Art. 6 
 
            Livelli di sicurezza delle identita' digitali 
 
  1. Lo SPID e' basato su tre livelli di sicurezza di  autenticazione
informatica: 
  a) nel primo livello, corrispondente al  Level  of  Assurance  LoA2
dello standard ISO/IEC DIS 29115, il gestore dell'identita'  digitale
rende disponibili sistemi di autenticazione informatica a un fattore,
quale la password, secondo quanto previsto dal presente decreto e dai
regolamenti di cui all'art. 4; 
  b) nel secondo livello, corrispondente al Level of  Assurance  LoA3
dello standard ISO/IEC DIS 29115, il gestore dell'identita'  digitale
rende  disponibili  sistemi  di  autenticazione  informatica  a   due
fattori, non basati necessariamente su certificati digitali,  le  cui
chiavi private  siano  custodite  su  dispositivi  che  soddisfano  i
requisiti di  cui  all'Allegato  3  della  Direttiva  1999/93/CE  del
Parlamento europeo, secondo quanto previsto dal  presente  decreto  e
dai regolamenti di cui all'art. 4; 
  c) nel terzo livello, corrispondente al  Level  of  Assurance  LoA4
dello standard ISO/IEC DIS 29115, il gestore dell'identita'  digitale
rende disponibili sistemi di autenticazione informatica a due fattori
basati su certificati digitali, le cui chiavi private siano custodite
su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della
Direttiva 1999/93/CE del Parlamento europeo, secondo quanto  previsto
dal presente decreto e dai regolamenti di cui all'art. 4. 
  2. L'Agenzia valuta e  autorizza  l'uso  degli  strumenti  e  delle
tecnologie  di  autenticazione  informatica  consentiti  per  ciascun
livello,  nonche'  i  criteri  per  la  valutazione  dei  sistemi  di
autenticazione informatica e la loro assegnazione al relativo livello
di sicurezza. In  tale  ambito,  i  gestori  dell'identita'  digitale
rendono pubbliche le decisioni dell'Agenzia con le modalita' indicate
dalla stessa. 
  3.   I   gestori   dell'identita'   digitale    garantiscono    che
l'autenticazione informatica avvenga attraverso software e  soluzioni
tecniche che non richiedono ai fornitori di  servizi  di  dotarsi  di
dispositivi, fissi o mobili, proprietari. Sono  consentite  soluzioni
tecniche che prevedono il caricamento  del  software  necessario  per
effettuare l'autenticazione informatica. 
  4. I fornitori di servizi non  possono  discriminare  l'accesso  ai
propri servizi sulla base del gestore di identita' che l'ha fornita. 
  5.  I  fornitori  di  servizi  scelgono  il  livello  di  sicurezza
necessario per accedere ai propri servizi.