Comunque sono d'accordo con quel che dici:
l'ipotesi di accesso abusivo a sistema informatico direi che scagiona i titolari. Magari è stato qualche dipendente, ma non loro.
Magari a livello penale è come dici tu, ma a livello civile i responabili restano gli amministratori a meno che non dimostrino di aver adottato tutte quelle procedure per adattarsi al D.Lgs. 231/2001 sulla Responsabilità amministrativa da reato