不正取引における「デバイスID」の現状 - TechRepublic

不正取引における「デバイスID」の状況

最近、デビットカードで合計約900ポンドに及ぶオンライン不正取引の被害に遭ったという方と話をしました。カード自体は手元に残っており、購入手続き（主にセインズベリーのオンラインストア）ではカード名義、番号、有効期限のみが必要でした。CVVや住所の入力は求められませんでした。

銀行は、システム上では、異議申し立てのあった取引の「デバイスID」が、以前の異議申し立てのない取引のものと一致すると表示されており、補償は行わないと通告しました。

銀行がデバイスIDをこのように利用しているという話は聞いたことがありません。このようなIDは、長期的に見てどの程度信頼できる本人確認書類なのでしょうか？

一方で、銀行には、異議申し立ての対象となった取引と異議申し立てのない取引の両方について、デバイスIDのSAR（顧客照会）を提出する価値があるかもしれないと伝えました。なぜなら、これらの取引はGDPRの個人情報保護の対象になると考えているからです。少なくとも、銀行は主張を裏付ける証拠を提示すべきだと思います。