Art. 6 Livelli di sicurezza delle identita' digitali 1. Lo SPID e' basato su tre livelli di sicurezza di autenticazione informatica: a) nel primo livello, corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115, il gestore dell'identita' digitale rende disponibili sistemi di autenticazione informatica a un fattore, quale la password, secondo quanto previsto dal presente decreto e dai regolamenti di cui all'art. 4; b) nel secondo livello, corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115, il gestore dell'identita' digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all'art. 4; c) nel terzo livello, corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115, il gestore dell'identita' digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all'art. 4. 2. L'Agenzia valuta e autorizza l'uso degli strumenti e delle tecnologie di autenticazione informatica consentiti per ciascun livello, nonche' i criteri per la valutazione dei sistemi di autenticazione informatica e la loro assegnazione al relativo livello di sicurezza. In tale ambito, i gestori dell'identita' digitale rendono pubbliche le decisioni dell'Agenzia con le modalita' indicate dalla stessa. 3. I gestori dell'identita' digitale garantiscono che l'autenticazione informatica avvenga attraverso software e soluzioni tecniche che non richiedono ai fornitori di servizi di dotarsi di dispositivi, fissi o mobili, proprietari. Sono consentite soluzioni tecniche che prevedono il caricamento del software necessario per effettuare l'autenticazione informatica. 4. I fornitori di servizi non possono discriminare l'accesso ai propri servizi sulla base del gestore di identita' che l'ha fornita. 5. I fornitori di servizi scelgono il livello di sicurezza necessario per accedere ai propri servizi.