Российские кредитные организации не просто могут, они обязаны отслеживать устройства! Думаю Европейское законодательство не мягче.
Выдержка из рекомендаци ЦБ для кредитных организаций:
2. Обращаем внимание на установленную подпунктом 2.6.3 пункта 2.6 Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" обязанность кредитных организаций располагать идентификационной информацией об устройстве, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства), с которого клиент получает доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств.
При этом в рамках управления риском ОД/ФТ при проведении процедур по выявлению клиентов, проводящих сомнительные операции, рекомендуем осуществлять контроль идентификатора устройства, с которого осуществлен доступ клиенту к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, на предмет его совпадения с идентификаторами устройств других клиентов кредитной организации, в том числе тех клиентов, счета которых были закрыты в рамках реализации "противолегализационных" мероприятий, а при их совпадении:
относить такого клиента к категории повышенного риска и реализовывать в отношении него мероприятия, направленные на минимизацию риска ОД/ФТ в соответствии с правилами внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (далее - ПВК по ПОД/ФТ) <5>;
ссылка на полный текст документа
http://www.consultant.ru/document/cons_doc_LAW_221107/
