Startup Delve Dituduh Lakukan 'Fake Compliance' dan Palsukan Bukti Audit

SAN FRANCISCO, (21 Maret 2026)

Mengutip laporan dari TechCrunch, startup compliance Delve yang didukung oleh Y Combinator dituduh telah secara salah meyakinkan "ratusan pelanggan bahwa mereka telah patuh" terhadap regulasi privasi dan keamanan data. Tuduhan ini pertama kali muncul melalui unggahan Substack anonim oleh pihak yang menamakan dirinya "DeepDelver."

Melansir data pendanaan tahun lalu, Delve telah mengantongi pendanaan Series A sebesar US$32 juta (sekitar Rp505 miliar) dengan valuasi mencapai US$300 juta (sekitar Rp4,7 triliun) dalam putaran yang dipimpin oleh Insight Partners. Tuduhan serius ini berpotensi mengekspos pelanggan Delve pada risiko hukum pidana di bawah aturan HIPAA serta denda besar di bawah regulasi GDPR.

Manipulasi Bukti dan Audit "Stempel"

DeepDelver, yang mengaku sebagai mantan klien Delve, mengklaim bahwa startup tersebut mencapai predikat sebagai platform tercepat dengan cara memproduksi bukti palsu. Mereka diduga membuat kesimpulan auditor atas nama firma sertifikasi yang hanya bertugas memberikan persetujuan formal tanpa pemeriksaan mendalam, serta melewati persyaratan kerangka kerja utama.

"Delve memberikan bukti palsu berupa rapat dewan, pengujian, dan proses yang tidak pernah terjadi kepada pelanggan," tulis DeepDelver. Ia juga menuduh bahwa sebagian besar klien Delve diarahkan ke dua firma audit, Accorp dan Gradient, yang disebut sebagai bagian dari operasi yang sama dengan kehadiran fisik minimal di Amerika Serikat.

Dalam skema ini, Delve dituduh membalikkan struktur compliance yang normal. Dengan menghasilkan kesimpulan auditor dan laporan final sebelum tinjauan independen terjadi, Delve menempatkan dirinya sebagai pelaksana sekaligus pemeriksa. Hal ini dianggap sebagai penipuan struktural yang membatalkan seluruh validitas atestasi keamanan.

Respons dan Bantahan Delve

Menanggapi tuduhan tersebut, Delve merilis pernyataan resmi di blog perusahaan yang menyebut klaim Substack tersebut menyesatkan dan tidak akurat. Delve menegaskan bahwa mereka tidak menerbitkan laporan kepatuhan secara langsung.

Sebagai automation platform, Delve menyatakan bertugas mengumpulkan informasi tentang kepatuhan dan memberikan akses kepada auditor terhadap informasi tersebut. "Laporan akhir dan opini diterbitkan sepenuhnya oleh auditor independen berlisensi, bukan oleh Delve," tegas perusahaan.

Mengenai tuduhan "bukti palsu," Delve berargumen bahwa mereka hanya menawarkan template untuk membantu tim mendokumentasikan proses mereka sesuai dengan persyaratan, serupa dengan apa yang dilakukan platform compliance lainnya. Mereka menekankan bahwa draf template tidak sama dengan bukti yang diisi sebelumnya (pre-filled evidence).

Dampak bagi Indonesia

Kasus ini menjadi pengingat kritis bagi ekosistem startup di Indonesia, terutama yang sedang mengejar sertifikasi internasional seperti ISO 27001 atau SOC 2 untuk ekspansi global.

1. Validitas Sertifikasi: Perusahaan Indonesia yang menggunakan jasa platform otomatisasi global perlu melakukan uji tuntas (due diligence) terhadap firma audit yang digunakan. Mengandalkan platform tanpa verifikasi manual dapat berisiko pada pembatalan sertifikat.
2. Kepatuhan UU PDP: Dengan diberlakukannya UU Pelindungan Data Pribadi (UU PDP), manipulasi bukti keamanan data dapat berujung pada sanksi administratif hingga 2% dari pendapatan tahunan atau sanksi pidana bagi korporasi di Indonesia.
3. Biaya Compliance: Menggunakan layanan otomatisasi memang efisien, namun ketergantungan penuh pada AI atau sistem otomatis tanpa pengawasan manusia dapat menyebabkan celah Cybersecurity yang fatal jika standar yang diterapkan ternyata hanya formalitas belaka.

---

Artikel ini akan diperbarui seiring tersedianya informasi baru. Join Komunitas Rekayasa AI di Discord untuk diskusi lebih lanjut.