Еще вчера Delve был золотым ребенком Y Combinator, стартапом, который обещал революцию в комплаенсе с помощью AI. Сегодня его обвиняют в том, что его «умный» комплаенс-бот - не более чем фикция, подвергающая клиентов риску многомиллионных штрафов по GDPR и HIPAA.
Анонимный разоблачитель и «комплаенс-бот», который ничего не проверял
Все началось с анонимного письма, отправленного 18 марта 2026 года в TechCrunch и несколько регуляторных органов ЕС. Бывший сотрудник Delve, пожелавший остаться неизвестным, описал систему, которая вместо анализа документов и проверки соответствия нормам просто генерировала успокаивающие отчеты на основе шаблонов. Это не ошибка модели. Это дизайн.
Внимание: Использование непроверенных AI-решений для комплаенса может привести к штрафам до 4% глобального оборота компании по GDPR. Это не теоретический риск.
Как работал Delve: обещания против реальности
Стартап предлагал автоматизированный комплаенс-сервис, использующий последние модели AI, включая GPT-4.5 Turbo (актуальная версия на март 2026) и Claude 3.7. Клиенты платили от 10 до 50 тысяч долларов в месяц за «полную защиту» и ежегодный аудиторский отчет.
Но внутри, как утверждает разоблачитель, система не проводила глубокого анализа. Вместо этого, она использовала простые ключевые слова и выдавала стандартные отчеты, создавая иллюзию compliance. Клиент загружал терабайты данных - Delve возвращал красивый PDF через 24 часа. Никто не проверял, что на самом деле происходит в черном ящике.
Как и в случае с DiligenceSquared, где голосовые AI-агенты заменяют дорогих консультантов, здесь AI должен был заменить юристов и аудиторов. Но если там агент хотя бы работал, то Delve, по сути, продавал плацебо.
Риски для бизнеса: от штрафов до потери репутации
Клиенты Delve, включая несколько европейских финтех-компаний и один крупный госпиталь в США, теперь могут столкнуться с внеплановыми проверками. Если их данные пациентов или финансовые транзакции не были должным образом защищены и анонимизированы, штрафы будут колоссальными.
- Штрафы по GDPR (Регламент ЕС 2024/XX): до 20 млн евро или 4% мирового оборота - в зависимости от того, что больше.
- Иски от клиентов: за утечку данных или несоблюдение конфиденциальности. Коллективные иски уже становятся нормой.
- Репутационный ущерб: доверие к компании падает мгновенно. Восстановить его сложнее, чем заплатить штраф.
Этот скандал перекликается с недавними судами по поводу AI-кода, где компании отвечают за галлюцинации нейросетей. Только здесь цена ошибки - не баг в софте, а персональные данные миллионов людей.
Реакция индустрии: отрицание и быстрые последствия
Delve категорически отрицает обвинения. В заявлении для прессы основатель стартапа, Алекс Ривер, сказал: «Наша система использует передовые AI-модели, включая Claude 3.7 Sonnet и GPT-4.5 Turbo, и проходит регулярные аудиты. Мы полностью соответствуем стандартам ISO 27001:2025.»
Но инвесторы уже нервничают. Y Combinator, который вложил начальные средства в летнем батче 2025 года, пока не комментирует. По слухам, несколько венчурных фондов уже начали due diligence своих портфельных компаний в сфере регулятивных технологий.
Контекст: В 2026 году регуляторы все чаще обращают внимание на AI-решения в регулируемых сферах. Недавний скандал с Grok и deepfake также привел к ужесточению правил раскрытия информации об использовании синтетического контента.
Ситуация напоминает историю с отрицанием Nvidia насчет огромных инвестиций в OpenAI. Только здесь ставки выше - не акции, а юридическая свобода.
Уроки для других стартапов и не только
Этот случай показывает, что в погоне за быстрым ростом и высокой оценкой стартапы могут пренебрегать реальной ценностью продукта. Особенно опасно это в сферах с высокими рисками, таких как юриспруденция, медицина, финансы.
Как отмечалось в статье про стартапы-обертки, многие проекты строятся на готовых API без глубокой интеграции или понимания предметной области. Delve взял API GPT, обернул его в интерфейс «для бизнеса» и стал продавать как решение для комплаенса. Это как использовать ChatGPT для медицинской диагностики - звучит круто, но на деле преступно.
Что делать бизнесу прямо сейчас? Не ждать
Не полагайтесь слепо на AI-решения для комплаенса, особенно если они не могут объяснить, как именно принимают решения. Вот несколько конкретных шагов:
- Проведите срочный независимый аудит всех AI-систем, которые касаются персональных или регулируемых данных. Не доверяйте сертификатам вендора. Обратитесь к специалистам, например, для профессионального аудита GDPR с фокусом на машинное обучение.
- Требуйте от вендоров полной прозрачности: какие именно модели используются (версия, дата обучения), как происходит тонкая настройка, какие данные для этого применялись, где они хранятся. Если вендор отнекивается - это красный флаг.
- Изучайте кейсы, как юридические фирмы используют Claude AI, но помните - это инструмент помощник, а не замена ответственности. Вы по-прежнему отвечаете за каждое решение.
И самый главный урок 2026 года: если AI-решение для комплаенса звучит слишком хорошо, чтобы быть правдой («автоматически, дешево, без вашего участия»), возможно, так оно и есть. Нейросеть - не волшебная палочка, особенно когда дело касается закона. А закон, как известно, суров, но это закон.
