma genera pacchetti documentali pronti per l'audit, ma la relazione di audit e tra voi e il vostro auditor.
Architettura EU-first
Matproof e ospitata in Germania su infrastruttura europea. Tutto il trattamento dei dati avviene all'interno dell'UE. Non si tratta di un'affermazione da spuntare - e una decisione di architettura tecnica che supporta i requisiti di residenza dei dati GDPR, DORA e NIS2 dalla base.
16 framework con profondita normativa
Matproof supporta DORA, NIS2, GDPR, ISO 27001, ISO 42001, ISO 9001, SOC 2, HIPAA, PCI DSS, NEN 7510, BaFin MaRisk, NIST 800-53, NIST CSF, l'EU AI Act, il Cyber Resilience Act e i requisiti della catena di approvvigionamento CSRD. Ogni framework include controlli specifici per giurisdizione, non solo modelli generici tradotti tra i framework.
AI che assiste, non fabbrica
Matproof utilizza l'AI per aiutare a generare bozze di policy, suggerire implementazioni dei controlli e identificare lacune di compliance. L'AI lavora a partire dai vostri dati reali e dai requisiti normativi. Genera punti di partenza per la revisione umana - non artefatti finiti che aggirano il processo di compliance.
Confronto delle funzionalita
| Capacita | Matproof | Delve |
|---|---|---|
| Raccolta evidenze | Integrazioni reali con i vostri sistemi | Presunta fabbricazione di evidenze |
| Indipendenza dell'audit | Scegliete il vostro auditor | Instradato attraverso rete di auditor ristretta |
| SOC 2 | Supporto completo Type I e II | Sotto indagine |
| Compliance DORA | Copertura completa dei 5 pilastri | Non supportato |
| Compliance NIS2 | Supporto nativo | Non supportato |
| GDPR | Supporto completo con flussi di lavoro DPIA | Copertura base |
| EU AI Act | Supportato | Non supportato |
| Residenza dati | Germania (UE) | Ospitato negli USA |
| Lingue | Inglese, tedesco, francese, spagnolo, olandese, italiano | Solo inglese |
| Generazione policy AI | Generazione bozze per revisione umana | Presunta auto-generazione senza revisione |
| Reportistica BaFin | Modelli integrati | Non disponibile |
| Trasparenza dei prezzi | Livelli pubblicati | Non divulgati |
| Integrita pagina di fiducia | Riflette lo stato di compliance effettivo | Sotto indagine |
| Status aziendale | Operativa, finanziata, in crescita | Demo disabilitate, investitori prendono le distanze |
Chi dovrebbe cambiare
Passate a Matproof se:
- Siete un'azienda europea soggetta a DORA, NIS2 o GDPR e avete bisogno di una piattaforma che soddisfi i requisiti di residenza dei dati nell'UE
- Avete bisogno di compliance che regga allo scrutinio normativo, non solo che superi un controllo superficiale
- Volete lavorare con auditor indipendenti e accreditati piuttosto che con una rete chiusa
- Operate nei servizi finanziari, nella sanita o nelle infrastrutture critiche dove i fallimenti di compliance hanno conseguenze serie
- Avete bisogno di supporto multilingue per team distribuiti negli uffici europei
Considerate altre alternative se:
- Siete un'azienda SaaS esclusivamente statunitense focalizzata principalmente su SOC 2 - Vanta o Drata potrebbero essere sufficienti
- Avete bisogno di un solo framework con complessita normativa minima
- Avete un team molto piccolo e avete bisogno dell'opzione al costo piu basso in assoluto
Guardare avanti
Lo scandalo Delve e un campanello d'allarme per il settore della compliance. L'AI puo genuinamente migliorare i flussi di lavoro della compliance - automatizzare la raccolta delle evidenze, identificare le lacune nei controlli, redigere policy e semplificare la preparazione all'audit. Si tratta di capacita reali e preziose.
Ma l'AI non puo sostituire il lavoro sottostante di implementare i controlli, formare i dipendenti, condurre valutazioni di sicurezza reali e costruire processi che proteggano i dati e le operazioni. Qualsiasi piattaforma che suggerisca il contrario sta vendendo teatro della compliance.
Se state rivalutando la vostra piattaforma di compliance, iniziate con una domanda semplice: questo strumento mi aiuta a diventare conforme, o mi aiuta a sembrare conforme? La differenza tra questi due risultati e la differenza tra costruire un'organizzazione resiliente e costruire una responsabilita.
Matproof e costruita per il primo risultato. Se e cio di cui avete bisogno, saremo lieti di mostrarvi come funziona.